защита персональных данных

Все уполномоченные сотрудники, ведущие оперативно-розыскную деятельность (ОРД), к 2024 году смогут получить доступ к различным типам данных о гражданах в режиме онлайн.

Речь идет о государственных данных, данных банков, операторов мобильной связи и интернет-сервисов, говорится в презентации нового министра связи Максута Шадаева на заседании рабочей группы Госсовета по направлению «Коммуникации, связь, цифровая экономика», пишут «Ведомости».

Как пояснили юристы, данные правоохранители получают как из собственных баз, так и из других, в том числе по решению суда, которое нужно, например, для получения доступа к записям телефонных переговоров, электронной почте, СМС, сообщениям в мессенджерах, для получения банковской информации. При этом воплотить инициативу Шадаева об онлайн-доступе без изменения законодательства и Конституции невозможно.

По словам экспертов, идея упростить получение данных правильная, суды и сейчас редко отказывают правоохранительным органам. Главный вопрос в том, как идея Шадаева будет исполнена, т. е. как будет предоставляться доступ к такой базе и кто его сможет получить. Доступ должен выдаваться, например, по личному идентификатору конкретного сотрудника правоохранительных органов, чтобы в базе можно было посмотреть, кто, когда и зачем к такой информации обращался, считают эксперты.

Часть презентации Шадаев посвятил цифровизации госуслуг и способам идентификации граждан: он считает, что главная цель цифровизации госуслуг – снижение времени, которое должен тратить каждый гражданин в год на общение с органами власти, оно не должно превышать трех часов.

Шадаев рассказал, что к 2024 году в личном кабинете госуслуг граждане получат доступ ко всем данным о себе, которые есть у государства, а также сведения о том, кому они были переданы. Отдельно Шадаев говорил о замене обычных паспортов на цифровой ID и использование биометрии.

Сегодня международный день защиты персональных данных. Роскомнадзор проводит публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства за 2019 год.

Прямой эфир найдете по ссылке.

В зале присутствует Максим Лагутин, основатель и эксперт по защите персональных данных в Б-152. Вот некоторая информация о проверках на соблюдение privacy.

Плановых проверок стало меньше, а нарушений по обработке персональных данных больше.

Штрафы выросли на 38% по сравнению 2018 годом.

Количество жалоб от физических лиц выросло на 22,4% до 50 тыс. Люди стали больше стараться пользоваться своими правами, охраняющими персональные данные.

Вот на что люди жалуются в Роскомнадзор чаще всего: размещение списков должников в подъездах, отправка платежек без конвертов, перевод пенсионных накоплений в НПФ с использованием персданных, передача персональных данных от банков коллекторам, отсутствие политики конфиденциальности в соцсетях и сайтах и т.д.

Приводятся также примеры нарушений по статьям КоАП РФ.

Владимир Путин подписал федеральный закон от 02.12.2019 № 405-ФЗ, предусматривающий введение штрафов за невыполнение требований о хранении персональных данных. 

Согласно принятым поправкам в ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных), операторам, не выполнившим требование о систематизации и хранении информации в базах данных России и использовавшим хранилища за рубежом, грозят штрафы.

Для физлиц штраф за такое правонарушение составит от 30 тыс. до 50 тыс. руб., для должностных лиц — от 100 тыс. до 200 тыс. руб., для юрлиц — от 1 млн до 6 млн руб. При повторных нарушениях штрафы увеличатся. Для граждан они составят от 50 тыс. до 100 тыс. руб., для должностных лиц — от 500 тыс. до 800 тыс., для юридических лиц — от 6 млн до 18 млн руб.

Операторов связи также могут наказать за повторное неисполнение требования, согласно которому они должны уведомлять федеральные органы власти о запуске новых программ для приема и обработки данных. За это нарушение физлицам будет грозить штраф в размере от 5 тыс. до 10 тыс. руб. Для должностных лиц сумма штрафа составит от 50 тыс. до 100 тыс. руб., а для юридических — от 500 тыс. до 1 млн руб.

