Когда и почему невозможно не нарушить 152-ФЗ…

Когда и почемуневозможно не

нарушить 152-ФЗ…

ЕмельянниковМихаил Юрьевич,

Управляющий партнер

3

Что выросло, то выросло…

4

Кто должен организовыватьвыполнение закона?

КАЖДЫЙ оператор должен:• Назначить ответственное

лицо за обработкуперсональных данных

• Издать политику• Принять правовые,

организационные итехнические меры

• Разработать локальныеакты

• Оценить вред субъекту исоотнести с защитой

• Обучить работниковОНА?!

5


ОНА?!







• Обучить работников

6


ОНА?!







• Обучить работников

7

Среднестатистическийзаконопослушный оператор

29010

23665

12724

6291

2880

2212

1500

524

0 5000 10000 15000 20000 25000 30000

1

Туроператоры

Кредитные учреждения

Средние и высшиеучебные заведения

Операторы связи

Учреждения ЖКХ (ТСЖ)

Учрежденияздравоохранения исоциального развитияОбщеобразовательныешколы

Дошкольные учреждения

8

А вот не надо нагнетать!Не надо?

9


10

В соответствии с перечнем документов, установленным приказом опроведении внеплановой документарной проверки ГБУК ККДБ им. братьев Игнатовых, не было представлено письменное согласие гр. П. (законного представителя В., 2004 года рождения) на обработкубиометрических персональных данных В., обработка которыхосуществляется ГБУК ККДБ им. братьев Игнатовых путем еефотографирования и последующего создания фото базычитателей для прохода в зал выдачи книг ГБУК ККДБ им. братьевИгнатовых, что свидетельствует об его отсутствии и являетсянарушением требований ч. 1 ст. 11 Федерального закона от27.07.2006 № 152-ФЗ «О персональных данных».

11

Уведомление об обработке

12

Врача! Помогите!

13

Врача! Помогите!Обработка специальных категорийперсональных данных допускается вслучаях, если … обработкаперсональных данных необходима длязащиты жизни, здоровья … субъектаперсональных … и получение согласиясубъекта персональных данныхневозможноЕсли персданные получены не отсубъекта персональных данных, оператор до начала обработки такихданных обязан предоставить субъектуследующую информацию:1) наименование и адрес оператора;2) цель обработки персданных и ееправовое основание;3) предполагаемые пользователиперсональных данных;4) установленные настоящим ФЗ правасубъекта;5) источник получения персданных.

14

Врача! Помогите!

Вправе ли физическое лицо представлятьперсональные данные своих близкихродственников?Предоставление физическим лицом оператору персональных данныхблизких родственников возможно только при наличии письменногосогласия указанных лиц либо в случаях, установленныхфедеральными законами.

1515

Персональные данныеработника

2. Обработка персональных данных работников банка

Статья 86. 4) работодатель не имеетправа получать иобрабатывать персональныеданные работника о…частной жизни. В случаях, непосредственно связанных свопросами трудовыхотношений, … работодательвправе получать иобрабатывать данные очастной жизни работникатолько с его письменногосогласия.

16

А кто у нас муж? Предупреждать надо!

1717

Персональные данныеродственников работника

ЛИЧНАЯ КАРТОЧКА РАБОТНИКА

Степень родства(ближайшие

родственники)

Фамилия, имя, отчество Годрождения

1 2 3

Унифицированная форма № Т-2

УтвержденаПостановлением

Госкомстата Россииот 05.01.2004 № 1

10. Состав семьи:

1818

Персональные данныеродственников работника

Приложение 1к Инструкции Банка России

от 02.04.2010г. года N 135-И"О порядке принятия Банком России

решения о государственной регистрациикредитных организаций и выдаче лицензий

на осуществление банковских операций"

ОбразецАнкета кандидата на должность руководителя, главного

бухгалтера, заместителя главного бухгалтера кредитнойорганизации, руководителя, заместителя руководителя, главного бухгалтера, заместителя главного бухгалтера

филиала кредитной организации15.Сведения о близких родственниках кандидата (с указаниемфамилий, имен, отчеств (если последние имеются), дат и местрождения) (1) ________________Я, ________________________________________________________________________

(фамилия, имя, отчество кандидата)заверяю, что мои ответы на вопросы анкеты являются достоверными и полными. Спроверкой Банком России (адрес Банка России: г. Москва, ул.Неглинная, 12, 107016) достоверности анкеты и прилагаемых к ней документов, а также содержащихся ванкете и документах персональных данных согласен (согласна).

