Н О В О С Т И

ОБНОВЛЁННЫЙ

Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 №13-ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях». Теперь Роскомнадзор сможет самостоятельно, без участия прокуратуры, штрафовать за нарушение правил хранения и обработки персональных данных.

Изменения затрагивают практически все бизнес-сообщество, взаимодействующее с персональными данными физических лиц, в том числе не обходят стороной и предприятия турбизнеса.

Уже в 2019 году россияне смогут на специальном портале проверить, кому они давали свои паспортные данные, и одним кликом запретить их дальнейшее использование. В России появится сайт по контролю за распространением персональных данных. За его ведение будет отвечать Роскомнадзор. Об этом говорится в проекте программы «Цифровая экономика», направленном Минкомсвязью в начале мая в правительство.

Появление ресурса должно решить проблему неконтролируемого сбора персональных данных. Например, при входе в бизнес-центр или больницу у гражданина могут потребовать предъявить паспорт. Вахтер или охранник перепишет данные документа в тетрадку. Что с ними происходит дальше — неизвестно.

Читать далее...

Кодекс добросовестных практик
Кодекс этической деятельности (работы) в сети Интернет

Введение

Мировой и российский опыт показывают, что сегодня современные информационно-телекоммуникационные технологии, кроме прогрессивного и инновационного направления, связанного с предоставлением новых услуг и расширением возможностей для социально-экономического развития, могут нести реальные угрозы нарушения фундаментальных прав и свобод гражданина, безопасности общества и государства.

Мы, нижеподписавшиеся, заинтересованы в максимально эффективном и безопасном использовании возможностей сети Интернет, выражаем уверенность в том, что данные условия возможны исключительно при условии совместных усилий органов государственной власти, профессиональных, общественных и образовательных объединений и организаций, бизнес-сообщества.

Принимая во внимание вышеизложенное, мы подписываем Кодекс добросовестных практик (далее - Кодекс), базирующийся на положениях законодательства Российской Федерации и разделяющий принципы международных актов, стороной которых является Российская Федерация.

Цели принятия Кодекса:

формирование и обеспечение реализации условий для взаимодействия граждан, государства, общества и бизнеса;

снижение рисков, связанных с неосведомленностью всех заинтересованных лиц об угрозах вмешательства в частную жизнь, о требованиях законодательства Российской Федерации, о рекомендациях и стандартах профессиональных объединений и лучших практиках по защите прав и свобод гражданина как субъекта персональных данных, в том числе путем медиаобразования;

выявление, снижение и предупреждение рисков, связанных с возможным опасным и потенциально опасным контентом, а также относительно к действиям лиц, использующих возможности сети Интернет в противоправных целях;

установить основы для диалога с целью достижения и поддержания баланса интересов граждан, государства, общества и бизнеса в вопросах надлежащего поведения в сети Интернет;

привлечь органы государственной власти, профессиональные, общественные, образовательные объединения и организации, а также бизнес-сообщество к проблемам защиты прав субъектов персональных данных в сети Интернет, как первоочередного вопроса в формировании безопасного информационного пространства в сети Интернет путем создания надлежащих условий для его формирования и определения основных направлений, решений его развития.

Достичь:

повышения внимания граждан, органов государственной власти, общества и бизнес-сообщества на необходимость построения безопасного информационного пространства в сети Интернет, обеспечивающее надежную защиту прав субъектов персональных данных, повышения информированности общества и частных пользователей относительно существующих угроз неприкосновенности частной жизни в связи с использованием информационных технологий;

организации и стимулирования новых исследований по вопросам функционирования сети Интернет и цифрового суверенитета, использование полученных данных для обеспечения и внедрения практических решений;

освещение положительного опыта деятельности в сети Интернет применительно к соблюдению прав и свобод человека и гражданина.

Основные подходы (механизмы):

Подписывая Кодекс, заинтересованные стороны заявляют о своей готовности в содействии в обеспечении безопасного информационного пространства в сети Интернета руководствуясь следующими подходами:

соблюдение требований законодательства Российской Федерации, положений международных договоров Российской Федерации и рекомендаций уполномоченных органов государственной власти;

информированность пользователей и открытость содержания правоотношений при оказании услуг в сети Интернет;

формирование условий для обеспечения безопасного и правомерного обмена информацией в сети Интернет;

создание, развитие и внедрение мероприятий по формированию культуры безопасного поведения в сети Интернет.

Заключительные положения:

Кодекс открыт для присоединения к нему любой заинтересованной стороны.

Сторона, которая присоединяется к Кодексу, предварительно направляет заявление о присоединении к Кодексу, подписанное его уполномоченным представителем, в адрес уполномоченного органа по защите прав субъектов персональных данных.

Положения Кодекса могут применяться Сторонами на территории Российской Федерации в качестве делового поведения и практик, и не распространяются на их взаимоотношения, складывающиеся на территории иностранных государств.

Датой вступления в силу настоящего Кодекса считать 8 ноября 2016 года.