Закон «О персональных данных» вступил в силу 1 сентября 2015 года, напоминает РБК. Он обязывает иностранные и местные компании, в том числе операторов связи, хранить и обрабатывать личную информацию граждан России на ее территории. За неисполнение закона Роскомнадзор будет вносить сайты компаний в реестр нарушителей прав субъектов персональных данных. Кроме того, по решению суда, любой онлайн-ресурс может быть заблокирован.

Роскомнадзор готовит предложения по установлению административной ответственности за незаконное использование и распространение персональных данных.

Об этом на своей странице в Фейсбуке сообщил эксперт Максим Лагутин. Свой репортаж он ведет с конференции «Защита персональных данных», организованной Роскомнадзором.

Штрафы за нарушения по персональным данным есть и сейчас, но очевидно, речь идет о расширении перечня правонарушений.

Еще одна проблема, связанная с персональными данными – мошенничество. Первый замдиректора департамента информационной безопасности ЦБ Артем Сычев показал и объяснил, что делает ЦБ для предотвращения мошенничеств. Стало известно, что теперь меры по обеспечению безопасности лягут не только на банки, но и на небанковские организации, подотчетные ЦБ.

В некоторых компаниях практикуется хранение в личных делах сотрудников копий их документов:

  • паспорта;
  • СНИЛС;
  • ИНН;
  • свидетельств о рождении детей;
  • свидетельства о браке;
  • документов об образовании;
  • военного билета.
Роструд, отвечая на вопрос работодателя, отметил, что хранение копий указанных документов сотрудников в личных делах допускается только с их письменного согласия.

При отсутствии письменного согласия сотрудников копии документов должны быть возвращены данным сотрудникам или уничтожены.

Согласно статье 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

В информационных системах госорганов — от реестра НКО Минюста до московского портала госзакупок — в открытом доступе размещены 360 тыс. записей с личными данными, в том числе сведения о бывших вице-премьерах правительства.

Об опубликованном исследовании председателя Ассоциации участников рынков данных Ивана Бегтина «Утечки персональных данных из открытых источников. Государственные информационные системы», пишет РБК.

Бегтин проанализировал данные с сайтов восьми информационных госсистем — реестра субсидий федерального бюджета Минфина (50 тыс. записей), реестра отчетов некоммерческих организаций Минюста (10 тыс.), реестра обращений граждан на портале «Онлайн Инспектор» Роструда (1 тыс.), информационной системы «Правовые акты ФАС России» (2 тыс.) и портала торгов по госимуществу ФАС (2 тыс.), портала управления многоквартирными домами Москвы (1–2 тыс.), столичного портала закупок (2,5 тыс.) и портала государственного и муниципального заказа федерального казначейства (300 тыс.).

Среди людей, информация о которых оказалась в открытом доступе, — бывшие вице-премьеры и вице-спикер Госдумы, утверждает Бегтин. На момент публикации, как убедился РБК, в реестре отчетов некоммерческих организаций Минюста среди отчетов «о деятельности некоммерческой организации и персональном составе ее руководящих органов» можно было найти документ фонда поддержки социальных, образовательных, инновационных и спортивных проектов «Ладья». В его президиум входят первый заместитель председателя Госдумы Александр Жуков (в 2004–2011 годах вице-премьер), сопредседатель фонда «Сколково», бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский. Их паспортные данные содержались в отчете фонда.

На сайте есть аналогичный отчет Фонда инфраструктурных и образовательных программ. В нем указаны паспортные данные председателя правления госкорпорации «Роснано», в прошлом вице-премьера Анатолия Чубайса и топ-менеджеров корпорации Андрея Свинаренко, Алексея Качая, Дмитрия Колесникова, Андрея Трапезникова и Юрия Удальцова.

Утечки возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов, считает Бегтин. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — говорит исследователь.

Одна из основных задач ПФР – обеспечить полную конфиденциальность персональных данных граждан.

Сегодня в базе данных персонифицированного учета хранится огромный массив важных сведений – место работы, стаж, заработок и т.д., требующих ежесекундной защиты, которую обеспечивают специлизированные структуры как на уровне региональных отделений, так и на федеральном уровне в целом, отметили в отделении ПФР по Омской области.