19

Методические рекомендации для организациизащиты информации при обработке персональных

данных в учреждениях здравоохранения, социальной сферы, труда и занятости(утверждены Директорам Департамента

информатизации Минздравсоцразвития 23.12.2009 г.)Персональные данные сотрудников Учреждения

включают:• Телефонный номер;• Семейное положение и состав семьи

(муж/жена, дети);• Информация о знании иностранных языков;• Форма допуска;• Оклад;• Данные о трудовом договоре;• Сведения о воинском учете ИНН;• Данные об аттестации работников.

20


6. «НОЧУ Институт экономики, права и гуманитарных специальностей», осуществляя обработку персональных данных близких родственниковсотрудников, в личной карточке работников (ФИО, год рождения, семейноеположение), не предоставило документы, подтверждающие информированиесубъекта персональных данных (близких родственников работника) о наименовании оператора, цели обработки персональных данных и ееправовом основании, предполагаемых пользователях персональных данных, правах субъекта персональных данных, что является нарушением ч. 3 ст. 18 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».

21

Вы с внучкой к врачу?А доверенность у Вас есть?

Бабушка: Я с внучкой пришла в детскую консультацию на прием. Врач мне сказала, чтовышел какой-то новый закон, и вы не имеете права приводить ребенка в больницу, если увас на руках нет от родителей разрешения, заверенного нотариусом, что вам доверяютсвоего ребенка.Главврач: Представлять интересы несовершеннолетнего пациента от 0 до 14 лет влечебно-профилактическом учреждении могут только законные представители ребенка, которым допустима передача информации о состоянии здоровья ребенка. Законнымипредставителями являются родители, усыновители, опекуны или попечители. Бабушка неявляется законным представителем, и не имеет права представительства пациента и наполучение информации без документального согласия законного представителя.

22

Бронирование авиабилетов какзлостное нарушение закона

23

Бронирование авиабилетов какзлостное нарушение закона

Допущенные нарушения:1. Отсутствие подтверждаемого согласия субъекта

персональных данных и/или доказательствналичия договора с субъектом.

2. Отсутствие согласия лиц, чьи персональныеданные представлены не субъектом, а инымилицами.

3. Неуведомление лиц, чьи персональные данныеполучены не от них, о начале обработкиперсональных данных.

4. Трансграничная передача персональныхданных, возможно – в страну с неадекватнойзащитой, без письменного согласия субъекта.

24

ФЗ-152 и интернет-коммерция

При заполнении вэб-формы заявки на покупку товара на сайте …сети «Интернет» критерием, свидетельствующим о полученииоператором согласия субъекта персональных данных на обработкуего персональных данных, является файл электронной цифровойподписи. Кроме того, оператор вправе ввести в вэб-форму заявкиобязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данныхна обработку его персональных данных, при условии последующегопроведения мероприятий по проверке достоверностипредставленных персональных данных. В остальных случаях согласие на обработку персональных данных, равно как и его отзыв, может оформляться только в письменнойформе.

25


26


27

Продажа через Интернет какзлостное нарушение закона

Допущенные нарушения:1. Отсутствие подтверждаемого согласия субъекта

персональных данных и/или доказательствналичия договора с субъектом.

2. Отсутствие согласия лиц, чьи персональныеданные представлены не субъектом, а инымилицами.

3. Обработка специальных категорий персональныхданных при отсутствии оснований.

4. Неуведомление лиц, чьи персональные данныеполучены не от них, о начале обработкиперсональных данных.

5. Трансграничная передача персональных данных встрану с неадекватной защитой, без письменногосогласия субъекта.

28

Денежные переводы безоткрытия счета

29

Денежные переводы безоткрытия счета

Описание действийотправителя:Отправка денежногоперевода сыну, поиздержавшемуся начерноморском курорте наУкраине. В наличии: ФИО и номерсотового телефона сына

30

Денежный перевод какзлостное нарушение закона

Допущенные нарушения:1. Предоставление персональных данных

неопределенному кругу лиц.2. Отсутствие согласия получателя перевода.3. Неуведомление отправителя и получателя

перевода о начале обработки персональныхданных.

4. Трансграничная передача персональных данныхв страны с неадекватной защитой безписьменного согласия получателя.

31

Кто они, эти загадочныелюди?

Обработка персональныхданных осуществляется вмедико-профилактическихцелях, в целях установлениямедицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональныхданных осуществляется лицом, профессиональнозанимающимся медицинскойдеятельностью и обязанным всоответствии сзаконодательствомРоссийской Федерациисохранять врачебную тайну.

