WordPress

Защита персональных данных кто может быть оператором персональных данных

Защита персональных данных кто может быть оператором персональных данных - картинка 1
Полезная информация на тему: "Защита персональных данных кто может быть оператором персональных данных"с комментариями спецалистов.

Защита персональных данных Кто может быть оператором персональных данных?

Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

К таким случаям, в частности, относится:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

[3]

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

[1]

http://digital.gov.ru/ru/appeals/faq/410/

Защита персональных данных Кто может быть оператором персональных данных?

О персональных данных

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных?

Ответ: В соответствии п. 2 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно ч. 2 ст. 6. Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
(п. 1.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцептируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий?

Ответ: Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации, подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Тем не менее, возникает вопрос, почему Оператор хочет исключиться из реестра. В среде операторского сообщества существует мнение, что организации, находящиеся в реестре, подлежат обязательно проверке уполномоченным органом, хотя на деле мы большее внимание уделяем тем организациям, кого нет в реестре, и учитываем этот факт при составлении плана проверок. Факт нахождения в реестре говорит о добропорядочности оператора и о прозрачности его деятельности. Многие жалобы начинаются со слов, что некого оператора нет в реестре, и далее звучит просьба его проверить. Поэтому, прежде чем исключаться из реестра, советую хорошенько подумать, а если ещё не внесены в реестр и имеются какие-то сомнения о необходимости подачи соответствующего уведомления, рекомендую сомнения оставить и уведомление подать, от этого больше плюсов, чем минусов.

Вопрос: Является ли обработкой персональных данных поступление телефонных звонков с целью проведения телефонных опросов граждан?

Ответ: Согласно, ст. 3 Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных и.т.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого либо конкретного субъекта персональных данных.

Вопрос: Является ли обработкой персональных данных поступления СМС сообщений и телефонных звонков с предложениями рекламного или информационного характера?

Ответ: Согласно, ст. 3 Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Время публикации: 26.12.2013 10:36
Последнее изменение: 26.12.2013 10:36

http://71.rkn.gov.ru/p4136/p14130/p14131/

Защита персональных данных Кто может быть оператором персональных данных?

В соответствии пунктом 2 статьи 3 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом указанные органы и лица являются операторами независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Другие вопросы по теме

Официальный интернет-ресурс Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. Свидетельство о регистрации СМИ Эл № ФС77-32622 от 22 июля 2008 г.

http://digital.gov.ru/ru/appeals/faq/402/

Персональные данные: что это такое и кто является их оператором? Разбираемся в вопросе

Защита персональных данных кто может быть оператором персональных данных - картинка 6

Закон о защите персональных данных содержит несколько базовых определений, одним из которых является термин “оператор персональных данных”.

В этой статье мы рассмотри: кто это? какие есть права и обязанности? кто не является оператором персональных данных?

Сможем узнать о том, какая информация является личной.

Кто это?

Оператором ПД выступает юридическое или физическое лицо, государственное или муниципальное учреждение, которое производит получение и обработку персональной информации, определяет цели и перечень действий с предоставленными данными.

Оператор может самостоятельно осуществлять манипуляции с персональной информацией, а может привлекать к работе третьих лиц – они тоже автоматически подпадают под определение “оператор”.

О политике оператора в отношении обработки персональных данный читайте здесь.

Какая информация относится к личной?

Закон исчерпывающего списка не предоставляет. Чаще всего это паспортная информация, идентификационный номер (ИНН), место проживания и регистрации, трудовой стаж, место работы, образование, состав семьи, в некоторых случаях – информация о состоянии здоровья, льготах и т. п.

По факту оператором ПД выступает любое учреждение, которое принимает от физического лица персональную информацию, как минимум ту, которая содержится в паспорте.

Интернет-ресурсы, запрашивающие информацию о подписчике, банки, работающие со сведениями налогоплательщиков и держателей карт, турагенства, принимающие документы на оформление визы, магазины, оформляющие бонусные карты, поликлиники, имеющие доступ к медкартам – все они являются операторами ПД. И список можно продолжить.

Что такое реестр таких сведений?

