Везде, куда бы вы ни обратились, вас попросят предоставить информацию о себе: имя, телефон, адрес. Получить медпомощь, скидочную карту в магазине, купить сим-карту невозможно, если не указать свои персональные данные. Подобные действия нам привычны, только не все догадываются о том, что данная информация может быть использована в плохих целях. Права граждан РФ в этой сфере охраняет закон о защите персональных данных. Подробно и понятно о защите личной информации мы расскажем вам далее.
Особенности персональных данных
Всё чаще наши персональные данные, оставленные в каком-нибудь салоне связи, используются против нас. Звонки от сотрудников известных и не очень компаний с рекламой кредитов, медицинских услуг или с целью длительных опросов раздражают и мешают нормально жить.
Персональные данные (ПД) – это личная информация, относящаяся напрямую или косвенно к физическому лицу (субъекту). К ней относят: данные паспорта (в том числе место прописки), номер телефона, адрес электронной почты, индивидуальный налоговый номер, СНИЛС, а также любые сведения, позволяющие идентифицировать личность гражданина. К ПД можно отнести и информацию о семейном положении, образовании, карьере и даже уровне доходов.
Те люди, которые по долгу службы обрабатывают данную информацию, называются операторами персональных данных. Сотрудники отдела кадров, медицинских и образовательных учреждений каждый день работают с ПД граждан. В связи с опасностью распространения личной информации извне создан специальный закон, регулирующий правила работы с персональной информацией.
Как законодательство защищает персональные данные
Устраиваясь на работу, мы, не задумываясь, передаём в отдел кадров копии документов и различную информацию о себе. Встречая на просторах интернета интересный сайт, с лёгкостью регистрируемся на нём, вбивая имя и адрес электронной почты. Однако мы не осознаём, что в это же время наши персональные данные переходят в электронную базу, что порой чревато последствиями.
Электронные базы – это удобный девайс, но в то же время довольно опасный. Хорошо, если они защищены от вмешательства злоумышленников. Но если особой защиты нет, то вся информация, хранящаяся в них, может стать открытой для любопытных глаз и для тех, кто не побрезгует воспользоваться ею в корыстных целях.
Лежащие как на ладони ПД могут стать причиной нежелательных звонков от назойливых рекламщиков. Воспользоваться вашей личной информацией не прочь и мошенники, которые так и норовят то оформить кредит, то записать на вас вместо себя какое-нибудь правонарушение.
Разглашение конфиденциальной информации преследуется законом. Основные положения закона о защите персональных данных (№ 152-ФЗ) сводятся к следующим пунктам:
- Целью данного закона является защита прав и свобод гражданина в сфере получения и обработки его персональных данных, в том числе обеспечение неприкосновенности его частной жизни.
- Прописаны принципы и условия обработки персональных данных. К основным принципам отнесены: законная, справедливая и корректная обработка ПД с чёткими целями, осуществление сбора данных только в необходимом объёме (не допускается получение лишней ненужной информации) со строгими соблюдениями сроков хранения. Условия обработки ПД: согласие субъекта, целевое использование с соблюдением законов РФ. Обрабатывать данные без согласия субъекта возможно, если это необходимо в целях защиты здоровья, жизни или иных очень важных интересов гражданина.
- Чётко обозначены права субъекта и обязанности оператора персональных данных. Субъект имеет право уточнять и изменять сведения по ПД, если они устарели, а также получать их для ознакомления по запросу. Гражданин, чьи данные обработал оператор, может узнать, как именно использовались его ПД и с какой целью. У субъекта есть полное право выяснить, кто именно работал с его личной информацией и как долго её будут хранить. Оператор может отказать в предоставлении вышеуказанной информации, но отказ должен быть мотивированным. Права гражданина по поводу хранения и обработки его ПД могут быть аннулированы на основании федерального закона, если он подозревается в совершении какого-либо преступления и представляет угрозу для безопасности населения или страны в целом. Оператору вменяются следующие обязанности: запрос согласия/несогласия по обработке ПД, предоставление субъекту ПД личной информации, хранящейся в базе, разъяснение юридической информации по процедуре, обеспечение надлежащего хранения ПД и их безопасности.
