Закон о персональных данных 2012

Содержание:

Закон о персональных данных в 2017 году – что нужно знать гражданам и организациям?

Изменения в закон о защите персональных данных 2017 года повлияли на работу коммерческих организаций, особенно тех, чей бизнес представлен в интернет-пространстве. Последние изменения в данный закон вступили в силу 1 июля текущего года, но многие фирмы еще не успели привести свои дела в соответствие с новыми правилами. Следует обобщить данные о том, что нужно сделать организациям для избежания штрафа и на что стоит обращать внимание физическим лицам.

Закон о персональных данных: последняя редакция 2017

На все личные данные человека распространяется защита, гарантированная государством. Это регулируется Федеральным законом № 152-ФЗ, который был принят 27 июля 2006 года, но за время своего существования уже не раз подвергался корректировкам. Однако последние поправки оказались весьма существенными. 13-ФЗ от 7 февраля 2017 года внес изменения в редакцию закона, в частности, были ужесточены санкции за нарушения в сфере персональных данных.

Обратимся к основным понятиям закона:

  • персональные данные (ПД – далее) – сведения, являющиеся неотъемлемой принадлежностью человека – конкретного физического лица.
  • оператор – физлицо, госорган, орган муниципальной власти, электронные СМИ, коммерческая или иная организация, которая в каком-либо виде занимается сбором, обработкой, накоплением, хранением этих индивидуальных сведений.
  • обработка ПД – автоматизированный или иной комплекс манипуляций, направленный на выполнение указанных действий с ПД.
  • Федеральный закон о защите персональных данных не дает абсолютно ясной формулировки, что же является ПД, однако можно сделать вывод, что это любая информация о лице, которая позволяет его идентифицировать. Элементами персональных данных выступают: ФИО, город рождения и проживания, даты, контактные данные – от телефонов до страниц в соцсетях, адреса, фото и т.д.

    Важный аспект! Когда речь идет только о ФИО – это не те данные, по которым возможна идентификация отдельного человека, поскольку есть однофамильцы. Но когда ФИО сопровождается фото – это уже выделяет одного человека из множества других.

    Если организация имеет доступ и оперирует подобными ПД, закон 152-ФЗ о персональных данных предъявляет к ней повышенные требования. Наказание в виде штрафа теперь может составить до 75 000 рублей!

    Закон о неразглашении персональных данных – что нужно знать операторам?

    Операторы различаются между собой охватом ПД, методами их обработки, целями сбора и накопления данных. Если физическое лицо записывает контакты своих знакомых в блокнот, чтобы просто не забыть поздравить их с днем рождения – это не сбор ПД. Если тоже лицо выступает в качестве ИП, оказывая частные услуги на дому, к примеру, делает маникюр, и ведет такую запись – это сбор ПД. У клиентов в этом случае надо спрашивать согласие на него и нести ответственность за разглашение, если таковое случится.

    Сейчас каждый интернет-магазин требует предоставления данных от посетителя сайта. Обычно это происходит в форме обратной связи или при регистрации, которую человек должен заполнить, чтобы получить консультацию или более точные сведения об услугах. Это типичный пример, как происходит сбор личной информации. При этом владелец ресурса каждому физическому лицу обязан гарантировать конфиденциальность и нераспространение полученных в сети сведений.

    Как вести себя владельцам интернет-ресурсов, чтобы избежать неприятностей с Роскомнадзором? Рекомендуем ознакомиться с простой инструкцией.

    Если на сайте есть формы для получения ПД, под каждой из них надо поставить окно для согласия, где проставлением знака человек выразит его.

    В открытом доступе на веб-ресурсе обязательно надо разместить 2 документа, доступных и наглядных, где в тексте прописываются условия сохранения, хранения, передачи данных (пользовательское соглашение, к примеру) и положение о том, как именно будет гарантироваться тайна полученной информации (это обычно политика конфиденциальности).

    Если компания не уверена, что ее аналогичные документы соответствуют основным требованиям отраслевого закона, можно поступить просто: открыть известный сайт популярного бренда и посмотреть, как вышли из положения они. Их соглашение можно взять в качестве образца, адаптировав его условия под особенности своего бизнеса.

    Надо непременно корректно отразить в документе все данные оператора ПД, то есть самой организации. Это полные реквизиты, наименование, адрес, место и орган регистрации, для ИП – ФИО и паспортные данные. Там также нужно привести целостный перечень ПД, которые запрашиваются от пользователя, и отразить, для чего это делается. Также стоит указать срок, на который пользователь предоставляет свое согласие.

    Нужно встать на учет в Роскомнадзоре России в качестве оператора ПД. Это нужно было сделать до 01.07.2017. Но лучше подать уведомление сейчас, с опозданием, но в добровольном порядке, чем когда это нарушение выявит Роскомнадзор. Форму заявления можно посмотреть на официальном сайте этого органа.

    Кто освобожден от этой обязанности?

    Некоторых субъектов коммерческой деятельности 152-ФЗ обходит стороной. Уведомлять вышеупомянутую инстанцию не надо, если:

    • основные данные получаются от субъекта при оформлении трудовых отношений;
    • ПД стали известны при заключении договора для идентификации его стороны, но никак не обрабатываются и не распространяются;
    • ПД общеизвестны, публичны;
    • Когда сбор разрешен нормативными актами и производится без средств автоматизации;
    • ПД требуются для оформления однократных пропусков и т.д.
    • Гражданам – как сберечь свои персональные данные?

