На нашем сайте используются файлы cookies , которые делают его более удобным для каждого пользователя, а также системы веб-аналитики Google Analytics и Яндекс.Метрика, которые могут собирать данные посетителей сайта.

Посещая страницы сайта, вы соглашаетесь с нашей Политикой конфиденциальности.

Подробнее ознакомиться с Политикой и тем, для чего именно необходимы файлы сookies и системы веб-аналитики можно здесь.

Pointlane - Информационная безопасность
 
 

УСЛУГИ


БЕСПЛАТНЫЙ СЕМИНАР


СПЕЦПРЕДЛОЖЕНИЕ


КОНСУЛЬТАЦИЯ


ТЕМАТИЧЕСКИЕ СТАТЬИ


ЗАГРУЗИТЬ



АКТУАЛЬНЫЕ ВОПРОСЫ И ОТВЕТЫ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Насколько правомерным является использование ПДн, полученных из общедоступных источников, в иных целях, отличных от целей их первоначального сбора?

  • Согласно Ст.5 Федерального закона № 152 ФЗ «О персональных данных» обработка ПДн, в целях, отличных от целей их первоначального сбора не допускается. В последних поправках в КоАП установлена административная ответственность за обработку ПДн, несовместимую с целями их сбора.

    Целеполагание должно быть неразрывно связано с положением организации о полномочиях. Например: Налоговая инспекция, которая ведет общедоступный реестр ЕГРЮЛ и ЕГРИП, наделена этими полномочиями в соответствии с Постановлениями Правительства. Возникает много ресурсов, которые копируют данные из этих общедоступных реестров и предоставляют услуги по доступу к этой информации, в том числе на возмездной основе, а также используют эти данные в иных целях, мотивируя тем, что данные были получены из общедоступного источника, поэтому применять меры конфиденциальности нет необходимости.

    По мнению РКН, деятельность подобных сайтов содержит признаки нарушения требований законодательства:

    • Цель ведения реестров – информирование пользователей о юридически-правовом статусе тех или иных юридических или физических лиц;
    • Ни в Налоговом кодексе РФ, ни в других документах не предусмотрены моменты, связанные с возможностью делегирования полномочий налоговой службы другим органом для ведения этих реестров. Нет ни одного положения, которое предполагает использование и предоставление услуг или доступ к ресурсам посредством других сайтов, поэтому подобная деятельность, в отсутствии соответствующих законов содержит признаки нарушения закона о ПДн.

  • Как получить согласия на обработку ПДн, которые вносятся в информационную систему, если источником этих ПДн являются визитки?

  • Очень многие в ходе деловых контактов обмениваются визитками, потом эти данные вносятся в информационные системы (например, CRM) и в дальнейшем используются для продвижения своих товаров и услуг.

    Нужно понимать, что согласия на обработку данных не требуется, т.к предоставление визитки само по себе является согласием, выраженным т.н конклюдентным действием. Но использование этих данных в иных целях, отличных от тех, в которых данные были предоставлены (а первоначальной целью было знакомство, установление бизнес-контакта), о которых субъект не знал на этапе предоставления визитки, содержит признаки нарушения закона о ПДн. Поэтому при обработке подобных сведений нужно учитывать этот фактор. То есть если Вы получили данные от человека и используете их в тех целях, о которых он не знал, то будьте готовы к тому, что этот человек может обратиться в Роскомнадзор, скажет о том, что он не давал своего согласия и не знает, на каком основании используются его ПДн для продвижения товаров и услуг.

    Нередко подобные практики объединения данных визитных карточек становятся предметом возмездного оказания услуг по продажам баз данных. Формируется база данных, затем она предлагается различным группам компаний. Далее посторонние компании звонят человеку и, выясняется, что эти компании получили данные от другой компании, которая не имела права на передачу, и так или иначе все последствия привлекаются к ответственности, предусмотренной законом.

     

  • Насколько правомерно получение согласия, в случае если это всплывающее окно с уведомлением об обработке ПДн (Google Analytics и Яндекс Метрика).

