Главная Новости Общие вопросы Формы деятельности Договоры Виды деятельности Вопрос-ответ Контакты

Быстрая навигация: Каталог статей > Иные вопросы > Персональные данные - защита, хранение, учет, обезличивание (Говоров В.)

Персональные данные - защита, хранение, учет, обезличивание (Говоров В.)

Дата размещения статьи: 21.07.2014

В нашей стране, да и во всех развитых и развивающихся странах мира вопросы охраны персональных данных находятся на повестке дня государства. Дело в том, что защита прав и законных интересов человека во всем мире поднята на самый высокий уровень, а проблематика персональных данных, безусловно, с нею пересекается. О защите персональных данных мы расскажем в нашей статье.

Согласно ст. 24 Основного Закона страны (Конституции Российской Федерации) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) определяет сферу действия данного Закона.
В соответствии с ней данным специальным Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (государственные органы), органами местного самоуправления, иными муниципальными органами (муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
В силу ст. 2 Закона о персональных данных его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3 этого Закона закрепляет основные используемые понятия.
Так, персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных - это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Глава 2 Закона о персональных данных носит название "Принципы и условия обработки персональных данных".
Статья 5 Закона о персональных данных регламентирует принципы обработки персональных данных.
Согласно ее положениям обработка персональных данных должна осуществляться на законной и справедливой основе.
Она должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Глава 3 Закона о персональных данных носит название "Права субъекта персональных данных".
Данная глава состоит структурно из четырех статей, регламентирующих:
- право субъекта персональных данных на доступ к его персональным данным (ст. 14);
- права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (ст. 15);
- права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных (ст. 16);
- право на обжалование действий или бездействия оператора (ст. 17).
Следует отметить, что права, закрепленные в ст. ст. 14 и 17, можно отнести к общим правам субъекта, распространяемым на все случаи, а вот права, данные ст. ст. 15 и 16, - к специальным.
В соответствии со ст. 14 Закона о персональных данных субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
Эти сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Они предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дату заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
При этом обратите внимание, что право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными. Смотрите Уголовно-процессуальный кодекс Российской Федерации;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Смотрите Федеральный закон от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. Смотрите Федеральный закон от 9 февраля 2007 г. N 16-ФЗ "О транспортной безопасности".
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Статья 7 Закона о персональных данных устанавливает, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Статья 24 Закона о персональных данных устанавливает, что лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством Российской Федерации ответственность (смотрите, например, Постановление ФАС Уральского округа от 23 января 2009 г. N Ф09-10531/08-С2 по делу N А07-9726/08).
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным Законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Так, например, ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ) носит название "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)".
Эта статья КоАП РФ специальная, она регламентирует ответственность специальных субъектов.
В соответствии с ней нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5000 до 10 000 руб.
Особое внимание, естественно, должно быть обращено на то обстоятельство, что субъектом административной ответственности является не только определенное физическое лицо, допустившее нарушение, но и организация в целом.
Статья 137 Уголовного кодекса Российской Федерации (далее - УК РФ) закрепляет наступление уголовной ответственности за нарушение неприкосновенности частной жизни.
Часть 1 указанной статьи УК РФ определяет меру наказания за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
Часть 2 ст. 137 УК РФ содержит квалифицированный состав этого преступления. Квалифицирующим признаком выступает использование служебного положения. Следует не забывать о том, что наказание при таких условиях соответственно выше.
Основополагающим доказательством для привлечения судом виновного в распространении указанных выше сведений к уголовной ответственности является умысел, и, соответственно, следствием такого распространения будет являться доказанное нарушение прав и свобод граждан.
Часть 3 ст. 137 УК РФ определяет меру наказания за незаконное распространение в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях информации, указывающей на личность несовершеннолетнего потерпевшего, не достигшего шестнадцатилетнего возраста, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий, повлекшее причинение вреда здоровью несовершеннолетнего, или психическое расстройство несовершеннолетнего, или иные тяжкие последствия.

Обезличивание персональных данных

В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) обезличивание персональных данных - это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
При этом информационная система персональных данных - это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
В ст. 5 Закона N 152-ФЗ закреплено, что хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Статья 19 Закона N 152-ФЗ регламентирует, что оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных. Ознакомьтесь с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Особое внимание следует обратить на следующий документ: Приказ Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ) (далее - Приказ N 996).
Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденные данным документом, разработаны в соответствии с Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211.
Эти требования сводятся к тому, что обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
К свойствам обезличенных данных относятся:
- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
К характеристикам (свойствам) методов обезличивания персональных данных, определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
- ратимость (возможность преобразования, обратного обезличиванию (деобезличивания), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям);
- иное, предусмотренное рассматриваемым документом.
Требования к методам обезличивания подразделяются на:
- требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
- требования к свойствам, которыми должен обладать метод обезличивания.
К требованиям к свойствам получаемых обезличенных данных относятся:
- сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
- сохранение структурированности обезличиваемых персональных данных;
- сохранение семантической целостности обезличиваемых персональных данных;
- анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).
К требованиям к свойствам метода обезличивания относятся:
- обратимость (возможность проведения деобезличивания);
- возможность обеспечения заданного уровня анонимности;
- увеличение стойкости при увеличении объема обезличиваемых персональных данных.
Особое внимание следует обратить но то, что методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и созданием таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
Подробнее о характеристике методов читайте в Приказе N 996.