      Обновленный закон призван регулировать управление ПД и их распространение в социуме. Интернет-пользователи обычно не обращают внимания на то, какие ресурсы уже владеют информацией о них. Соответственно, они не могут проверить, надлежащим ли образом используются их личные данные. Поэтому возник проект создания единого портала, посвященного защите и учету распространения персональных данных. Он должен быть реализован до 2019 года. С его помощью каждый человек сможет проверить, кому он уже доверил свои ПД и надежно ли они защищены.

      ФЗ 152 о персональных данных, подробные пояснения закона

      Просмотреть и скачать

      РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ — ФЗ 152.

      Глава 1. Общие положения

      Глава 2. Принципы и условия обработки персональных данных

      Глава 3. Права субъекта персональных данных

      Глава 4. Обязанности оператора

      Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего федерального закона

      Глава 6. Заключительные положения

      Вся информация о физическом лице, которая позволяет идентифицировать его личность, социальные связи и иные характеристики, прямо или косвенно соотносимые с ним, признается персональными данными и охраняется государством. На основании положений Федерального закона от 27.07.2006 № 152 ФЗ, участниками правоотношений являются гражданин и оператор, который вправе обрабатывать полученные сведения как с применением вычислительных машин, так и без них. Главная обязанность оператора — обеспечение сохранности и неприкосновенности данных, как этого требует 152 фз.

      О чем закон

      Федеральный закон №152 ФЗ «О персональных данных» был принят 27 июля 2006 года и является первым комплексным актом, регламентирующим вопросы формирования базы по обработке данных граждан. До этого хаотичность норм не позволяла защищать права субъектов, создавала дублирующие положения нормативных актов, приводящие к нарушению субординации органов власти на федеральном уровне и на местном.

      ФЗ № 152 направлен на регулирование правоотношений, которые возникают при совершении операций по обработке персональных данных. Взаимодействующими сторонами являются оператор и гражданин.

      Схема обмена информацией по фз № 152 следующая:

    • организация (государственный орган) запрашивает у гражданина необходимые сведения, связанные с его личностью;
    • гражданин подписывает документ о том, что он дает согласие на последующее использование этих данных (если иное не установлено ФЗ № 152);
    • оператор с помощью цифровых технологий вносит их в общий реестр и обеспечивает сохранность.
    • Однако фз 152, являясь общим актом в данном сфере, не в полной мере освещает вопросы по охране прав субъектов правоотношений ввиду наличия специальной нормативной базы по конкретному подвиду, например, в вопросе деятельности судебной системы. 152 ФЗ о персональных данных в тексте отсылает к тому или иному акту, уточняя, что положения его могут вводить исключения из общего правила или конкретизировать порядок действий оператора/субъекта.

      Что считается персональными данными и их категории

      Федеральный закон 152 о персональных данных относит к персональным данным сведения, касающиеся определённого или определяемого субъекта (гражданина). При этом информация может быть соотнесена с физическим лицом как прямо (ФИО), так и косвенно (номер мобильного). Поэтому ФЗ № 152 и выделяет несколько групп сведений, которые включают определенные идентификационные характеристики гражданина.

      Согласно фз 152 выделяют 4 вида данных:

    • Общие – к ним относятся информация о гражданине, которая позволяет его идентифицировать. Например, ФИО, ИНН, паспортные данные, СНИЛС и т.д. В Роскомнадзор поступали жалобы относительно массовой рассылки рекламных текстов на мобильные телефоны пользователей. Заявители полагали, что оператор, предоставив их номер, нарушает ФЗ № 152. Однако ведомство подчеркнуло, что только лишь с помощью номера идентифицировать личность физического лица невозможно и потому, такие действия не будут нарушать нормы 152 фз.
    • Имперсональные – информация, которая включена в реестр, находящийся в общем доступе. Например, адресные книги. К этой же группе относятся данные о доходах/расходах государственных служащих и членов их семьи, размещенные на сайтах ведомств, доступ к которым без получения их согласия приобретает любой пользователь, на основании положений ФЗ № 152.
    • Биометрические – сведения о биологических особенностях гражданина. К ним относятся отпечатки пальцев, скан сетчатки глаза и т.д. Как правило, такие данные получения специальных разрешений или документов (заграничный паспорт); они содержатся в базах данных уполномоченных органов (ст. 11 ФЗ № 152).
    • Специальные – вероисповедание, политические взгляды, раса, национальность – эта группа сведений позволяет составить общую характеристику личности гражданина и содержится, как правило, в личных делах, медицинских справках, заключениях специалистов и т.д. На обработку таких сведений должно иметься согласие физического лица, на основании ФЗ № 152, так как они могут являться, например, врачебной тайной.
    • Кого затрагивает

      Федеральный закон 152 от 27.07 2006 о персональных данных указывает, что он распространяет свое действие на:

    • Граждан, которые являются носителями сведений, подлежащих обработке.
    • Государственных органов, юридических лиц и граждан — в качестве операторов.
    • Роскомнадзор и иные контролирующие органы, на которые возложен надзор за соблюдением норм ФЗ № 152.
    • На кого закон не распространяется

      ФЗ 152 не регламентирует правоотношения, которые возникают в связи с обработкой персональных данных организаций, государственных органов и иных корпоративных институтов гражданского общества.

      В соответствии с положениями Федерального закона «Об архивном деле в Российской Федерации» от 22.10.2004 № 125-ФЗ, доступ при наличии соответствующего разрешения осуществляется к следующим архивным документам:

      • содержащих сведения о государственной тайне;
      • подлинникам ценных бумаг;
      • документам, которые находятся в ненадлежащем физическом состоянии, признанными такими на основании требований законодательства.
      • В соответствии Федеральным законом «О государственной тайне» от 21.07.1993 № 5485-1, к ней относятся данные, которые охраняются государством и их разглашение может нанести ущерб.