- Указано, какую ответственность несёт оператор за нарушение данного закона.
Защита персональных данных в медицинской сфере
Отдельно стоит поговорить о том, как хранятся и обрабатываются наши персональные данные в медицинских учреждениях. Всё чаще мы приходим в поликлинику по предварительной записи через интернет, а результаты анализов получаем по электронной почте. Для всех этих операций требуется обработать нашу личную и даже конфиденциальную информацию. Именно поэтому 29.07.2017 издали закон № 242-ФЗ, который содержит изменения, относящиеся в основном к правилам применения телемедицинских технологий в медицине. Эти технологии обеспечивают дистанционное взаимодействие медработников и пациентов, а также обработку и документирование данных.
Конечно, в данном законе указано, что ПД, занесённые в базу данных в ходе оказания медицинских услуг, должны быть защищены и оставаться конфиденциальными. Также в 242-ФЗ говорится о том, что в нашей стране создана единая информационная система в сфере здравоохранения. В ней хранятся не только личные данные пациентов, но и сведения о медицинских организациях, врачах, поставках необходимых лекарств и о помощи людям, которым она положена по льготам.
Все базы данных с ПД требуют серьёзной защиты и большой ответственности операторов. Обеспечивают сохранность сведений специальные системы защиты данных.
Системы защиты персональных данных
Очень важно, чтобы в любых организациях, которым вы предоставляете о себе информацию, предпринимались меры по защите персональных данных в информационных системах. Защищать ПД – долг любого уважающего себя предприятия, сайта и даже магазина.
Система защиты персональных данных – совокупность мер и мероприятий, которые предпринимают для защиты личных сведений от несанкционированного доступа с учётом актуальных угроз на сегодняшний день. Установлены 4 уровня информационных систем в зависимости от необходимой степени защиты данных:
- К1 – нарушение защищённости в этих системах приведёт к крайне негативным последствиям, уровень защиты максимальный.
- К2 – нарушение защищённости в этих системах приведёт к негативным последствиям, уровень защиты высокий.
- К3 – нарушение защищённости в этих системах приведёт к незначительным негативным последствиям, уровень защиты средний.
- УЗ-4 – нарушение защищённости в этих системах не приведёт к негативным последствиям, уровень защиты низкий.
Этапы разработки системы защиты
Создание защитного барьера от взлома баз с персональными данными – довольно сложный процесс. Мы постараемся описать его простым языком, разбив на этапы:
- Издание приказа. Руководство организации выпускает внутренний приказ о том, что начинается подготовка мер по защите данных в интернете. В приказе указывают ответственного сотрудника.
- Обследование внутренних систем. В ходе него определяют, является ли данное предприятие оператором базы данных и к какой категории эта база относится по уровню защиты. На основании обследования создаются отчёты. Если организация выявила, что она является оператором базы данных, то в Роскомнадзор направляется уведомление о намерении производить обработку ПД.
- Разработка и утверждение документальной базы. Создаются нормативные акты предприятия на основе закона № 152-ФЗ.
- Внедрение. На основе разработанных документов создают правила работы, хранения и уничтожения ПД. Также составляют список сотрудников, допущенных к обработке данных, и их рабочую инструкцию.
- Определение защитных мер. На данном этапе определяют, как именно будет производиться защита базы. Устанавливают техсредства и настраивают их.
В дальнейшем средства защиты персональных данных регулярно проверяют на актуальность. Так как сегодня угрозы для конфиденциальной информации одни, а завтра уже совсем другие.
Средства защиты
Обработка персональных данных проводится во многих организациях, и их защита – обязательное условие работы с конфиденциальной информацией. К средствам защиты ПД относятся организационные меры по охране информации и современное техническое оснащение.