32

Ответ непростПри проведении проверки МУ «Междуреченскаяцентральная районная больница» выявлены нарушениятребований законодательства РФ о персональныхданныхПри проведении плановой выездной проверки в отношении МУ«Междуреченская ЦРБ» сотрудниками Управления Роскомнадзорапо Вологодской области были выявлены нарушения:- пп.1,4 ст.6, части 1 ст.10 ФЗ «О персональных данных»;- п.6, 13, 15 Положения «Об особенностях обработки персональныхданных, осуществляемых без использования средствавтоматизации» (Постановление Правительства РФ №687 от15.09.2008);- ст.87 Трудового кодекса Российской Федерации.По фактам выявленных нарушений МУ «Междуреченская ЦРБ»выдано 7 предписаний об устранении выявленных нарушений.Материалы проверки направлены в органы прокуратуры дляпривлечения виновных лиц к ответственности и принятия мерпрокурорского реагирования.

33

Проблемы телемедициныТрансграничная передачаперсональных данныхпациента в страны снеадекватной защитойтребует полученияписьменного согласияпациента.

34

Электронная почта– это тоже ИСПДн

35

Электронная почта– это тоже ИСПДн

Все системы электронной почты – К1 (пока, УЗ-1 вперспективе), потому что:

• неизвестно количество субъектов, чьи персональныеданные обрабатываются;

• неизвестна категория обрабатываемыхперсональных данных («приболел, гриппую, насморк, заеду на следующей неделе»).

ИСПДн всегда защищается неправильно:• осуществляется передача персональных данных по

незащищенным каналам связи без использованияСКЗИ;

• необходимо применение СЗИ, сертифицированныхна отсутствие НДВ (К1!);

• обязательно применение сертифицированных МЭ иIDS/IPS.

36

Фотография ибиометрические данные

Письмо Роскомнадзора от 05.04.2010 №ПК- 05728 (ответ на запрос ЗАО

«Коммерцбанк»)Фотография, на которой запечатлен человек, можетявляться носителем биометрических персональныхданных при соответствии требованиям, установленнымГОСТ Р ИСО/МЭК 19794-5-2006.Указанный стандарт устанавливает требования кформату записи изображения лица, предназначенномудля хранения изображения лица в записи биометрическихданных (раздел 5.1. «Общие положения»). Такая записьявляется биометрическими данными, совместимыми сЕдиной структурой форматов обмена биометрическимиданными (ЕСФОБД – предназначена для обменабиометрическими данными и обеспечивает стандартнуюзапись любого биометрического образца).

37

Постановление Правительства РФ от 04.03.2010 г. № 125«О перечне персональных данных, записываемых на

электронные носители информации, содержащиеся восновных документах, удостоверяющих личность

гражданина Российской Федерации, по которым гражданеРоссийской Федерации осуществляют выезд из Российской

Федерации и въезд в Российскую Федерацию»1. Номер документа.2. Фамилия и имя владельца документа.3. Гражданство владельца документа.4. Дата рождения владельца документа.5. Пол владельца документа.6. Цветное цифровое фотографическое изображение лица

владельца документа (биометрические персональныеданные владельца документа).

Фотография ибиометрические данные

38

Биометрические персональные данные

Описанный Вами пример - это не автоматическая идентификация. Для того, чтобы она таковой стала, на рабочем месте сотрудника банканужно поставить систему распознавания лиц, в которую, нужнозагрузить данные биометрии (фотографию), соответствующую ГОСТу. Тогда система автоматически будет считывать лица клиентов банка, распознавать и идентифицировать их.Сотрудником банка веб-камерой делается снимок, изображениесверяется с владельцем документа (удостоверяющего личность –паспорта, водительского удостоверения и т.п.), с цельюаутентификации (подтверждения), т.е. всё, что касается собственноличности.Идентификации в Вашем случае не происходит.В данном случае снимок веб-камерой биометрическими данными неявляется (снимок не соответствует ГОСТу).

39

3. В соответствии с перечнем документов, установленным п.10 приказа о проведениивнеплановой документарной проверки от 01.08.2011 № 875, ОАО «ОТП Банк» не было представленописьменное согласие гр. А. на обработку егобиометрических персональных данных, обработка которых осуществляется ОАО «ОТПБанк» путем предоставления копии паспорта гр. А. при заполнении заявления на получениепотребительского кредита, что свидетельствует обего отсутствии и является нарушением требованийч. 1 ст. 11 ФЗ от 27.07.2006 № 152-ФЗ «Оперсональных данных».