        Если сведения стали доступны из-за опубликования в СМИ или иных общедоступных источниках, то они перестают относиться к тайне.

        Изменения в законе

        Последняя редакция 152 фз, которая действует до настоящего времени, была сформирована после внесения изменений 31.12.2017. Ниже кратко рассмотрим основные за 2017 год:

      • от 22.02.2017 внесены ФЗ № 16.
      • Изменения коснулись главы 5 закона 152, которая определяет орган, ответственный за проведение контрольной и надзорной политики в отношении субъектов персональных данных.

        Уточнено, что контроль и надзор за исполнением норм ФЗ № 152 возложено на Роскомнадзор.

      • от 01.07.2017 внесены ФЗ №148.
      • Вносятся положения о порядке обработки данных субъектов государственной охраны и членов их семей, которая проводится с учетом особенностей, установленных фз 152 и Федеральным законом от 27.05.1996 № 57-ФЗ «О государственной охране».

      • от 29.07.2017 внесены ФЗ № 223.
      • Изменения касаются уточнения статей 1,6 закона 152 о порядке защиты персональных данных, используемых в деятельности судов.

        Изменения касаются положения ст. 11 закона 152, включающие норму об отсутствии необходимости получения согласия субъекта на обработку данных, если речь идет о государственной дактилоскопической регистрации.

        Судебная практика

        1. Определение ВС РФ от 24.06.2015 № 18-АПГ15-7. СМИ опубликовали биографические сведения и информацию о месте учебы несовершеннолетнего гражданина без получения соответствующего согласия от законного представителя, как того требует ФЗ 152 о персональных данных 2018 года. Роскомнадзор после жалобы вынес акт, в котором предупредил СМИ о неправомерности действий и потребовал изъять информацию из общего доступа. СМИ продолжали свои действия, обосновывая их крайней необходимостью, несмотря на нарушение положений 152 фз. Роскомнадзор был вынужден обратиться с иском о закрытии СМИ, который был удовлетворен.
        2. Постановление ВС РФ от 15.06.2016 № 25-АД15-3. Гражданин решил вернуть товар и на кассе его попросили заполнить заявление на возврат, которое включало сведения о паспортных данных. Он их указал, но подал жалобу в прокуратуру. Контролирующий орган возбудил дело об административном правонарушении по ст. 13.11 КоАП РФ за нарушение положений №152 ФЗ и вынес организации предупреждение о прекращении требовать от потребителей данных, обработка которых не соответствует целям деятельности организации.
        3. Предприятие обратилось с иском об оспаривании предупреждения за нарушение ФЗ № 152; но суды первой и апелляционной инстанции прокуратуру поддержали. Тогда истец решил подать заявление в ВС РФ. Последний признал действия прокуратуры незаконными на основании того, что была применена неправильная норма права.

          На момент разбирательства дела действовало положение, утвержденное Банком России от 12.10.2011 № 373-П, которым регламентировался порядок проведения финансовых операций; согласно акту, кассир может вернуть деньги покупателю только после того, как гражданин представит документ об удостоверении личности. Исходя из этого, истребование написания паспортных данных на бланке заявления не противоречит нормам права, и тем более фз 152 о персональных данных с изменениями, так как данный акт не регулирует спорные правоотношения.

        4. Постановление ВС РФ от 13.08.2015 № 302-АД15-5169. ФАС обратилась к руководителю организации для получения информации о владельце абонентского номера телефона, с которого была произведена рекламная рассылка на номер заявителя на основании поступившей жалобы от пострадавшего от этой рассылки Организация отказалась предоставлять сведения, аргументируя это тем, что не имеет согласие владельца на передачу номера третьим лицам, как того требует федеральный закон 152 о персональных данных, ФАС не может без согласия субъекта данных ее получить.
        5. ФАС вынесла постановление и привлекла компанию к ответственности по ст. 18.8 КоАП РФ, наложив штраф. В ответ был подан иск об оспаривании законности постановления. Суды первой и апелляционной инстанций поддержали организацию и отменили постановление, ссылаясь на 152 фз. Однако ВС РФ посчитал, что правовые нормы были применены неверно.

          Суды должны были использовать не нормы 152 фз, а положения законодательства о рекламе, согласно которому ФАС вправе запрашивать информацию, касающуюся нарушения закона о рекламе; и предприятие было обязано предоставить необходимые сведения. ФЗ № 152 не может быть применим в конкретном случае.

          За нарушение фз 152 о персональных данных 2006 года предусмотрено несколько видов ответственности:

        6. дисциплинарная (при разглашении служащими информации о данных, полученных ими в ходе рабочей деятельности посторонним лицам в нарушении порядка, предусмотренного фз 152, подвергаются дисциплинарному наказанию);
        7. гражданско-правовая (возмещение гражданам понесенных убытков или морального вреда за разглашения данных без их согласия, как этого требует ФЗ № 152);
        8. уголовная ответственность (ст. 137 УК РФ – нарушение неприкосновенности частной жизни);
        9. административно-правовая – предусмотрена ст. 13.11 КоАП РФ.
        10. Что нужно сделать владельцам сайтов

          В связи с изменениями КоАП РФ, которые вступили в силу 01.07.2017, добавившими новые составы административных правонарушений в ст. 13.11, владельцы сайтов должны быть предельно внимательным к контенту, который на нем размещен.

          Роскомнадзор проводит осмотр сайтов и по факту нахождения нарушений норм, в том числе, 152 фз, выносит предписания и затем штраф, если деяние не малозначительно и предупреждением владелец сайта не отделается.