Перечень организаций, подтвердивших намерение подписать Кодекс добросовестных практик

1 ПАО «БИНБАНК»
2 Ассоциация российских банков (АРБ)
3 Франко-Российская торгово-промышленная палата
4 Ассоциация руководителей служб информационной безопасности (АРСИБ)
5 АО «ЭЛВИС-ПЛЮС
6 IXcellerate
7 ЗАО «Аладдин Р.Д.»
8 АО «Кросс Технолоджис»
9 ООО «Комплексная защита информации»
10 ООО «АйТи Таск»
11 ООО «Р-Вижн»
12 САО «ВСК»
13 Союз субъектов страхового дела «Национальная страховая гильдия»
14 Российский союз автостраховщиков
15 Страховая компания «ПАРИ»
16 Национальный Дельфийский совет России
17 Ассоциация электронных коммуникаций (РАЭК )
18 Региональная общественная организация «Центр Интернет-технологий» (РОЦИТ)
19 ФГУП «Почта России»
20 ПАО «Ростелеком»
21 ПАО «Мобильные ТелеСистемы»
22 ПАО «МегаФон»
23 ПАО «Вымпелком»
24 Российская государственная детская библиотека
25 РГУ нефти и газа (НИУ) имени И.М. Губкина
26 НОУ ДПО ЦПК «Академия информационных систем»
27 Общество с ограниченной ответственностью «Ангара Технолоджиз Груп»
28 Роскомнадзор
29 Правительство Республики Башкортостан
30 ООО «Группа АйБи Сервис»
31 ФГБОУ ВПО "Донской государственный технический университет (ДГТУ)"

Поручение Председателю Правительства Дмитрию Медведеву от 26 апреля 2017 года

В целях повышения информационной безопасности государственных информационных систем в Российской Федерации и защищённости персональных данных граждан Российской Федерации обеспечьте внесение изменений в федеральные законы, предусмотрев следующие принципы обработки данных в государственных информационных системах:

минимизацию состава обрабатываемых персональных данных, необходимых для решения возлагаемых на информационные системы задач;

обязательность учёта и регистрации всех действий и идентификации всех участников, связанных с обработкой персональных данных в информационных системах;

декларирование и согласование порядка обработки персональных данных с целями их обработки;

хранение персональных данных в электронном виде в информационных системах по месту возникновения таких данных;

определение межведомственного запроса как преимущественного способа получения в информационных системах сведений об объекте (субъекте).

Срок – до 1 декабря 2017 года.

Президент России Владимир Путин подписал закон, усиливающий административную ответственность

за нарушение законодательства в области персональных данных

Поправки вносятся в статью 13.11 КоАП "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)". В настоящее время она предусматривает предупреждение или административный штраф для граждан в размере от 300 до 500 рублей; для должностных лиц — от 500 рублей до 1 тысячи рублей; для юридических лиц — от 5 тысяч до 10 тысяч рублей.

Согласно закону, за обработку персональных данных в случаях, не предусмотренных российским законодательством, либо обработку персональных данных, несовместимую с целями их сбора, если эти действия не содержат уголовно наказуемого деяния, будет грозить предупреждение или штраф для граждан в размере от 1 тысячи до 3 тысяч рублей. Должностным лицам может грозить штраф от 5 тысяч до 10 тысяч рублей, а юрлицам — от 30 тысяч до 50 тысяч рублей.

Обработка персональных данных без письменного согласия их субъекта в случаях, когда такое согласие должно быть получено в соответствии с законодательством, а также обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие субъекта на обработку его персональных данных, по новому закону, влечет штраф для граждан в размере от 3 тысяч до 5 тысяч рублей; для должностных лиц — от 10 тысяч до 20 тысяч рублей; для юрлиц — от 15 тысяч до 75 тысяч рублей.

Также закон предусматривает штрафы за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных. Данное нарушение повлечет предупреждение или штраф для граждан в размере от 700 до 1,5 тысяч рублей. Должностным лицам будет грозить штраф от 3 тысяч до 6 тысяч рублей. Для ИП устанавливаются штрафы от 5 тысяч до 10 тысяч рублей, для юрлиц — от 15 тысяч до 30 тысяч рублей.

Комментарий

к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты

Российской Федерации в части уточнения порядка обработки персональных данных

в информационно-телекоммуникационных сетях»

На Портале персональных данных запускается информационно-справочный ресурс «Электронная библиотека по защите прав субъектов персональных данных», содержащий материалы по тематике защиты прав субъектов персональных данных, доступный неограниченному кругу посетителей Портала персональных данных.
Данный сервис будет представлять собой каталог, структурированный на группы: «Законодательство и судебная практика», «Презентации, доклады, статьи и монограммы», «Методические документы, рекомендации и комментарии уполномоченного органа», «Международный опыт».

На первоначальном этапе в «Электронную библиотеку по защите прав субъектов персональных данных» будут включены основные нормативные-правовые акты, отдельные судебные акты и документы уполномоченного органа, подготовленные, в том числе с участием экспертного сообщества. В дальнейшем ее содержание будет наполняться, актуализироваться, чтоб соответствовать потребностям всех заинтересованных лиц.

Электронная библиотека по защите прав субъектов персональных данных будет расположена по адресу http://pd.rkn.gov.ru/library/.

ПОЯСНЕНИЯ

о возможностях различных методов обнаружения и устранения компьютерных вирусов

ВОЗМОЖНЫЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ

РАЗЪЯСНЕНИЯ РОСКОМНАДЗОРА

ПО ВОПРОСАМ В СФЕРЕ ЗАЩИТЫ ПРАВ СУБЪЕКТОВ

ПЕРСОНАЛЬНЫХ ДАННЫХ

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций? > >

Ответ: Уполномоченный орган - федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных? > >

Ответ: В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных? > >

Ответ: В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных? > >

Ответ: Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

п. 1.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору? > >

Ответ: Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных? > >

Ответ: В соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети "Интернет".

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников? > >

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой? > >

Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети "Интернет".

Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона "О персональных данных"? > >

Ответ: Ст. 24 Федерального закона "О персональных данных" определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.

Административная ответственность за нарушение настоящего Федерального закона наступает за:

- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ);

- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);

- непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст. 19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

Вопрос: Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий? > >

Ответ: Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 нояб