Организационные меры
Качественная защита данных в сети зависит от того, как была организована работа с базами. К организационным мерам по защите ПД относятся:
- оповещение Роскомнадзора о начале работы с ПД с помощью уведомления;
- разработка нормативной документации на основе ФЗ № 152;
- внедрение пропускного режима на объект, где производится работа с ПД;
- составление списка сотрудников, которые будут работать непосредственно с ПД, и предоставление им оборудованных рабочих мест, исключающих доступ другим лицам;
- контроль за соблюдением требований закона.
Техническое оснащение
Технические средства защиты ПД делятся на два основных класса:
- средства защиты информации от несанкционированного доступа;
- средства защиты от утечки по техническим каналам (усиленные кабеля, фильтры, системы зашумления).
Производить техническую защиту информации несколько сложнее, чем соблюдать одни лишь организационные меры – нужно иметь лицензию на данный вид деятельности, регулярно обследовать собственные информационные ресурсы и анализировать все события, которые могут повлечь за собой утечку данных. В дальнейшем потребуется создавать модели возможных угроз и программировать с их помощью новые системы защиты. Техническое оснащение должно отвечать современным требованиям безопасности, поэтому его регулярно сертифицируют и подвергают аттестационным проверкам.
Ответственность за нарушение закона
Персональные данные – неприкосновенная конфиденциальная информация, на обработку и разглашение которой нужно личное согласие. Если вы оставили эту информацию в какой-нибудь организации, а потом, например, ваш номер телефона узнали сотни назойливых непонятных компаний, то нельзя оставлять такое происшествие без внимания.
Куда обращаться за защитой персональных данных? В первую очередь предупреждайте ситуации, в которых ПД могут быть использованы против вас. Не оставляйте подписи, номера телефонов, копии документов в непроверенных подозрительных местах. Если же вы уже пожинаете плоды своей неосторожности и хотите наказать тех, кто раздаёт вашу личную информацию направо и налево, обращайтесь к директору организации или в суд. За разглашение персональных данных грозит дисциплинарная, административная и уголовная ответственность.
Дисциплинарное наказание могут назначить оператору ПД прямо по месту его работы (выговор, штраф или даже увольнение).
Разновидности административных наказаний за данный проступок обозначены в статье 13.11 КоАП РФ. Степень ответственности за нарушение защиты персональных данных зависит от вреда, нанесённого человеку, посредством неправильной обработки его ПД или разглашения личной информации. Размер штрафа варьируется в широких пределах:
- работнику – от 700 до 100 000 рублей;
- должностному лицу – от 5000 до 800 000 рублей;
- юридическому лицу – от 15 000 до 18 000 000 рублей.
Публичное разглашение личных сведений о гражданине – самое настоящее преступление. Наказание за него в соответствии со статьёй 137 УК РФ может быть выбрано из следующего списка:
- крупный штраф (до 350 тысяч рублей);
- лишение права занимать определённую должность на срок до 5 лет;
- принудительные работы до 5 лет;
- арест на срок до 5 лет.
Довольно суровые наказания, которые грозят операторам за некорректную работу с ПД и их разглашение, – это необходимая мера, ведь испорченная репутация может стать проклятием для человека на всю жизнь.
Заключение
Закон о защите персональных данных издан не просто так. Личные ПД – конфиденциальная информация, которую никто не вправе разглашать без вашего ведома. Если же вы стали жертвой назойливых звонков или мошенников благодаря небрежному хранению конфиденциальной информации, взывайте к справедливости. Разглашение персональных данных преследуется УК РФ и КоАП РФ.
Добрый день! Мое ООО заключило договор поставки с юр лицом. В договоре поставки были указаны только ИНН, ОГРН. юр адрес сторон. Настали сложные времена, мы не заплатили по своим обязательствам. Был суд, деньги были взысканы и списаны с нашего расчетного счета. Вроде как вопрос рассосался. На днях зашел на сайт нашего контрагента, у него на сайте создана страничка сведения о должниках. Там указано что мое ООО должно ему XXX сумму денег, ИНН, мое ФИО и мой личный номер телефона.
Это является раскрытием моих персональных данных? понесет ли собственник сайта ответственность за это?