Пенсионный фонд сотрудничает с ведущими разработчиками средств антивирусной защиты информации, которые позволяют успешно отражать хакерские атаки – а их в год случаются не одна и не две.

Контроль за доступом к базам данных персонифицирован – у каждого специалиста ПФР доступ к личным сведениям граждан строго ограничен выполнением служебных обязанностей, вход в базу, поиск информации фиксируется. У всех сотрудников – индивидуальные пароли, ключи идентификации, средства криптографической защиты, опечатанный системный блок с блокировкой ввода – вывода информации. Все базы данных включены в локальные сети без доступа в Интернет.

Информационное взаимодействие с организациями – социальными партнерами ПФР (ЗАГС, Минтруд, ЦЗН и т.п.) также осуществляется только по защищенным каналам связи. В постоянном режиме ведется резервное копирование информации.

Как отметили в ПФР, это очень неполный перечень средств, с помощью которых фонд осуществляет защиту персональных данных россиян и  справляется с этой задачей вполне успешно.

Минкомсвязи разработало проект с поправками в КоАП, который вводит административную ответственность для операторов и обработчиков персональных данных за утечку информации, а также за создание общедоступных баз.

Если оператор не «осуществляет надлежащий контроль» над тем, кто обрабатывает персональные данные, то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-6 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. для юрлица.
Если обрабатывающий персональные данные нарушит закон, то получит штраф:

  •  3-5 тыс. руб. на физлицо;
  •  5-10 тыс. руб. на должностное лицо;
  • 10-20 тыс. руб. на ИП;
  • 15-30 тыс. руб. на юрлицо.
Если же нарушитель создаст «общедоступный источник, содержащий сведения из государственных и муниципальных информационных систем персональных данных», то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-5 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. на юрлицо.
Законопроект разработан в целях повышения защищенности персональных данных граждан РФ при осуществлении обработки персональных данных лицом, действующим по поручению оператора.

В ходе проверки в одной из аудиторских компаний «большой четверки» — российской EY — Федеральное казначейство усомнилось в том, что все данные персональные хранятся именно на российских серверах.

Между тем это строгое требование как закона о защите персданных, так и закона «Об аудиторской деятельности». За нарушения компанию могли исключить из СРО (что для аудитора фактически означает уход с рынка). Однако компании удалось убедить проверяющих, что информация все же хранится на российских серверах, пишет «Коммерсантъ».

В итоге сейчас EY вкладывает значительные средства для донастройки отдельных элементов IT-системы, чтобы хранение данных на отечественных серверах было нагляднее для проверяющих.

По словам участников рынка, схожие вопросы по поводу непрозрачности могут возникнуть и к другим компаниям «большой четверки». Это может происходить из-за того, что в своей работе эти компании используют облачные решения, в том числе и для обмена информацией между разными офисами сети.

В KPMG и Deloitte на запрос «Ъ» ответили, что не нарушают законодательство по хранению данных. «Все наши серверы с данными и резервные копии данных без исключения находятся в России,— пояснил руководитель департамента аудиторских услуг KPMG Кирилл Алтухов.— Иностранные партнеры могут получить доступ к аудиторским документам российских компаний только в исключительных случаях и только при наличии согласия таких дочерних компаний. Доступ к другой информации российских компаний для лиц, не являющихся сотрудниками нашей фирмы, запрещен».

Вправе ли организация на своем сайте опубликовать список работников, уволенных по статьям: утрата доверия, совершение хищения, неоднократное неисполнение трудовых обязанностей?

Разъяснения по этому вопросу дал Минтруд в письме № 14-2/В-803 от 08.10.2018.

В соответствии с пунктом 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физлицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Согласно пункту 1 части 1 статьи 86 ТК обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

По общему правилу, изложенному в статье 88 ТК, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в случаях, установленных ТК и иными федеральными законами.

По мнению Минтруда, опубликование на официальном сайте работодателя персональных данных работников, а также информации о причинах их увольнения не будет соответствовать нормам трудового законодательства.