  • До определенного момента речь шла о том, что те данные, которые собираются с помощью систем веб-аналитики являются техническими данными, не являются персональными и не требуют принятия мер, предусмотренных законодательством о персональных данных. С учетом изменений в правоприменительной практике и практической действительности (Big Data, скрытое профилирование пользователей) началось инициирование изменения подходов к обработке таких данных. Эти изменения нашли свое отражение, в том числе в Европейском регламенте о защите данных, в котором они отнесены к ПДн. Есть определенная судебная практика, согласно которой эти данные, собираемые с помощью аналитических программ, также отнесены к ПДн. Соответственно, на сегодняшний день подход Роскомнадзора сводится к тому, что те данные, которые собираются с помощью программ веб - аналитики это: а) ПДн
    б) необходимо согласие указанных лиц на обработку ПДн.

    Форма получения данного согласия может быть разной: электронная форма, где представляется согласие перед входом на сайт; пользовательское соглашение (внесение соответствующих положений в документ, где прописано согласие посетителя сайта на сбор и дальнейшую обработку его ПДн). Субъект должен ознакомиться с этим документом, в случае его согласия и присоединения к нему продолжит работу на сайте, тем самым решается вопрос согласия.

    Отдельный момент связан с иностранными аналитическими программами (Google Analytics). Пользовательское соглашение Google содержит положения, которые говорят о том, что владелец сайта должен уведомить своих посетителей о том, что данные, которые собираются с помощью Google Analytics далее уходят на сервера, принадлежащие компании Google. Дальше возникает вопрос относительно того, что сервер Google находится на территории США и для трансграничной передачи необходимо согласие только в письменной форме. Как его получить?

    Согласие в письменной форме – это только одно из условий, предусмотренных ч.4 ст.12, Федерального закона № 152 ФЗ «О персональных данных», есть и другое второе – наличие договора между оператором и субъектом ПДн. Пользовательское соглашение, в соответствии с ГК РФ, является договором оферты, пользователь, акцептуя данную оферту, выражает свое присоединение к условиям, в рамках которых могут быть предусмотрены эти положения. Обращаю внимание – во исполнение условий, которые заложены в технических документах разработчиками этого ПО.

     

  • Распространяются ли действия ч.4 ст.9 Федерального закона № 152 ФЗ «О персональных данных» на положение ч.1 ст.8 того же закона о включении ПДн в общедоступный источник ПДн?

  • Да, распространяются. Для реализации положений ч.1 ст.8 нужно согласие в письменной форме. Требования, предъявляемые к согласию в письменной форме, заложены в ч.4 ст.9.



     
  • Является ли оператором лицо, действующее по поручению другого оператора?

  • В законодательстве о персональных данных заложено единое понятие – Оператор. У европейских коллег есть разновидность – Обработчик. Там существуют разграничения, кто является оператором и кто является обработчиком, соответственно есть полномочия у обработчика и есть полномочия у оператора. В российском законодательстве такой градации нет. Соответственно все те лица, которые вовлечены в процесс обработки ПДн, в том числе по поручению одного из операторов, также являются операторами.



     
  • Как узнать адрес проведения плановых проверок оператора ПДн в случае проведения проверки в компании, имеющей несколько филиалов в пределах одного региона?

  • Не следует путать проверки в отношении головного офиса и проверки в отношении филиалов. Проверки в отношении филиалов, в соответствии с действующим законодательством, планируются отдельно. Единственное требование, которое на сегодняшний день существует – территориальные органы могут запланировать одновременно проверки в отношении нескольких филиалов, но общий срок проверки не должен превышать 60 дней.

     
  • Нужно ли каждому филиалу иметь свою документацию по ПДн, или достаточно тех документов, которые в головном офисе?

