Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет. При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными. Эти выводы очень важны, поскольку позволяют четко разделить, когда происходит распространение (данные видит неограниченный круг лиц), а когда предоставление (данные получают строго определенные лица). Распространение ПД — это один из видов передачи данных, при котором ПД раскрываются неопределенному кругу лиц.
Как правило, двухфакторная авторизация по-умолчанию используется во всех банковских приложениях. После ввода логина и пароля от вас требуется указание одноразового кода, который присылается на ваш номер телефона. Любая информация, которая в силу своей специфики не может быть отнесена к трём предыдущим видам. Государственная тайна предполагает наиболее суровое наказание, в случае разглашения конфиденциальных сведений. Роскомнадзор может узнать о нарушениях в работе с данными по результатам плановой или внеплановой проверки и оштрафовать. Оператором может быть не только наймодатель, но любое лицо, в том случае, если оно занимается обработкой персональных сведений других людей вне личных и семейных нужд.
3 Федерального закона «О персональных данных», который содержит определение «обработки персональных данных», или указав, что согласие дается на любые не запрещенные законом действия с персональными данными. Теперь формулировки согласия должны прямо и недвусмысленно разрешать распространение персональных данных, при этом должен быть указан четкий перечень персональных данных, в отношении которых разрешено распространение. Неоднозначные и неясные формулировки будут трактоваться в пользу субъекта персональных данных. Очень важным пунктом Федерального закона является запрет на распространение персональных данных, даже если они уже размещены в публичном доступе.
В этом случае оператор несет ответственность в соответствии с частью 1 статьи 13.11 КоАП. Пример такого нарушения — передача оператором третьим лицам базы телефонных номеров своих клиентов для рассылки смс-рекламы. 30 декабря 2020 года принят закон¹, устанавливающий новые правила распространения (раскрытия неопределенному кругу лиц) персональных данных и обработки персональных данных из открытых источников. Но помните, что в отдельных случаях редакциям все-таки придется брать дополнительные согласия, ведь не все деятельность редакций укладывается в исключения. Так, дополнительное согласие на распространение персональных данных нужно будет, если, например, редакция публикует списки победителей конкурса или данные о сотрудниках редакции на своем сайте. Сам риск претензий к операторам в связи с разглашением данных, по его словам, не особо востребован, т.
Он включает в себя различные атрибуты, такие как отпечатки пальцев, черты лица, голос и другие уникальные физические характеристики, которые могут быть использованы для подтверждения личности человека. Ранее существовал термин «общедоступные персональные данные» — информация, доступ к которой может получить неограниченный круг лиц, если субъект ПД сам разместил их в общем доступе, на который в соответствии с законом не распространяется конфиденциальность. Однако сам по себе факт добровольного размещения персональных данных на публичных платформах, таких как Интернет или социальные сети, не делает их автоматически общедоступными.
В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным. Кроме того, человек может обратиться с требованием прекратить распространение его персональных данных, на которое он ранее дал разрешение, к любому лицу, обрабатывающему его персональные данные с нарушением закона. В этом случае распространение должно быть прекращено в течение трех дней.
Читайте о том, что представляет собой обработка персональных данных, в специальном материале. • все данные о работнике, которые использует работодатель, должны быть включены в согласие, а работник сам отметит, к каким ПД он разрешает доступ, какие можно предоставлять, а какие — распространять. Получается, что если субъект персональных данных запретил распространять информацию о нем, вы все равно можете это делать, если есть, например, общественный интерес. Очень важно следить за тем, какие данные вы позволяете получать разработчикам приложений.
Я думаю, мало кто будет спорить с тем, что в России требования нормативки традиционно являются драйвером рынка ИБ. Это верно как для защиты персональных данных, так и для защиты критической информационной инфраструктуры и других направлений ИБ. Поэтому прежде, чем говорить о тех технологиях и решениях, которые могут использоваться для обеспечения безопасности персональных данных, не лишним будет разобраться с тем, какие именно нормативные акты определяют необходимость выполнения тех или иных защитных мер.
Таким образом, возникает прямое логическое противоречие как внутри закона, так и в понятийном плане, — получается, что юридически передаются и объединяются «данные Шредингера», персональные и неперсональные одновременно. Кажется, что в законе все же хотели выделить категорию неперсональных данных, но их правовой статус не поменяли и они почему-то остаются персональными. Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним» (название статьи 13.1 №152-ФЗ). Оператор, осуществляющий сбор и обработку персональных данных, использует биометрические сведения для подтверждения личности субъекта данных. 3 № 152-ФЗ физлицами предоставляется неограниченный доступ к определенной информации, относящейся к их персональным данным, при условии предоставления ими отдельного письменного согласия на их обработку. Возникает необходимость выделения отдельных категорий ПД, которые сгруппированы по специфическим особенностям их обработки.
Нарушение требований 152-ФЗ может грозить дисциплинарной, гражданско-правовой, административной и уголовной ответственностью. Например, в статье 13.11 КоАП РФ описаны последствия в виде наложения штрафов на оператора (или на отдельных лиц) за нарушение закона о ПДн. Статья включает 9 различных пунктов с максимальным штрафом до 18 млн рублей. На оператора возлагается ответственность за обеспечение защиты персональных данных. Роскомнадзор уточняет, что любые сведения, которые относятся к субъекту, классифицируются как персональные данные.
В современном цифровом мире, где все больше информации о нас хранится в электронном виде, вопрос защиты персональных данных становится все более актуальным и значимым. Нарушения при обработке ПДн могут быть связаны не только с процессами обеспечения их безопасности. Например, необходимо уведомить Роскомнадзор о намерении обрабатывать ПДн. Кроме этого, нужно поддерживать актуальность содержащихся в уведомлении данных, сообщать об опубликовании политики в отношении обработки ПДн, о назначении ответственных за обработку ПДн и так далее. Ответственность оператора за невыполнение таких требований предусмотрена частями 3-9 статьи 13.11 КоАП.
ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн. По сути, персональные данные эта та информация, по которой можно идентифицировать конкретного человека. Так, к примеру по фамилии имени и отчеству однозначно идентифицировать человека будет достаточно проблематично. Если обладатель имени, отчества или фамилии не имеет какие-то уникальные данные, то скорее всего вы получите несколько десятков двойников. Добавление населенного пункта не сильно улучшит ситуацию, так как для крупных городов также возможны совпадения. Добавление даты рождения с большой долей вероятности позволит однозначно идентифицировать субъекта персданных.
Зачастую, даже использование выдуманного ника, вместо точных личных данных, не спасает от необходимости собирать, хранить и обрабатывать персональные данные. Потому что к нику могут быть привязаны сведения, идентифицирующие личность. Если они раскрываются внутри личного кабинета, значит могут быть рассмотрены в качестве персональных данных.
Старший юрист Центра защиты прав СМИ Светлана Кузеванова в наших новых рекомендациях объясняет, кого коснутся изменения, каким должно быть согласие и всегда ли нужно его получать. Субъекту персональных данных предоставляется право накладывать ограничения на обработку его ПД, разрешенных для распространения, неограниченному кругу лиц, за исключением предоставления доступа. На оператора возлагается обязанность по информированию этих лиц об установленных условиях и запретах. К специальным персональным данным относятся биометрические ПД, о которых говорится в статье 11 того же закона.
1 de diciembre de 2022
Publicado en: Финтех