Ответственность за нарушение федерального закона о защите персональных данных

На сегодняшний день интернет фактически приобрёл статус параллельной реальности. Сеть служит для множества людей местом отдыха, поиска новых знакомств, общения с друзьями и даже работы! И практически в каждой новой локации всем приходилось сталкиваться, когда требуется информационная защита персональных данных.

Например при вводе личной информации при регистрации: ФИО, почта, телефон… Однако всегда ли это безопасно? Что делать в случае утечки информации и стоит ли указывать при регистрации кличку любимого котика — ответы в соответствии с Буквой Закона вы сможете найти в этой статье.

Содержание закона о защите персональных данных 152 фз

Все вопросы о безопасности персональных данных в России регулируются 152 Федеральным законом от 27 июля 2006 года. Контролю подлежит как зафиксированная в печатных документах, так и электронная информация. В целом идея закона состоит в непременной конфиденциальности личных материалов: только сам пользователь может предоставить доступ к собственным данным. Так же вся информация должна быть немедленно удалена из общего доступа по первому требованию владельца данных.

Помимо основ 152-ФЗ так же важно отметить положение, согласно которому персональная информация на любого гражданина РФ должна обрабатываться и храниться только на территории России и русских серверах.

Согласно установленному порядку, данные пользователя могут быть подвергнуты обработке при:

• согласии владельца;
• важной роли искомых материалов в процессе достижения обоснованных Конституцией РФ или Международными соглашениями целей;
• судебном разбирательстве;
• необходимости обеспечения гражданской безопасности;
• проведении исследований.

Не регулирует такие случаи, как:

1. Обработка персональных данных пользователя физическим лицом в личных интересах (при условии сохранения конфиденциальности). Проще говоря, если бывшая подруга что-то усиленно выискивает на вашей страничке в социальной сети — это не преступление.
2. Архивация данных.
3. Работа со сведениями, относящимися к государственной тайне.
4. Использование материалов, предоставленных в судебном порядке и имеющих отношение к судебной деятельности.

Для подобных ситуаций существуют отдельные законы и методы урегулирования вопросов.

Какие данные относятся к персональным

К личным сведениям относится информация, подходящая для идентификации личности субъекта. К таковым можно отнести:

• ФИО;
• сведения о времени и месте рождения;
• адрес;
• семейное положение;
• контактные данные (электронная почта, мобильный телефон);
• паспортные данные;
• информация о работе и заработках;
• фото;
• аккаунты в соцсетях и персональные сайты.

Данные параметры являются определяющими на сегодняшний день, однако Роскомнадзор всё активнее говорит о соответствующем статусе cookie-файлов, сведений о местоположении и IP-адресе.

В группу НЕ включаются регистрационные данные (логин и пароль) и никнеймы (и другие обезличенные данные), поскольку они не несут никакой смысловой нагрузки.

Что предпринимать на сайте

В целях личной безопасности рекомендуется:

1. Пользоваться системой сложных паролей и двойной защиты (двухфакторной аутентификации — проверка, при которой, к примеру, сначала вы вводите стандартный логин-пароль, а затем проходите авторизацию с помощью sms-кода). Желательно ставить защиту не только на различных сайтах, но и на важные папки и учётную запись на компьютере.
2. Заходить только на сайты с HTTPS-протоколом. Это когда в адресной строке вы можете видеть помимо пути ещё и зелёный замочек (зачастую с надписью «защищено).
3. Встроить VPN-сервис в браузер. Это поможет избежать взлома персонального устройства в местах раздачи публичной Wi-Fi сети.
4. Настроить антивирусник.
5. Использовать шифровальные средства.
6. Установить программы по анализу защищённости ПК, регистрации и ликвидации вторжений.

Интернет-безопасность не ограничивается онлайн-подстраховкой. В это понятие включается также возможность утечки информации непосредственно с компьютера при помощи сетевого взлома. Именно в связи с этим фактом необходимо заботиться о защите как аккаунтов в сети, так и самого ПК. Так же не рекомендуется менять пароли слишком часто — это лишь облегчит хакерам жизнь. Остановитесь на одной максимально надёжной комбинации или используйте менеджеры паролей.

Отдельного разговора заслуживает так называемая таргетированная реклама.

Знакома ли вам ситуация, когда вы ищете информацию в сети, и на одном из сайтов вдруг выскакивает уведомление об использовании cookie-файлов? Именно файлы подобного формата являются одной из явных угроз персональной безопасности, поскольку механизм их эксплуатации заключается в кочевании на ваше устройство (ПК, телефон или планшет) и обратно на сайт, с возможной передачей личных материалов.

Таргетированная реклама — это метод маркетинга, основанный на поиске целевой аудитории в сети, восприимчивой к сообщениям. И как раз в данном случае компании могут воспользоваться вашими данными с помощью cookie. Во избежание этого следует:

• регулярно очищать историю браузера;
• закрыт доступ к системному диску;
• периодически чистить сам диск.

