защита персональных данных

В информационных системах госорганов — от реестра НКО Минюста до московского портала госзакупок — в открытом доступе размещены 360 тыс. записей с личными данными, в том числе сведения о бывших вице-премьерах правительства.

Об опубликованном исследовании председателя Ассоциации участников рынков данных Ивана Бегтина «Утечки персональных данных из открытых источников. Государственные информационные системы», пишет РБК.

Бегтин проанализировал данные с сайтов восьми информационных госсистем — реестра субсидий федерального бюджета Минфина (50 тыс. записей), реестра отчетов некоммерческих организаций Минюста (10 тыс.), реестра обращений граждан на портале «Онлайн Инспектор» Роструда (1 тыс.), информационной системы «Правовые акты ФАС России» (2 тыс.) и портала торгов по госимуществу ФАС (2 тыс.), портала управления многоквартирными домами Москвы (1–2 тыс.), столичного портала закупок (2,5 тыс.) и портала государственного и муниципального заказа федерального казначейства (300 тыс.).

Среди людей, информация о которых оказалась в открытом доступе, — бывшие вице-премьеры и вице-спикер Госдумы, утверждает Бегтин. На момент публикации, как убедился РБК, в реестре отчетов некоммерческих организаций Минюста среди отчетов «о деятельности некоммерческой организации и персональном составе ее руководящих органов» можно было найти документ фонда поддержки социальных, образовательных, инновационных и спортивных проектов «Ладья». В его президиум входят первый заместитель председателя Госдумы Александр Жуков (в 2004–2011 годах вице-премьер), сопредседатель фонда «Сколково», бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский. Их паспортные данные содержались в отчете фонда.

На сайте есть аналогичный отчет Фонда инфраструктурных и образовательных программ. В нем указаны паспортные данные председателя правления госкорпорации «Роснано», в прошлом вице-премьера Анатолия Чубайса и топ-менеджеров корпорации Андрея Свинаренко, Алексея Качая, Дмитрия Колесникова, Андрея Трапезникова и Юрия Удальцова.

Утечки возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов, считает Бегтин. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — говорит исследователь.

Одна из основных задач ПФР – обеспечить полную конфиденциальность персональных данных граждан.

Сегодня в базе данных персонифицированного учета хранится огромный массив важных сведений – место работы, стаж, заработок и т.д., требующих ежесекундной защиты, которую обеспечивают специлизированные структуры как на уровне региональных отделений, так и на федеральном уровне в целом, отметили в отделении ПФР по Омской области.

Пенсионный фонд сотрудничает с ведущими разработчиками средств антивирусной защиты информации, которые позволяют успешно отражать хакерские атаки – а их в год случаются не одна и не две.

Контроль за доступом к базам данных персонифицирован – у каждого специалиста ПФР доступ к личным сведениям граждан строго ограничен выполнением служебных обязанностей, вход в базу, поиск информации фиксируется. У всех сотрудников – индивидуальные пароли, ключи идентификации, средства криптографической защиты, опечатанный системный блок с блокировкой ввода – вывода информации. Все базы данных включены в локальные сети без доступа в Интернет.

Информационное взаимодействие с организациями – социальными партнерами ПФР (ЗАГС, Минтруд, ЦЗН и т.п.) также осуществляется только по защищенным каналам связи. В постоянном режиме ведется резервное копирование информации.

Как отметили в ПФР, это очень неполный перечень средств, с помощью которых фонд осуществляет защиту персональных данных россиян и  справляется с этой задачей вполне успешно.

Минкомсвязи разработало проект с поправками в КоАП, который вводит административную ответственность для операторов и обработчиков персональных данных за утечку информации, а также за создание общедоступных баз.

Если оператор не «осуществляет надлежащий контроль» над тем, кто обрабатывает персональные данные, то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-6 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. для юрлица.
Если обрабатывающий персональные данные нарушит закон, то получит штраф:

  •  3-5 тыс. руб. на физлицо;
  •  5-10 тыс. руб. на должностное лицо;
  • 10-20 тыс. руб. на ИП;
  • 15-30 тыс. руб. на юрлицо.
Если же нарушитель создаст «общедоступный источник, содержащий сведения из государственных и муниципальных информационных систем персональных данных», то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-5 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. на юрлицо.
Законопроект разработан в целях повышения защищенности персональных данных граждан РФ при осуществлении обработки персональных данных лицом, действующим по поручению оператора.

В ходе проверки в одной из аудиторских компаний «большой четверки» — российской EY — Федеральное казначейство усомнилось в том, что все данные персональные хранятся именно на российских серверах.