Реестр операторов персональных данных – это специальная база (список) Роскомнадзора, куда включаются юридические или физические лица, подпадающие под определение оператора.

Такое лицо обязано самостоятельно заявить о себе органам Роскомнадзора путем подачи уведомления в особой форме – бумажным или электронным письмом, либо на фирменном бланке организации. Подробно процедура описана в Приказе Минкомсвязи России от 21.12.2011 N 346.

Обо всех изменениях, касающихся перечня операций с ПД или целей их обработки, оператор должен уведомлять Роскомнадзор. Роскомнадзор в свою очередь осуществляет контроль за работой объектов в сфере обработки ПД и проводит их проверку.

Список госреестра является общедоступным и представлен на официальном сайте федеральной службы rkn.gov.ru.

Подробнее о регистрации в Роскомнадзоре оператора ПД рассказано в этой статье.

Права и обязанности

В соответствии с Федеральным законом РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» операторы ПД имеют ряд обязательств перед государством и лицом, чьи данные взяты в обработку. Они должны:

  1. Обеспечить безопасность обработки ПД, использовать различные методы для защиты конфиденциальной информации от неправомерных действий или случайного доступа, в том числе копирование, уничтожение, передача третьим лицам, корректировка и блокировка.
  2. Уведомить федеральный орган Роскомнадзор о начале работы с личной информацией субъектов для внесения в единый государственный реестр.
  3. При сборе ПД получить у субъекта письменное согласие на обработку данных.

Последний пункт имеет исключения, закрепленные законодательно, когда согласия субъекта на операции с персональными данными не требуется.

  • По требованию субъекта предоставлять данные о нем, корректировать имеющуюся информацию в случае изменения данных, уничтожать недостоверные сведения по требованию субъекта.
  • Предоставлять в уполномоченный государственный орган (по требованию) ПД, необходимые для работы госслужбы.
  • Что касается прав оператора, то они довольно ограничены и заключаются в праве получать информацию об изменениях в законодательстве, касающихся сферы обработки ПД.

    Что подлежит включению в базу Роскомнадзора?

    Предпринимать меры по уведомлению Роскомнадзора для включения в список придется:

    • Интернет-ресурсам (соцсетям, форумам, порталам), которые проводят регистрацию пользователей с указанием ПД даже в минимальной форме (Ф.И.О. и электронный адрес).
    • Онлайн-магазинам, принимающим от покупателей информацию об обратном звонке, адресе доставки товара.
    • Сайтам, публикующим информацию о субъекте или отправляющим ее на электронный ящик, а также тем, которые уже содержат конфиденциальные данные.

    Выступает ли им работодатель ?

    Как следует из списка, представленного выше, любой работодатель, нанимающий сотрудников, потенциально может быть оператором ПД. Он получает от соискателей и сотрудников сведения, и обязан создавать систему защиты полученной информации, разрабатывать специальные меры, предотвращающие неправомерное ее использование.

    Однако существует ряд исключений, согласно которым работодатель не считается оператором ПД, и может не уведомлять Роскомнадзор в процессе работы с персональными данными. В частности, это работодатели, которые собирают и хранят сведения, необходимые исключительно для составления договора о трудовых отношениях, внутренних приказов, в соответствии с трудовым законодательством.

    Кто не является?

    Некоторые юридические лица и учреждения могут не подпадать под определение оператора ПД:

    1. телефонные компании, которые имеют доступ к сведениям абонента и используют их исключительно для оказания услуг связи;
    2. общественные или религиозные организации, использующие сведения своих членов для реализации целей, указанных в учредительных документах;
    3. лица и учреждения, которые используют ПД, раскрытые субъектом самостоятельно и добровольно;
    4. компании с пропускными системами, оформляющие одноразовые пропуска;
    5. госсистемы ПД, созданные в сфере защиты государства и сохранения общественного порядка;
    6. организации, которые обрабатывают данные без привлечения автоматизированных систем;
    7. транспортные компании, получающие сведения для оформления проездных билетов.