          Тем более, что ранее, до 2017 года Роскомнадзор в таких «рейдах» действовал совместно с прокуратурой, а последняя ввиду большой загруженности, не особо стремилась наказывать по 152 федеральному закону о защите персональных данных. Теперь Роскомнадзор может самостоятельно проводить все расследования и выносить постановления.

          Второй аспект – штрафы за нарушение 152 закона существенно увеличены, особенно для юридических лиц. Поэтому лучше привести сайт в соответствие со 152 фз, чем потом выплачивать штраф и исправлять ошибки, а делать это все равно придется, так как ведомство вправе направить иск о закрытии СМИ, сайта, который нарушает требования законодательства.

          1. Все сайты на территории РФ должны быть размещены на российском сервере.
          2. В общем доступе на ресурсе должны находиться: политика конфиденциальности для сайта и пользовательское соглашение, в соответствии с которым будет осуществляться защита персональных данных по ФЗ 152.
          3. Оператор должен производить сбор и последующею обработку только тех данных о субъекте, которые отвечают целям сайта; в противном случае его действия нарушат закон 152 фз.
          4. Все поля, которые заполняет посетитель, должны быть связаны с соглашением пользователя, а посетитель подтверждает, что он с его текстом ознакомлен и согласен.
          5. Обработка данных производится таким образом, чтобы не допустить утечки сведений третьим лицам, как этого требует фз 152.
          6. Если от пользователя поступил запрос на изменение данных, оператор не вправе ему отказать, так как этого требует 152 закон.

          Самое главное, что должен сделать владелец сайта – уведомить Роскомнадзор о том, что он проводит сбор и последующую обработку данных (на основании положений главы 5 фз 152 Роскомнадзор является контролирующим органом). В противном случае к нему могут быть применены штрафные санкции.

          Для справки! Нерезиденты под действие закона ФЗ № 152 также попадают, если их работа заключается с данными граждан РФ. Вполне вероятно, что Роскомнадзор вынесет предупреждение, а если нарушения 152 фз серьезные – речь может идти о прекращении работы ресурса.

          Что нового в законе о защите персональных данных

          Сотрудничество с организациями немыслимо без заключения письменного соглашения сторон, т.е. без договора. Как часто вы заключали договор, последним пунктом которого вы соглашались на использование и хранение ваших личных данных в базе соответствующей организации?

          Если после подписания какого-либо договора или же после короткого сотрудничества, например, с кредитными организациями вам звонили из других фирм и предлагали свои услугу подобного характера, будьте уверены, что ваши персональные данные разглашены и ваши права нарушены.

          Краткий обзор

          Информация о гражданах РФ относится к персональным данным лиц и защищается одноименным законом. Кроме того, закон о персональных данных защищает все права и свободы человека, его интересы, связанные с личной информацией о нем в причинно-следственном отношении. Как информацию о вас защитить, чтобы сохранить и не нарушить ваши интересы, права и свободы.

          Закон устанавливает и контролирует правила сбора личных данных, их обработки, хранения и возможной передачи. В нем можно найти информацию о случаях, в которых личная информация может передаваться, или когда личная информация не может быть получена, т.е. за лицом сохраняется право ее не разглашать.

          ФЗ 152 полноправно действует с 23.01.2007 года. До этой даты персональные данные лиц были фактически не защищены, поскольку отсутствовал соответствующий закон, который бы устанавливал правила и контролировал их исполнение, связанных с получением, хранением и передачей личных данных.

          Существуют определенные требования к обработке персональных данных, их также можно найти в законе.

          Любая информация, которая относится к персональным данным лица, может быть принятой и обработанной оператором только с согласия самого лица. Однако существуют случаи, когда разрешение субъекта не требуется. Данные исключения описываются в законе.

          Ответственность за нарушение

          Сохранность личных данных, правильный сбор информации, передача ее третьим лицам, а также уведомление самого лица о том, что сотрудник сохраняет ваши персональные данные, ведет ответственный в организации человек, это может быть сотрудник отдела кадров или же любой другой назначенный человек, в том числе оператор.

          Если оператор (бухгалтер, сотрудник отдела кадров, банковский служащий или другое назначенное лицо) допустил утечку информацию, или же информация была случайно разглашена, ответственность за нее несет он, а не субъект данной информации.

          Наказание за нарушение закона о персональных данных может быть в виде штрафа, наложенного на самого сотрудника, принимающего персональные данные, и (или) на организацию, в которой случилась утечка данных.

          Штраф за разглашение информации возлагается на каждый случай утечки, а не единожды на лицо, допустившее данную оплошность. В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации.

          Одна годовая проверка документации может выявить огромное количество нарушений, каждое из которых будет оштрафовано и обойдется юридическому лицу немалой суммой из бюджета организации.

          В соответствии с Кодексом об административных нарушениях, если у юридического лица отсутствует Положение о личных данных персонала или клиентов, то при нарушении трудового кодекса организация может быть привлечена к административной ответственности. В таком случае сумма единовременных штрафов будет намного больше.

          Уполномоченным органом, контролирующим выполнение закона о персональных данных, является Роскомнадзор. Если предписания этого госоргана не выполняются, на предприятие может быть наложен штраф в размере 20000 руб. Игнорирование запроса Роскомнадзора о персональных данных обойдется организации в 5 000 руб.

          Оператора, который был назначен ответственным за работу над личными данными, могут привлечь к административной ответственности, дисциплинарной, материальной, гражданско-правовой или даже к уголовной.

          Что значит федеральный закон о страховых пенсиях 400? Ответ здесь.