Между тем это строгое требование как закона о защите персданных, так и закона «Об аудиторской деятельности». За нарушения компанию могли исключить из СРО (что для аудитора фактически означает уход с рынка). Однако компании удалось убедить проверяющих, что информация все же хранится на российских серверах, пишет «Коммерсантъ».

В итоге сейчас EY вкладывает значительные средства для донастройки отдельных элементов IT-системы, чтобы хранение данных на отечественных серверах было нагляднее для проверяющих.

По словам участников рынка, схожие вопросы по поводу непрозрачности могут возникнуть и к другим компаниям «большой четверки». Это может происходить из-за того, что в своей работе эти компании используют облачные решения, в том числе и для обмена информацией между разными офисами сети.

В KPMG и Deloitte на запрос «Ъ» ответили, что не нарушают законодательство по хранению данных. «Все наши серверы с данными и резервные копии данных без исключения находятся в России,— пояснил руководитель департамента аудиторских услуг KPMG Кирилл Алтухов.— Иностранные партнеры могут получить доступ к аудиторским документам российских компаний только в исключительных случаях и только при наличии согласия таких дочерних компаний. Доступ к другой информации российских компаний для лиц, не являющихся сотрудниками нашей фирмы, запрещен».

Вправе ли организация на своем сайте опубликовать список работников, уволенных по статьям: утрата доверия, совершение хищения, неоднократное неисполнение трудовых обязанностей?

Разъяснения по этому вопросу дал Минтруд в письме № 14-2/В-803 от 08.10.2018.

В соответствии с пунктом 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физлицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Согласно пункту 1 части 1 статьи 86 ТК обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

По общему правилу, изложенному в статье 88 ТК, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в случаях, установленных ТК и иными федеральными законами.

По мнению Минтруда, опубликование на официальном сайте работодателя персональных данных работников, а также информации о причинах их увольнения не будет соответствовать нормам трудового законодательства.

Часто граждане, особенно в силу преклонного возраста, доверчивы и порой наивны. На это и рассчитывают нечестные на руку люди, которые проникают в квартиры под различными предлогами. После визитов многие отдают свои последние сбережения за некачественные товары или услуги.

Ассортимент товаров и услуг, реализуемых такими способами широк – косметическая продукция, медицинские приборы, пылесосы, БАДы, фильтры для очистки воды, посуда, замена и поверка приборов учета и др.

Нередко продавцы берут на себя роль представителей органов госвласти, используя фальшивые удостоверения и апеллируя тем, что пенсионер попал под действие некой госпрограммы адресной помощи.

Чтобы обезопасить себя, близких и не оказаться жертвой мошенников, Роспотребнадзор рекомендует придерживаться нескольких правил:

1. Бережно относитесь к своим персональным данным и документам. Не следует отдавать в руки чужим людям паспорт, никогда никому не называть данные банковской карты: пин-код и СVV (трехзначный код на обратной стороне карты).

2. Если Вы получили СМС-сообщение о блокировке карты или списании денежных средств, не перезванивайте по указанному в СМС номеру! Чтобы узнать обо всех операциях, перезвоните по номеру, указанному на ВАШЕЙ банковской карточке, сходите в банк лично и проверьте баланс через банкомат/онлайн-банк.

3. Если Вам дают заполнить анкету или опросный лист - внимательно изучите их содержание, а своих пожилых или, наоборот, слишком юных родственников и знакомых предупредите, что прежде чем что-либо подписать, необходимо внимательно ознакомиться с содержанием и связаться с Вами.

4. С осторожностью приобретайте у людей, занимающихся квартирным сетевым маркетингом, продукты, мелкую бытовую технику – товары могут не соответствовать обязательным требованиям, а их цена, как правило, завышается в десятки раз. С осторожностью посещайте бесплатные демонстрации косметологических услуг (массаж, «пилинг», уход за волосами и т.д.) с настойчивыми рекомендациями «местного» врача, презентации косметики с «исключительными» свойствами. Продавцы таких товаров и услуг, услышав о недостатке денежных средств, убеждают граждан заключать кредитные договоры на крупные суммы. Документация по таким сделкам часто сложная и запутанная, напечатанная мелким шрифтом. Продавцы настойчивы и торопят с подписанием договора.

Внимательно изучите документы, не подписывайте, не прочитав и не поняв предварительно их содержание.