  • Нужно исходить из полномочий филиала – что ему по доверенности передано головным офисом? Если у него есть полномочия осуществлять те виды деятельности, которые делегировал головной офис, то в этом случае возможно издание таких документов, которые направлены на регламентацию тех видов деятельности, которые переданы по доверенности. Но в определении оператора, данном в законе № 152 ФЗ «О персональных данных», нет условий, относящихся к филиалам. Соответственно ответственность за разработку документов, регламентирующих порядок условий обработки ПДн в контексте общих требований, законом возлагается на головной офис, который обязан обеспечить и доведение до сотрудников и соблюдение положений этой документации в своих филиалах, если иное не предусмотрено доверенностью.



     
  • Считается ли предоставление удаленного доступа иностранным компаниям в базы данных информационных систем персональных данных, расположенных на территории РФ трансграничной передачей ПДн?

  • По мнению Роскомнадзора, Предоставление доступа в режиме просмотра трансграничной передачей ПДн не является.



     
  • Нужно ли согласие на трансграничную передачу на территорию стран, являющимися сторонами Конвенции совета Европы?

  • Отдельное согласие, применительно к странам, не обеспечивающим адекватную защиту прав субъектов ПДн, и не являющихся сторонами Конвенции совета Европы, дается в письменной форме и направлено на исполнение принципов, которые заложены в законе.

    Говоря о тех странах, которые входят в перечень Конвенции, мы должны руководствоваться основами других законодательных актов. Например:

    Есть компания, являющаяся работодателем по отношению к российским гражданам, а головной офис находится в Германии, которая является стороной Конвенции. Представительство, во исполнение внутренних локальных документов, передает ПДн в головной офис для составления договоров, корпоративной почты… Согласно ТК передача ПДн третьим лица осуществляется с письменного согласия субъекта. Соответственно, передача ПДн работника в Германию требует отдельного согласия. Почему? Потому что должно быть неукоснительное соблюдение ч.4 ст.9 – в согласии должна быть только цель.

    Соответственно, если у Вас есть несколько видов деятельности, предполагающие письменное согласие по разным направлениям, то на каждое из этих направлений должно быть отдельное согласие субъекта на обработку ПДн.



     
  • Будет ли иметь юридическую силу согласие работника на передачу работодателем ПДн третьим лицам в коммерческих целях, подписанное простой электронной подписью, если работник и работодатель подпишут предварительное соглашение об использовании простой электронной подписи?

  • Возможность использования электронной подписи заложена в ч.4 ст.9 Федерального закона № 152 ФЗ «О персональных данных», соответственно, при соблюдении вышеуказанных условий, допускается согласие от работника, выраженное таким образом.



     
  • Может ли быть согласие работника единственным основанием для обработки его ПДн в целях, не предусмотренных для конкретного оператора? Например: Согласие работника в письменной форме сведений о его вероисповедании в нерелигиозных организация.

  • См. ответ о целеполагании.

    Ст.10 Федерального закона № 152 ФЗ «О персональных данных» говорит о том, что обработка сведений о вероисповедании не допускается, за исключением отдельных случаев. Обработки сведений о вероисповедании в рамках трудовых отношений не предусмотрено, поэтому руководствуясь положениями ст.10 и ст.5, связанных с целеполаганием, РКН считает, что обработка сведений о вероисповедании в рамках трудовых отношений выходит за рамки закона, и в этом случае согласие является единственным основанием для осуществления такой обработки.



     
  • Может ли письменное согласие на передачу ПДн работника третьим организациям не содержать указания конкретных операторов, которым передаются ПДн ?

  • В соответствии с ч.4 ст.9 ФЗ «О персональных данных» описываются обязанности организаций, которым передаются или которым поручается обработка ПДн, поэтому, во избежание эксцессов, особенно со стороны работников, необходимо прописывать в формах согласий те организации, которым передаются ПДн работников. Более того, если персональные данные передаются третьим лицам в разных целях, то для каждого такого лица должно быть подписано отдельное письменное согласие.



     
  • Как посетитель сайта может использовать свое право запросить информацию у оператора о ПДн, обрабатываемых на сайте?