    Следует учесть, что Роскомнадзор может прийти с проверкой не только в компанию, внесенную в госреестр, но и в любую другую, которая в списке не значится. Следовательно, с объекта, который не подпадает под термин “оператор”, не снимается ответственность по защите конфиденциальных сведений и деятельности в соответствии с российским законодательством.

    http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/operator/kto-yavlyaetsya-oper.html

    Защита персональных данных в облаке: как сделать все по закону 152-ФЗ

    По российскому законодательству компании обязаны обеспечить безопасность персональных данных сотрудников и клиентов: хранить и обрабатывать их так, чтобы они не попали в руки злоумышленников или общий доступ. При этом не запрещено доверять хранение и обработку таких данных третьей стороне — облаку. Расскажем, как в этом случае соблюсти требования закона.

    Операторы персональных данных и типы данных

    В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.

    По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.

    Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.

    По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:

    1. Специальные : раса, национальность, политические, религиозные и философские убеждения, состояние здоровья.
    2. Биометрические : фото, отпечатки пальцев.
    3. Общедоступные : ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии.
    4. Иные : прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.

    Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.

    Требования к оператору персональных данных

    Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:

    1. Обеспечить защиту ПДн в соответствии с требованиями закона.
    2. Зарегистрироваться в Роскомнадзоре как оператор персональных данных.
    3. Спрашивать у людей согласие на сбор и обработку персональных данных.

    Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.

    Обеспечить защиту персональных данных

    При хранении и обработке данных нужно обеспечить им уровень защищенности в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК .

    Необходимый уровень защищенности зависит от четырех факторов:

    • Типа данных: специальные, биометрические, общедоступные или иные.
    • Отношений с субъектами персональных данных: это ваши сотрудники или люди, с которыми у вас нет трудового договора, например клиенты.
    • Количества субъектов персональных данных: больше 100 000 или меньше 100 000.
    • Типа актуальных угроз: 1, 2 или 3 тип.

    Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу « Методика определения актуальных угроз безопасности ПДн при их обработке », угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.

    В законе они классифицируются так:

    • 1 тип — самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
    • 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
    • 3 тип — угрозы, не связанные с ПО, например уязвимости в оборудовании.

    Универсального способа определить тип угроз, актуальных для вашей системы, нет. Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными. А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.

    Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.

    Всего существует 4 уровня защищенности (доверия):

    1. 4 УЗ . Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
    2. 3 УЗ . Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы. Именно этот уровень подходит для большинства компаний.
    3. 2 УЗ . Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
    4. 1 УЗ . Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.

    Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.

    Всего в приложении к приказу 109 мер, для каждого УЗ отмечены обязательные меры. Например, при 1 уровне защищенности нужно выполнить 69 требований.

    Чтобы было проще понять, какой уровень защищенности нужен вашим данным, мы составили таблицу на основе Постановления Правительства РФ N 1119:

    Например, вы собираете общедоступные данные о клиентах. Клиентов менее 100 000, а тип актуальных угроз вы определили как 3. Тогда для соблюдения норм законодательства нужно обеспечить 4 уровень защищенности персональных данных, то есть минимальный. Если среди информации о клиентах есть фотографии, это уже биометрические данные — нужно обеспечить 3 уровень защищенности.

    Подтвердить уровень защищенности данных можно несколькими способами. Самый сложный — пройти аттестацию в контролирующих органах и получить сертификат. По закону это необязательно, достаточно в любой форме подтвердить соответствие средств защиты требованиям, например с помощью технической документации.

    Если вы хотите пройти аттестацию, эксперты Mail.ru Cloud Solutions проконсультируют по всем вопросам, помогут в сертификации комплекса технических и программных средств и построении системы защиты данных по требованиям ФСТЭК.

    Зарегистрироваться в Роскомнадзоре

    После того как вы обеспечили защиту данных, нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Это делается через интернет. В форме необходимо указать, какие меры вы предприняли для защиты персональных данных, какие именно данные и где будете хранить. Чтобы правильно заполнить форму, лучше делать это с юристом, который специализируется на персональных данных.

    Роскомнадзор иногда проверяет организации — смотрит, зарегистрировались ли они в качестве операторов. Если не зарегистрируетесь, можете получить штраф — от 1000 рублей для физлица и ИП, от 30 000 рублей для юрлица. Все штрафы прописаны в статье 13.11 КоАП.