Прежде, чем приобрести товар или услугу следует:

- продумать вопрос о необходимости покупки;

- ознакомиться с инструкцией;

- внимательно изучить все имеющиеся у продавца документы;

- потребовать от распространителя демонстрации его работы;

- проконсультироваться с сотрудниками компетентных организаций;

- посоветоваться с родными и близкими.

Помните, что потребитель свободен в заключении договора, а понуждение к заключению договора не допускается.

Если Вы или Ваши близкие всё же подписали договор с недобросовестными продавцами или исполнителями услуг, то следует помнить, что за защитой своих прав Вы можете обратиться в Роспотребнадзор.

На днях в московском отделении «Деловой России» состоялся бизнес-утренник на тему «Кадры решают всё? Или как избежать трудовых споров?». 

Среди прочего, собравшиеся обсудили вопросы, касающиеся защиты персональных данных. В частности, было отмечено, что ведение личных дел – необязательная мера, она не прописана в законе.

Но с января 2018 года за любой документ, находящийся в личном деле и содержащий персональные данные, предприятие могут штрафовать.

 К таким документам относятся копии паспорта, диплома, свидетельства о рождении и браке.

В личном деле могут находиться трудовой договор, приказ о приеме на работу, различные приказы о движении сотрудника по предприятию, трудовая книжка, а также не исключена анкета.

 

Роскомнадзор дал разъяснения гражданам по вопросам обработки интернет-магазинами их персональных данных. Такие запросы ведомство получает систематически. Ответ надзорного органа будет интересен и бизнесменам, занимающимся интернет-торговлей.

Согласно закону, персональные данные граждан России должны обрабатываться только с их согласия, если иное не установлено другими нормами законодательства. Интернет-магазины такое согласие получать должны, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений.

Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме. Список стран, обеспечивающих адекватную защиту персональных данных, можно найти на сайте Роскомнадзора.

Интернет-магазины, осуществляющие обработку персональных данных покупателей, обязаны разместить на своем сайте документ, определяющий политику оператора в отношении обработки этих данных, а также обеспечить локализацию персональных данных российских пользователей на территории Российской Федерации.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных опубликованы на сайте Роскомнадзора.

Роспотребнадзор разместил уведомление о разработке поправок в Кодекс Российской Федерации об административных правонарушениях. Проектом предлагается установить дополнительные меры административной ответственности за нарушение прав потребителей.

Статью 14.8 дополнить КоАП предлагается дополнить частью 5 следующего содержания:

«5. Понуждение потребителя, в том числе под угрозой отказа в заключении, исполнении, изменении, расторжении договора, к предоставлению персональных данных в случаях, когда обязанность предоставления таких данных не предусмотрена законодательством Российской Федерации и не связана с непосредственным исполнением договора с потребителем,

— влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.».

Предполагается, что поправки вступят в силу с 1 января 2018 года.

Сегодня утром «Клерк» опубликовал материал о том, что Роскомнадзор оштрафовал Почту России за нарушение Правил оказания услуг почтовой связи и Федерального закона «О персональных данных».

Почта России прислала нам свой официальный комментарий, в котором на объясняет законность получения паспортных данных и попросила его опубликовать:

В соответствии с п.33 Правил оказания услуг почтовой связи, регистрируемые почтовые отправления и почтовые денежные переводы вручаются адресату при предъявлении документа, удостоверяющего личность.

Фиксация и подтверждение факта предъявления этого документа предусмотрена локальными нормативными актами ФГУП «Почта России», в виде указания на извещении ф.22 (ф.22-в) реквизитов получателя (№, серия, кем и когда выдан).

Информация, внесенная в извещение ф.22 позволяет идентифицировать лицо, фактически получившее почтовое отправление, и лицо, указанное в качестве адресата данного почтового отправления, в случае предъявления претензий к оператору почтовой связи (в т.ч. надзорными, судебными, правоохранительными и др. органами) относительно вручения почтового отправления ненадлежащему лицу. Данные факты также служат доказательствами в суде и используются правоохранительными органами при оперативно-розыскной деятельности.

Стоит отметить, что по результатам  крайней плановой выездной проверки ни одно из территориальных управлений Роскомнадзора официально не зафиксировало нарушений по этому вопросу.  Кроме того, в распоряжении Почты России имеется протокол Роскомнадзора по Ростовской области, в котором предприятию предъявляются претензии в том, что при вручении регистрируемых почтовых отправлений не были зафиксированы реквизиты документа, удостоверяющего личность.

При доработке нового законопроекта «О почтовой связи» в нем, в частности, предусмотрена норма, закрепляющая фиксацию почтовым оператором данных документа удостоверяющего личность.