          Основные положения закона о персональных данных с 1 января 2018 года с комментариями

          ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России.

          Операторы, работающие с личными данными граждан, должны вести соответствующие записи, собирать информацию и дополнять ее при необходимости только информацией, собранной на территории РФ и хранить ее тоже только на территории РФ.

          Категорически нельзя использовать ту информацию, которая практически может находиться за пределами России, т.е. берется с источников, находящихся за пределами России. Даже используя сеть интернет, нельзя дополнять личные данные человека информацией с зарубежных сайтов, если эти сайты ведутся не на территории России.

          В соответствии с данным законом, к персональным данным лица относится или может относиться абсолютно любая информация о лице как-либо с ним связанная. Последняя редакция закона пояснила этот момент гражданам, что к персональным данным относятся не только их полное имя, дата рождения и адрес по регистрации.

          Персональные данные граждан относятся к типу информации конфиденциального характера. Любая организация, которая прямо или косвенно использует имена клиентов, реквизиты компаний, с которыми она работает, почтовый индекс кого-либо в своей переписке и т.д., должна позаботиться о полной сохранности этих данных, т.е. обеспечить систему защиты при помощи шифрования или других средств.

          При отсутствии таковых компания рискует быть оштрафованной или закрытой до выяснения обстоятельств.

          Способы обеспечения защиты личных данных компаниями, которых нет в законе 152:

        11. построение дата-центров (мелкие организации не могут позволить себе данную процедуру в виду ее высокой стоимости реализации);
        12. обезличивание личной информации (отделить данные от субъекта, при необходимости данные возвращаются на территорию РФ и объединяются с их владельцами);
        13. скрывать месторасположение иностранного сервера, дублировать информацию о клиентах и отправлять на зарубежные серверы;
        14. Видео: Зачем нужен

          Когда применяется

          Закон применяется с целью защиты лиц, когда осуществляется процесс обработки его персональных данных. Также закон применяется в тех случаях, когда может пострадать неприкосновенность вашей личной жизни, на которую вы имеете право, тайны личного характера или тайны вашей семьи.

          ФЗ 152 не работает в случаях, когда персональные данные лица используются другими лицами исключительно в личных целях, т.е. без получения выгоды или с целью обогащения. Использование личных данных для архивных фондов также не является нарушением. Если информация о вас является составляющей государственной тайны, данный закон вас не защитит.

          Что является персональными данными

          Вся информация о вас, прямо или косвенно относящаяся к вам или вашей деятельности, в том числе ваше полное имя, дата рождения, место вашего проживания, все кредиты, оформленные вами когда-то, все ваши браки и прочее, относятся к персональным данным лица.

          Какие отношения регулирует

          Закон устанавливает правила работы между физическими лицами и юридическими, которые используют персональные данные граждан в своей работе. Задача закона предотвратить разглашение персональных данных лица, поскольку это может привести к нарушению прав, свобод и интересов граждан.

          Практически, если вы даете свое согласие на обработку и хранение персональных данных какой-либо организации, например, банку, вы позволяете ему использовать эти данные только в работе, касающейся банковского дела конкретного банка, поскольку вы состоите с этой организацией только в отношениях займа или, например, кредита.

          Имеет ли право банк передавать ваши персональные данные другим банкам – нет, подобное нарушение банком недопустимо в соответствии с ФЗ 152, и грозит уголовной ответственностью операторам и самому юридическому лицу.

          В первую очередь, закон регулирует сам процесс обработки полученной информации. Она может быть получена государственными органами власти, муниципальными органами, а также частными предпринимателями, организациями или физическими лицами.

          ФЗ 152 строго ограничивает права всех организаций, которые работают с персональными данными клиентов. Закон обязывает их устанавливать и использовать сложнейшие программы защиты их баз данных. Мелкие организации и фирмы не могут себе позволить подобную роскошь в виду ее высокой стоимостью.

          Какие часы тишины в московской области по закону? Подробности в статье.

          Нужен страховой медицинский полис нового образца? Как его получить читайте далее.

          Подписывая соглашение об использовании юридическим лицом ваших персональных данных, вы позволяете исключительно ему ваши данные хранить и применять только для своей работы, поскольку вас связывают определенные рабочие отношения. Разглашение личных данных может грозить вам нарушением прав и свобод, а организации немалым штрафом или же привлечением к уголовной ответственности.

          Чтобы получить все изменения,

          необходимо иметь активный лицензионный ключ и обновиться до последней версии

          КАК ВЫПОЛНЯТЬ ТРЕБОВАНИЯ 152-ФЗ внутри БИТРИКС24

          Как же быть тем из пользователей Битрикс24, кто собирал персональные данные автоматизированно, с помощью CRM-форм или Открытых линий? *

          Мы знаем, что наши клиенты — законопослушные люди, и хотим значительно облегчить для вас соблюдение этого закона и помочь избежать штрафов. Автоматизируем и это тоже!

          Мы уже подготовили универсальное «Согласие на обработку персональных данных» для вашей компании и разместили его в CRM-формах и Открытых линиях.

          В CRM-формах

          Доступно два варианта получения согласия:

        15. знак сразу проставлен внизу формы – означает согласие по типу «Нажимая кнопку «Отправить», я даю свое согласие. »
        16. знак отсутствует — означает необходимость проставить «галочку» перед отправкой заполненной формы.
        17. Все поля из CRM-формы будут автоматически включены в текст согласия в качестве относящихся к персональным данным, даже если это просто комментарий.

          В настройках формы по умолчанию присутствует «галка» на согласие передачи персональных данных третьим лицам. Там же можно указать эти лица (например, ООО «Почта России» или курьерская служба) — они тоже попадут в текст согласия.