Так же не рекомендуется привязывать банковские карты к платёжным системам непроверенных сайтов. И помните: если вы не уверены в той или иной сетевой локации — лучше всё-таки прочесть пользовательское соглашение.

Какая информация должна быть в соглашении

Содержание пользовательского соглашения регламентируется частью 4 статьи 9 152-ФЗ. Документ предполагает следующие пункты:

1. Получатель информации — ФИО физического лица или название компании.
2. В чём заключается необходимость получения данных.
3. Чёткий список персональных сведений, на использование которых владелец соглашается.
4. Информация об операторе, занимающегося обработкой данных (также ФИО физического лица либо наименование конторы).
5. Описание самого способа эксплуатации данных.
6. Срок действия соглашения.
7. Примечание о возможности пользователя отозвать своё согласие.

Помимо вышеперечисленного, сайт обязан предоставить открытый доступ к сведениям о собственной политике конфиденциальности и разместить ссылку на соответствующий документ, а так же уведомлять пользователя об использовании данных cookie, IP и геопозиции.

Мероприятия по защите персональных данных на предприятиях в организациях

В организациях хранением и защитой конфиденциальной информации сотрудников занимается отдел кадров или бухгалтерия (реже — служба безопасности, режимный отдел и прочие). Каждый член отдела должен в обязательном порядке подписать акт о неразглашении. Отдельно также обговаривается передача данным сторонним людям и организациям (к примеру, в Пенсионный фонд РФ).

В любой конторе должен иметься внутренний регламент обработки персональных данных сотрудников и круг лиц, ответственных за данную работу. Все сведения в аналогичном порядке находятся в открытом на работников доступе. Кроме того, компания обязана:

• лично предоставить сотруднику для утверждения на подпись соглашение на эксплуатацию его личных данных (или добавить соответствующие пункту в трудовой договор) и ознакомить сотрудника с внутренними документами учреждения;
• при передаче данных вне компании (в банки, рекламные агенства и тому подобное) — заключать поручения на использование персональных сведений и уведомлять работника;
• отвечать на вопросы коллектива касательно персональных данных;
• уполномочить защищать персональные данные сотрудника (с помощью паролей, хранения в закрытом доступе и т.п.)

Положение о защите данных работников

В структуру договора входят общие положения (со ссылками на цели использования получаемых сведений), информация об обрабатываемых данных, средства использования и обеспечения сохранности информации и перечень лиц, имеющих доступ к личным сведениям сотрудника.

Документ непременно должен утверждаться руководством — печатью и подписью начальника организации. Лишь после этого положение является действительным.

Что касается самих данных — как правило, организация запрашивает:

• ФИО;
• контакты;
• информацию об образовании и семейном положении;
• гражданство и данные паспорта;
• степень владения иностранными языками;
• сведения об опыте работы;
• адрес регистрации и фактического проживания.

В зависимости от специфики работы может потребоваться информация о грантах, научных достижениях, доступу к государственной тайне и прочему.

Работодатель обязан известить персонал о способе и месте хранения данных, степени допуска и включить (при наличии) в перечень подлежащих защите документов дополнительное соглашение (трудовой договор, приказ, анкета, личное дело, лист учёта кадров).

Проверки органа Роскомнадзора, штрафы для ИП и юрлиц

Последние поправки в законодательство были внесены на основе разработок от 1 июля 2017 года. Недобросовестные работодатели и администраторы сайтов теперь подвергнутся следующим мерам взыскания:

Нарушение	Физ. лицо	Ответственный сотрудник	Юр. лицо	ИП
Использование персональных данных в целях, не прописанных в соглашении/не предусмотренных законом	штраф 1-3 тыс. рублей или предупреждение	штраф 5-10 тыс. рублей или предупреждение	штраф 30-50 тыс. рублей или предупреждение	—
Эксплуатация информации без согласия субъекта	3000-5000	10000-20000	15000-75000	—
Отсутствие доступа к внутреннему регламенту обработки ПД и политике конфиденциальности	700-1500	3000-6000	15000-30000	5000-10000
Дезинформирование пользователя/сотрудника насчёт обработки сведений о нём	1000-2000 или предупреждение	4000-6000 или предупреждение	20000-40000 или предупреждение	10000-15000 или предупреждение
Отказ владельцу персональных данных в оказании желаемого воздействия на информацию (корректировка либо удаление сведений)	1000-2000 или предупреждение	4000-10000 или предупреждение	25000-45000 или предупреждение	10000-20000 или предупреждение
Халатность при осуществлении защиты информации, что привело к утечке или внеплановой корректировке	700-2000	4000-10000	25000-50000	10000-20000
Несоблюдение необходимости обезличивания сведений	—	3000-6000 или предупреждение	—	—

Деятельность компаний и сайтов контролируется Роскомнадзором. Согласно закону, плановая проверка осуществляется раз в три года; соответствующая информация отображается на сайте городской Прокуратуры.

А как часто вы сталкиваетесь с недобросовестным отношением к конфиденциальной информации пользователя? К каким последствиям это приводило? Что можете сказать вы по вопросу интернет-безопасности?

Пишите в комментариях!