40

Биометрические персональные данные

Прокуратура г.Йошкар-Олы совместно с Управлением Роскомнадзорапо Республики Марий Эл провела проверку по заявлению одного изйошкаролинцев в «МПБ Идельбанк» (ЗАО) в г.Йошкар-Ола.Установлено, что сотрудники банковского учреждения при закрытиибанковского счета заявителя нарушили требования Федеральногозакона «О персональных данных». В частности, при снятииксерокопии паспорта гражданина они, не получив его согласия, изготовили с паспорта копию его фотографического изображения. Обработка этих персональных данных без согласия гражданиназапрещена законом.В связи с этим прокуратура вынесла постановление о возбуждениидела об административном правонарушении по ст. 13.11 КоАП РФ(нарушение установленного законом порядка сбора, хранения, использования персональных данных о гражданах) в отношенииюридического лица - «МПБ «Идельбанк» (ЗАО).

41

Персональные данные, сделанные общедоступными

42

Согласие субъекта вписьменной форме

Согласие в письменной форме должно включать в себя, вчастности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведенияо дате выдачи указанного документа и выдавшем его органе;

3) наименование и адрес оператора, получающего согласиесубъекта;

4) цель обработки персональных данных;5) перечень персданных, на обработку которых дается согласие;6) наименование и адрес лица, осуществляющего обработку

персональных данных по поручению оператора, если обработка будетпоручена такому лицу;

7) перечень действий с персональными данными, на совершениекоторых дается согласие, общее описание используемых операторомспособов обработки персональных данных;

8) срок, в течение которого действует согласие субъектаперсональных данных, а также способ его отзыва, если иное неустановлено федеральным законом;

9) подпись субъекта персональных данных.

43

И, наконец, проблемытехнические

Обеспечениебезопасностиперсональных данныхдостигается, в частности,обеспечениемрегистрации и учетавсех действий, совершаемых сперсональными даннымив информационнойсистеме персональныхданных

44

Основания для изменений• Практика реализации ФЗ-152

позволяет сделать вывод онедостижении цели егопринятия и создаетпредпосылки для уточненияего отдельных положений

• Попытки реализациитребований, определенныхНПА к ИСПДн, выявилицелый ряд трудностей

45

Основания для изменений

46

Что надо исключить?Все!В первую очередь отказаться от:1. Технического и технологического регулирования.2. Обязательности выполнения формальных требований,

не учитывающих особенности деятельности оператора.3. Привлечения к ответственности за невыполнение

требований в случае отсутствия инцидента.4. Института уведомления. Оператор – любое юрлицо.5. Обязательного лицензирования деятельности,

вмененной законом в обязанность.6. Правового обоснования возможности обработки в

случаях, когда без персональных данных деятельностьневозможна (данные работников, обучаемых, пациентов, пассажиров и т.п.).

7. Недопустимых барьеров на пути электроннойкоммерции.

47

Что надо оставить?1. Обязанность использовать персональные данные не во

вред субъекту.2. Обязанность компенсировать субъекту ущерб в случае

инцидента с персональными данными (но не в случаеформального несоблюдения формальных правил).

3. Обязанность соотносить состав и объемобрабатываемых персональных данных с целями ихобработки.

4. Право субъекта на доступ к своим персональнымданным.

5. Возможность государства регулировать обработкуперсональных данных в государственных имуниципальных системах.

48

Что надо изменить?1. Обеспечить баланс интересов субъекта, оператора и

государства.2. Исходить из соотнесения вреда и стоимости защитных

мер.3. Перейти к инцидентно-ориентированному подходу (нет

инцидента – нет предмета разбирательства).4. Дать право субъекту оспаривать допустимость

действий с персональными данными.5. Перенести решение вопроса возможности обработки в

негосударственный орган или суд.6. Дать право оператору самому определять состав и

содержание мер по защите персональных данных.7. Перейти от формальных требований к стандартизации.8. Следовать принципу свободы договора, закрепленному

в Гражданском кодексе.9. Закрепить возможность оценки конклюдентных

действий.

49

http://emeliyannikov.blogspot.com/

ЕмельянниковМихаил Юрьевич

Управляющий партнер+7 (916) 659 3474

[email protected]

Спасибо!Вопросы?

Когда и почему невозможно не нарушить 152-ФЗ…

Technology

Transcript of Когда и почему невозможно не нарушить 152-ФЗ…