          Можно выбрать или добавить собственные варианты использования и сроков хранения персональных данных.

          В открытых линиях

          Для открытых линий сначала нужно включить отправку предупреждения о сборе персональных данных. Это делается в настройках каждой открытой линии.

          После этого при начале разговора с клиентом будет сразу выведено сообщение, предупреждающее о необходимости согласия на обработку персональных данных.

          Если человек продолжит писать в открытую линию, то это и будет принято как согласие. Если же клиент молчит, либо напрямую отвечает, что не согласен, то его данные должны быть удалены.

          Хранение списка полученных согласий

          Ключевым моментом нового порядка также должно стать хранение всех полученных согласий. Т.е. если какой-то пользователь общался с нами в открытой линии или CRM-форме и подтвердил обработку своих персональных данных, то это отразится в списке и мы сможем проверить, действительно ли человек давал согласие. ПОДРОБНЕЕ >>

          Чтобы получить все изменения

          Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ ст 11 (ред. от 31.12.2017)

          Статья 11. Биометрические персональные данные

          1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

          2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

          Закон о защите персональных данных: основы

          Всем известно, что на сайте должен присутствовать документ, который регламентирует правила обработки и хранения добровольно переданных клиентами данных. Но о том, что дальше делать с этим данными, и как правильно обеспечивать их сохранность и безопасность, знают далеко не все.

          Закон о персональных данных

          Когда вы регистрируетесь на сайте, который принадлежит российской компании, то практически любая информация, которую вы указываете о себе, подпадает под действие Федерального закона РФ №152 «О персональных данных». Это означает, что владелец ресурса, будь то интернет-магазин, социальная сеть или «облачный» сервис, обязан защищать вашу личную информацию от злоумышленников и не раздавать направо и налево.

          Негативных примеров того, как обращаются с личной информацией – масса. Взять хотя бы поток SMS-предложений от сервисов такси или турагентств.

          Но бывают случаи посерьезнее, причем вызваны они могут быть ошибкой программистов. Так, в прошлом году в Сеть утекли десятки тысяч SMS, отправленных с сайтов операторов сотовой связи. В сообщениях, которые легко можно было найти в Яндекс или Google, обнаруживались паспортные данные и пароли к социальным сетям. Информацию клиенты вам могут предоставлять разную, от имени и фамилии, до данных по пластиковым картам и даже истории болезней. Чем важнее информация – чем выше за нее ответственность.

          Кратко о законе

          С точки зрения владельцев сайта закон — головная боль, особенно для начинающих предпринимателей, у которых к хронической нехватке денежных средств добавляется отсутствие опыта в решении бюрократических задач.

          Полную версию закона можно изучить здесь. Мы же приведем краткую информацию, написанную обычным человеческим языком.

          Персональные данные (ПД) – информация, которая определяет физическое лицо. Например:

          • фамилия, имя, отчество,
          • год, месяц и дата рождения,
          • адрес,
          • социальное положение,
          • доходы,
          • телефон,
          • образование и т.д.
          • Оператор персональных данных – организация, государственная или частная, или физическое лицо, которые собирают, хранят и обрабатывают персональные данные. В нашем случае – это интернет-магазин, социальная сеть или онлайн-сервис, например, «Яндекс.Метрика».

            Субъект персональных данных – физлицо, которое передает личные данные оператору.

            Устаревшие и актуальные требования: будьте внимательны

            При попытке подробнее узнать о законе ФЗ №152, первым делом в поисковике обнаруживаются статьи, в которых рассказывается о классах, категориях и объемах ПД.

            Эти термины использовались в совместном приказе Минкомсвязи ФСТЭК и ФСБ, который в народе назывался «Приказ Трех». Документ перестал действовать с выходом Постановления Правительства 1119 от 1 ноября 2012 г, в котором на смену классам пришли уровни защищенности (УЗ).

            УЗ сейчас описаны для всех видов информационных систем. Это значит, что операторы могут самостоятельно определить уровень защищенности для своего интернет-сервиса. Чего пока не хватает – так это конкретных требований по защите для каждого уровня УЗ. Пробелы закроют следующие постановления.

            По словам нашего эксперта Андрея Прозорова из IBS Platformix, прошлые требования к защите классов формально утратили силу. Тем операторам, которые уже провели комплекс мер по защите сервисов, эксперт советует следующее:

            1. Актом или протоколом утвердить УЗ и указать дополнительные свойства информационной системы согласно ПП1119.

            2. Дождаться новых требований к защите ИСПД и надеяться, что переделывать придется немного.

            Подробно изучить классификацию УЗ можно в блоге Андрея , я же, чтобы не утомлять читателя, приведу ниже таблицу и дам краткие пояснения.

            Уровней защищенности – четыре, аналогично количеству классов, которые использовались ранее. УЗ определяются на основе актуальных угроз (АУ), количества обрабатываемых ПД в системе, типа ПД и чьи именно ПД оператор обрабатывает – сотрудников или клиентов. Разложим по полочкам.

            1-2 уровни связаны с наличием закладок в программном обеспечении, то есть недекларированных возможностей. Это лазейки, через которые можно получить доступ к сайту. Эти угрозы, очевидно, присутствуют в любом сервисе.

            3 уровень – все остальные менее значимые угрозы.
            Определение уровня АУ связано с определением возможного вреда от несанкционированного использования ПД.