    Даже если у вас небольшая компания, к примеру, маленький интернет-магазин с базой на 100–200 клиентов, вы должны зарегистрироваться в Роскомнадзоре и соблюсти требования безопасности. Даже если клиент всего один, регистрироваться все равно придется.

    Спрашивать согласие на обработку персональных данных

    При сборе персональных данных нужно спрашивать разрешение у пользователя. Это делается двумя способами:

    • Лично через подписание договора, например с сотрудником.
    • На сайте, через чекбокс о согласии на сбор и обработку персональных данных.

    Перед подписанием согласия нужно рассказать пользователю, что вы будете делать с его персональными данными, как хранить и кому передавать. Обычно для этого на сайте добавляют страницу с политикой конфиденциальности.

    «Если бизнес хранит информацию в облаке, он не обязан предупреждать об этом своих клиентов или сотрудников. Люди также дают согласие на обработку персональных данных, отмечая галочкой соответствующее поле на сайте или при заполнении анкеты офлайн. Потом предприниматель может передавать эти данные в облако, не спрашивая дополнительного согласия».
    Андрей Андреев, адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

    Облако в законе: можно ли передавать провайдеру персональные данные

    В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России. По разъяснениям Минкомсвязи данные можно передавать и за рубеж, например для обработки. Но первый раз их нужно записать на сервер, который физически находится на территории РФ.

    Облачный провайдер — это не оператор персональных данных, оператором остается предприниматель. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.

    Чтобы такого не случилось, предусмотрена надежная защита ПДн в облаке, однако компании нужно ими правильно управлять, грамотно организовать доступ к информации внутри организации. Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа.

    Можно сравнить облако с флэшкой — вы просто записываете туда информацию, но сами отвечаете за ее сохранность, например, следите, чтобы флэшка не потерялась или не попала не в те руки. У облачного провайдера есть определенные обязательства перед компанией в рамках заключенного договора, то есть он не может никому просто так отдать данные с флэшки и должен их защищать. Однако провайдер не может ничего сделать, если вы сами разрешите любому желающему брать флэшку и скачивать данные.

    При передаче персональных данных в облако предприниматель не снимает с себя ответственность за их сохранность. Поэтому он обязан убедиться в надежности провайдера.

    Как защищены персональные данные при хранении в облаке

    Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.

    [2]

    «При выборе облака стоит отдавать предпочтение провайдерам, имеющим аттестацию ФСТЭК и ФСБ. Ее наличие гарантирует, что провайдер исполняет требования приказа № 21 ФСТЭК, в котором прописаны технические требования к обеспечению безопасности. Главный плюс аттестации облака в том, что при проверке компании у Роскомнадзора возникает меньше вопросов: данные в облаке, облако аттестовано, значит, все надежно и безопасно».
    Андрей Андреев — адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

    Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности. Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи. В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.

    Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В публичном облаке организовать такой уровень защиты не получится, за исключением отдельных узкоспециализированных продуктов, например, ГЕОП (государственная единая облачная платформа), где могут работать только государственные ведомства.

    Если требуется хранить такие данные в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В MCS также есть возможность сертификации по УЗ-1 и УЗ-2 , как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

    http://zen.yandex.ru/media/id/5cd2812392b85b00b3bba23f/5e2fed7cc31e4900b03bf3e5

    Литература

    1. Панов, В.П. Сотрудничество государств в борьбе с международными уголовными преступлениями: учеб пособие; М.: Юрист, 2011. — 160 c.
    2. Перевалов, В. Д. Теория государства и права / В.Д. Перевалов. — М.: Юрайт, Юрайт, 2010. — 384 c.
    3. Пауков, В.С. Лекции по судебной медицине / В.С. Пауков. — М.: Практическая медицина, 2018. — 372 c.
    4. ред. Кононенко, І.П. Законодавство про адміністративну відповідальність; Київ: Видавництво політичної літератури України, 2012. — 340 c.

    Добавить комментарий

    Мы в соцсетях

    Подписывайтесь на наши группы в социальных сетях