 

Если вы не нашли на данной странице нужной вам информации, попробуйте воспользоваться поиском по сайту:



Вернуться на предыдущую страницу

Последние новости
  • Москва, Московская область
    +7 (499) 703-47-96
  • Санкт-Петербург, Ленинградская область
    +7 (812) 309-56-72
  • Федеральный номер
    8 (800) 555-67-55 доб. 141

Звонки бесплатны.
Работаем без выходных


25 января 2019 г.
Проект Федерального закона № 632702-7 "О внесении изменения в статью 19 Федерального закона "О валютном регулировании и валютном контроле"

В целях исключения негативного влияния на финансовый рынок и стабильность внутреннего валютного рынка законопроектом предлагается наделить Банк России полномочиями по согласованию перечня резидентов, которые могут не репатриировать денежные средства в Российскую Федерацию в связи с введением в отношении них мер ограничительного характера.




19 января 2019 г.
Проект Федерального закона № 628352-7 "О внесении изменений в Федеральный закон "О рынке ценных бумаг" и Федеральный закон "О внесении изменений в Федеральный закон "О рынке ценных бумаг" и статью 3 Федерального закона "О саморегулируемых организациях в сфере финансового рынка"

Законопроектом вносятся изменения в статью 6.1 Федерального закона "О рынке ценных бумаг", которые предоставляют возможность участникам финансового рынка, оказывающим услуги по финансовому консультированию и являющимся членами соответствующей саморегулируемой организации в сфере финансового рынка, определить признаки индивидуальной инвестиционной рекомендации в базовом стандарте данной саморегулируемой организации.




11 января 2019 г.
Проект Федерального закона № 621469-7 "О внесении изменения в статью 1 Федерального закона "Об основах государственного регулирования торговой деятельности в Российской Федерации"

Законопроектом предлагается не распространять на хозяйствующих субъектов, выручка которых от реализации товаров за последний календарный год не превышает четырехсот миллионов рублей, действие частей 1 и 2 статьи 9 Федерального закона, которые устанавливают обязанности по размещению информации об условиях отбора контрагента для заключения договора поставки и об условиях такого договора на своем сайте в сети "Интернет".




1 января 2019 г.
Вступил в силу Федеральный закон от 29 июля 2018 г. N 251-ФЗ "О внесении изменений в Закон Российской Федерации "Об организации страхового дела в Российской Федерации"

Цель закона - повышение эффективности входящих на страховой рынок организаций и защиты прав потребителей страховых услуг. Основная задача закона - совершенствование процедуры лицензирования субъектов страхового дела, в том числе внедрение процедуры оценки соискателя лицензии путем анализа планируемых им бизнес-процессов, а также процедуры регистрации юридического лица через Банк России одновременно с получением лицензии на осуществление страховой деятельности.




18 декабря 2018 г.
Проект Федерального закона № 614127-7 "О внесении изменений в Федеральный закон "Об обязательном страховании гражданской ответственности владельцев транспортных средств"

Законопроект предлагает дополнить существующий порядок и условия обязательного страхования гражданской ответственности владельцев транспортных средств,  предусмотрев возможность заключения договора обязательственного страхования, который бы мог действовать в отношении любого транспортного средства, находящегося во владении страхователя, если оно соответствует типу (категории) и назначению транспортного средства, указанного в таком договоре.



В центре внимания:


О реализации конституционного права на нотариальную защиту (Лакоба А.Д.)

Дата размещения статьи: 26.01.2019

подробнее>>

Совершенствование учебно-методического обеспечения подготовки высококвалифицированных нотариусов как условие реализации их правового статуса (Ушакова Е.Ю.)

Дата размещения статьи: 26.01.2019

подробнее>>

Конструкция залогового обязательства при множественности кредиторов (Челышева Н.Ю.)

Дата размещения статьи: 26.01.2019

подробнее>>

Равные начала выступления Российской Федерации с иными участниками гражданских правоотношений (Садриева Р.Р.)

Дата размещения статьи: 26.01.2019

подробнее>>

К вопросу о понятии и признаках обычая в гражданском обороте и семейных отношениях (Ханукаев Ю.Э.)

Дата размещения статьи: 26.01.2019

подробнее>>
Предпринимательство и право, информационно-аналитический портал © 2011 - 2019
При любом использовании материалов сайта - активная ссылка на сайт lexandbusiness.ru обязательна.

Навигация

Статьи