            Количество персональных данных

            • Больше или меньше 100 000 субъектов.
            • Тип персональных данных

              • Биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых оператор может установить личность субъекта персональных данных).
              • Специальные (религиозные взгляды, состояние здоровья, расовая принадлежность и т.д.).
              • Общедоступные (получаемые из общедоступных источников в соответствии с 152-ФЗ).
              • Другие.
              • Чьи персональные данные

                В ИСПД могут использоваться данные сотрудников, или же данные клиентов, допустим, в записях заказов интернет-магазинов.

                Таблица. Определение уровня защищенности ИСПД (правые колонки)

                Меры по защите персональных данных

                Очевидно, что кардинально меры по защите ПД с переходом на УЗ не изменятся. Расскажу об общих принципах защиты.

                Помните: чем больше ПД вы собираете, тем больше мер придется принять. Поэтому стоит подумать, без каких сведений вы можете обойтись, чтобы снизить риски и объем работы. Кроме того, в некоторых случаях ПД стоит разнести по разным базам данных и уменьшить срок хранения сведений о пользователях.

                Разделить меры можно на два вида: организационные и программно-технические. К первым относятся:

                • классификация информационной системы,
                • выявление возможных угроз,
                • создание плана действий по защите данных и должностных инструкций,
                • утверждение перечня лиц, которые допущены к обработке ПД.
                • К программно-техническим можно отнести:

                  • проверку оборудования,
                  • установку сертифицированных антивирусов, сетевых экранов и криптографических средств,
                  • налаживание системы разграничения доступа, регистрации и учета,
                  • использование средств защиты от утечек информации по различным каналам.
                  • Что и в каком количестве необходимо устанавливать определяется на шаге выявления угроз и типа хранящихся ПД. Лучше всего отдать задачу по защите данных на аутсорс – то есть в стороннюю организацию с лицензией ФСТЭК. Цена вопроса для самых-самых личных данных (класс 1 по старой классификации) начинается примерно от 300 000 рублей.

                    Помимо работы по установке сертифицированных антивирусов, сетевых экранов и спецприложений, аутсорсеры оформят за вас кучу бумаг, которые будут свидетельствовать о принятых мерах. Это могут быть должностные инструкции, приказы, акты о ликвидации ПД клиентов, подтверждения покупки сертифицированных программ и т.д. Если случится прокол, вы всегда сможете подать в суд на подрядчика и переложить на него часть ответственности.

                    Ответственность за нарушение персональных данных (за работу сайта без проведения защитных мер) многогранна, в основном проходит по административной линии (штрафы, предписания, приостановка деятельности предприятия). При этом наказывается нарушение требований по защите ПД. Поскольку явного требования к лицензированию и аттестации нет, то за это прямо не наказывают. Наказывают за отсутствие мероприятий по защите (отсутствие документов, регламентов, процедур, технических мероприятий).

                    Что нужно для работы сайта

                    Хорошая новость: чтобы собирать персональные данные для интернет-магазина или онлайн-сервиса, никакая лицензия не требуется. Необходимо лишь провести мероприятия по защите данных.

                    Получать лицензии ФСТЭК и ФСБ России необходимо только в том случае, если вы оказываете услуги по технической защите информации. Например, помогаете интернет-сервисам правильно организовать работу с ПД или обещаете клиентам защищать их данные.

                    Примеры таких лицензий можно посмотреть на сайтах хостинг-провайдера nic.ru, сервиса онлайн-дневников dnevnik.ru и компании «ОнЛайн Защита».

                    Оферта на сайте необходима, если вы запрашиваете у пользователя любые личные данные. Примеры и варианты реализации таких договоров стоит смотреть на крупных сайтах. Нам понравилось, как это сделано на tcsbank.ru. Написано кратко и доступно для пользователя, что встретишь редко.

                    Сервис обязан уведомить субъекта, с какой целью и в каком порядке будут использоваться его персональные данные. Это не обязательно делать отдельным документом, можно включить в общие правила сервиса.

                    Следует обратить особое внимание и на то, как хранятся у вас персональные данные клиентов. Удостоверьтесь, что к ним не имеют доступ поисковые роботы (проверьте хотя бы файл правил для поисковиков robots.txt, который находится в mysite/robots.txt). Также убедитесь, что доступ к личным данным клиентов имеют только те сотрудники, которым это требуется.

                    Основные части оферты

                    В этой главе я перечислю основные моменты, которые должны присутствовать в оферте о персональных данных. Примеры можно посмотреть по ссылкам выше.

                    Если вашим сервисом могут воспользоваться несовершеннолетние – внесите пункты, что требуется согласие родителей или опекунов.

                    Укажите дальнейший маршрут данных пользователя: будут ли они передаваться третьим лицам и аффилированным компаниям.

                    Кратко опишите, для чего и сколько времени собираетесь хранить данные, а также как клиент может затребовать удаление данных.

                    Опишите, какие данные и с какой целью предоставляет пользователь.

                    Оказывается, работать с персональными данными не так страшно и затратно, особенно если у вас небольшой проект. Для большинства сервисов достаточно разработать оферту и усилить контроль за программистам, чтобы внутренние страницы клиентов не стали достоянием Google.

                    Главное же, что надо помнить: чем меньше сведений вы собираете – тем безопаснее работа для вас, как оператора.

                    152-ФЗ «О защите персональных данных»

                    Ежедневно люди выполняют множество операций в сети, которые предусматривают использование персональных данных гражданина. Большинство из них не знают простых правил безопасности при использовании интернета. По этой причине, правительство возложило обязанность по защите этих граждан на учреждения, использующие информацию о сотрудниках.

                    Основным правовым документом, регулирующим обработку персональных сведений различными организациями, является закон «О персональных данных» от 27.07.2006 года № 152-ФЗ.