  • РКН не дает пояснения по поводу того, как реализовать такую инициативу на сайте оператора. Это право субъекта, поэтому субъект может воспользоваться теми возможностями, которые на сегодняшний день предоставляет ему законодательство (направление запроса по почте, запрос, подписанный электронной подписью). Оператор не обязан создавать условия для реализации субъектом своего права, предусмотренном ст.14 ФЗ «О персональных данных».



     
  • Можно ли признавать работу с файлами в форматах doc. и xls, расположенных в сетевом хранилище данных неавтоматизированной обработкой?

  • В п.1 и п.2 Постановления Правительства № 687 перечислены 4 действия, а именно: использование, уточнение, распространение, уничтожение персональных данных. По мнению Роскомнадзора, если данные содержатся в одной информационной системе и с ними осуществляются эти 4 действия, то эту деятельность можно считать осуществляемой без использования средств автоматизации. Если же оператор осуществляет иные действия, которые выходят за рамки допустимых, то обработка идет с использованием средств автоматизации.


     
  • Юридическое лицо поручает другому юридическому лицу собирать и обрабатывать ПДн субъектов. Кто в этом случае является оператором, и кто несет ответственность перед субъектом ПДн?

  • Речь идет об агентах, действующих на основании агентских договоров. Например, оператор связи поручает агенту осуществлять заключение договоров от имени оператора на оказание услуг связи. В рамках указанной деятельности привлеченный агент собирает ПДн субъектов, потом передает их оператору связи. Операторами являются оба лица, вопрос ответственности четко прописан в ст.6 ФЗ «О персональных данных», в данном случае за действие привлеченного лица (агента) несет ответственность оператор связи.

    Т.е. если привлеченное лицо допустило нарушение конфиденциальности данных, если оно по достижении цели оказания услуг не удалило ПДн, ответственность несет оператор, т.к. законом именно на него возлагаются обязанности обеспечения требований конфиденциальности и удаление ПДн по достижении целей обработки. Привлекаемое лицо несет ответственность перед оператором, а сам оператор, в свою очередь, несет ответственность перед субъектом.


     
  • Нужно ли согласие на обработку ПДн родственников государственного служащего?

  • Не нужно, т.к. обработка осуществляется в соответствии с Федеральным законом N 273-ФЗ «О противодействии коррупции».


     
  • Как поступить в случае размещения недостоверной информации на сайтах госорганов в общедоступных реестрах?

  • Если информация не актуальна, Вы можете обратиться в госорганы и потребовать удаления недостоверной информации или обратиться в Роскомнадзор.


     
  • Насколько правомерным является размещение плана проверочной деятельности на официальных сайтах контрольных органов, в котором есть сведения об индивидуальных предпринимателях, такие как: адреса места жительства, сведения о собственности и проч.?

  • Согласно Федеральному закону № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» нет положения о допустимости размещения подобного плана в сети Интернет. Допускается размещение плана только по отношению к юридическим лицам.

    По мнению Роскомнадзора, указание в планах деятельности адреса места жительства индивидуального предпринимателя и прочих данных, не включенных в ЕГРИП, содержит признаки нарушения законодательства о персональных данных и подлежит удалению из общего доступа.


     
Позвонить
(495)233-65-08
Написать
consult@pointlane.ru

НАШИ КЛИЕНТЫ


109012, Москва,
ул. Ильинка д.4, оф. 407

105318, Москва,
ул. Щербаковская, д.3, оф. 708

Обратная связь
Карта проезда
Карта сайта
Тел.: +7 (495) 233-65-08

E-mail:consult@pointlane.ru

© 2008-2018 ООО «Пойнтлэйн»
Лицензия ФСТЭК ТЗКИ №3042
Лицензия ФСБ №0012581

Дизайн - Значко Илья

Ссылка на источник при перепечатке материалов с сайта обязательна
Защита от утечек информации | Защита персональных данных | Аудит информационной безопасности