                    Описание закона

                    Постановления закона распространяются на организации, которые работают с обработкой персональных сведений граждан или те, кто имеет к ним доступ.

                    Действия, которые не регулируются законом 152-ФЗ:

                  • Персональные сведения обрабатываются физическими лицами для личных нужд. Необходимо отметить, что обработка не должна нарушать права обладателя данных;
                  • Организация архивов, которая регулируется законодательством об архивации в Российской Федерации;
                  • Обработка личных данных, которые содержат информацию, относящуюся к государственной тайне;
                  • Личные данные, которые относятся к деятельности судебных органов и которые были представлены в судебном порядке;
                  • Персональные сведения, относящиеся к деятельности судов.

                  А знаете ли вы, что закон с предыдущим номером 151, посвящен вопросу об аварийно спасательных службах.

                  Когда принят?

                  152-ФЗ был принят Государственной Думой 8 июля 2006 года. Одобрил его Совет Федерации 14 июля 2006 года. Последняя редакция закона произошла 22 февраля текущего года. Действовала она до 1 марта 2017.

                  Порядок использования персональных данных

                  Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ.

                  Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования.

                  В обязанности оператора входит:

                  1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ.

                  2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями.

                  3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:

                • ФИО и адрес оператора;
                • С какой целью обрабатываются данные и на основании каких правовых актов;
                • Права гражданина, чьи данные были получены;
                • При помощи какого источника была получена личная информация.
                • 4. Согласно положениям 152-ФЗ, оператор назначает ответственное лицо в определенной организации, которое организовывает обработку полученных материалов. Уполномоченное лицо получает указания по дальнейшим действиям от оператора.

                  Обработка личной информации по 152-ФЗ разрешается в следующих случаях:

                • Анализ личной информации вправе осуществляться с согласия гражданина, чьи данные были получены;
                • Если обработка информации требуется для достижения целей, предусмотренные законом РФ или международными договорами России;
                • Анализ информации необходим для судебной инстанции;
                • Обработка сведений требуется для защиты жизни гражданина;
                • Производится в статистических или исследовательских целях, за исключением целей, указанных в статье 15, 152-ФЗ.
                • Кстати, текст закона о почтовой связи тоже важно изучить. Подробности по ссылке:

                  Последние изменения ФЗ «О защите персональных данных»

                  Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения.

                  По причине вступления в силу Федерального закона от 03.07.2016 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152.

                  Статья 3

                  В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений.

                  Статья 5

                  В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям.

                  Статья 7

                  В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела.

                  Статья 9

                  В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие.

                  При последней редакции, изменений в текущей статье не было.

                  Статья 19

                  19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе.

                  Скачать 152-ФЗ

                  Чтобы разрешить конфликтную ситуацию или иные вопросы, связанные с защитой персональных данных, изучите последнюю редакцию 152-ФЗ РФ. В законе о защите информации представлены все поправки, дополнения и изменения. Скачать измененный закон можно по ссылке.

                  Комментарии

                  Если существует необходимость получить дополнительную и конкретную информацию относительно 152-ФЗ РФ, следует ознакомиться с комментариями к закону. Скачать их можно по ссылке.

                  Смотрите так же:

                  • Приказ 339 от 26102012 г Перечень документации, представляемой приемочной комиссии генеральным подрядчиком (подрядчиком) Перечень документации, представляемой приемочной комиссии заказчиком Акт приемки оборудования после комплексного опробования Акт приемки в эксплуатацию объекта, […]
                  • Правила пользователь интернет Утверждены правила хранения интернет-компаниями трафика пользователей по "пакету Яровой" С 1 июля текущего года организаторы распространения информации в Интернете будут обязаны хранить электронные сообщения и данные пользователей. Речь идет, в частности, о […]
                  • Ч3 ст 8 закон об обращении граждан Федеральный закон от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (с изменениями и дополнениями) Федеральный закон от 2 мая 2006 г. N 59-ФЗ"О порядке рассмотрения обращений граждан Российской Федерации" С изменениями […]
                  • Патентный закон 2003 Патентный закон рф от 23 сентября 1992 г. N 3517-I (с изменениями от 27 декабря 2000 г., 30 декабря 2001 г., 24 декабря 2002 г., 7 февраля 2003 г., 2 февраля 2006 г.) Статья 1. Отношения, регулируемые настоящим Законом Настоящим Законом регулируются […]
                  • Закон 7 города москвы Закон г. Москвы от 25 января 2006 г. N 7 "О порядке признания жителей города Москвы малоимущими в целях постановки их на учет в качестве нуждающихся в жилых помещениях" (с изменениями и дополнениями) Закон г. Москвы от 25 января 2006 г. N 7"О порядке […]
                  • Приказом мвд россии от 01042011 154 Приказ МВД РФ от 1 апреля 2011 г. N 154 "Об утверждении формы справки о дорожно-транспортном происшествии" (утратил силу) Приказ МВД РФ от 1 апреля 2011 г. N 154"Об утверждении формы справки о дорожно-транспортном происшествии" 1. Утвердить согласованную с […]
                  • Закон об образовании 13 Федеральный закон от 13 января 1996 г. N 12-ФЗ "О внесении изменений и дополнений в Закон Российской Федерации "Об образовании" (с изменениями и дополнениями) (утратил силу) Федеральный закон от 13 января 1996 г. N 12-ФЗ"О внесении изменений и дополнений в […]
                  • Правила уборки обеспечения чистоты и порядка на территории петербурга от 16 октября 2007 года N 1334 ____________________________________________________________________ Документ с изменениями, внесенными: постановлением Правительства Санкт-Петербурга от 26 августа 2008 года N 1078; постановлением Правительства […]