защита персональных данных

Одна из основных задач ПФР – обеспечить полную конфиденциальность персональных данных граждан.

Сегодня в базе данных персонифицированного учета хранится огромный массив важных сведений – место работы, стаж, заработок и т.д., требующих ежесекундной защиты, которую обеспечивают специлизированные структуры как на уровне региональных отделений, так и на федеральном уровне в целом, отметили в отделении ПФР по Омской области.

Пенсионный фонд сотрудничает с ведущими разработчиками средств антивирусной защиты информации, которые позволяют успешно отражать хакерские атаки – а их в год случаются не одна и не две.

Контроль за доступом к базам данных персонифицирован – у каждого специалиста ПФР доступ к личным сведениям граждан строго ограничен выполнением служебных обязанностей, вход в базу, поиск информации фиксируется. У всех сотрудников – индивидуальные пароли, ключи идентификации, средства криптографической защиты, опечатанный системный блок с блокировкой ввода – вывода информации. Все базы данных включены в локальные сети без доступа в Интернет.

Информационное взаимодействие с организациями – социальными партнерами ПФР (ЗАГС, Минтруд, ЦЗН и т.п.) также осуществляется только по защищенным каналам связи. В постоянном режиме ведется резервное копирование информации.

Как отметили в ПФР, это очень неполный перечень средств, с помощью которых фонд осуществляет защиту персональных данных россиян и  справляется с этой задачей вполне успешно.

Минкомсвязи разработало проект с поправками в КоАП, который вводит административную ответственность для операторов и обработчиков персональных данных за утечку информации, а также за создание общедоступных баз.

Если оператор не «осуществляет надлежащий контроль» над тем, кто обрабатывает персональные данные, то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-6 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. для юрлица.
Если обрабатывающий персональные данные нарушит закон, то получит штраф:

  •  3-5 тыс. руб. на физлицо;
  •  5-10 тыс. руб. на должностное лицо;
  • 10-20 тыс. руб. на ИП;
  • 15-30 тыс. руб. на юрлицо.
Если же нарушитель создаст «общедоступный источник, содержащий сведения из государственных и муниципальных информационных систем персональных данных», то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-5 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. на юрлицо.
Законопроект разработан в целях повышения защищенности персональных данных граждан РФ при осуществлении обработки персональных данных лицом, действующим по поручению оператора.

В ходе проверки в одной из аудиторских компаний «большой четверки» — российской EY — Федеральное казначейство усомнилось в том, что все данные персональные хранятся именно на российских серверах.

Между тем это строгое требование как закона о защите персданных, так и закона «Об аудиторской деятельности». За нарушения компанию могли исключить из СРО (что для аудитора фактически означает уход с рынка). Однако компании удалось убедить проверяющих, что информация все же хранится на российских серверах, пишет «Коммерсантъ».

В итоге сейчас EY вкладывает значительные средства для донастройки отдельных элементов IT-системы, чтобы хранение данных на отечественных серверах было нагляднее для проверяющих.

По словам участников рынка, схожие вопросы по поводу непрозрачности могут возникнуть и к другим компаниям «большой четверки». Это может происходить из-за того, что в своей работе эти компании используют облачные решения, в том числе и для обмена информацией между разными офисами сети.

В KPMG и Deloitte на запрос «Ъ» ответили, что не нарушают законодательство по хранению данных. «Все наши серверы с данными и резервные копии данных без исключения находятся в России,— пояснил руководитель департамента аудиторских услуг KPMG Кирилл Алтухов.— Иностранные партнеры могут получить доступ к аудиторским документам российских компаний только в исключительных случаях и только при наличии согласия таких дочерних компаний. Доступ к другой информации российских компаний для лиц, не являющихся сотрудниками нашей фирмы, запрещен».

Вправе ли организация на своем сайте опубликовать список работников, уволенных по статьям: утрата доверия, совершение хищения, неоднократное неисполнение трудовых обязанностей?

Разъяснения по этому вопросу дал Минтруд в письме № 14-2/В-803 от 08.10.2018.

В соответствии с пунктом 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физлицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Согласно пункту 1 части 1 статьи 86 ТК обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

По общему правилу, изложенному в статье 88 ТК, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в случаях, установленных ТК и иными федеральными законами.

По мнению Минтруда, опубликование на официальном сайте работодателя персональных данных работников, а также информации о причинах их увольнения не будет соответствовать нормам трудового законодательства.

Часто граждане, особенно в силу преклонного возраста, доверчивы и порой наивны. На это и рассчитывают нечестные на руку люди, которые проникают в квартиры под различными предлогами. После визитов многие отдают свои последние сбережения за некачественные товары или услуги.

Ассортимент товаров и услуг, реализуемых такими способами широк – косметическая продукция, медицинские приборы, пылесосы, БАДы, фильтры для очистки воды, посуда, замена и поверка приборов учета и др.

Нередко продавцы берут на себя роль представителей органов госвласти, используя фальшивые удостоверения и апеллируя тем, что пенсионер попал под действие некой госпрограммы адресной помощи.

Чтобы обезопасить себя, близких и не оказаться жертвой мошенников, Роспотребнадзор рекомендует придерживаться нескольких правил:

1. Бережно относитесь к своим персональным данным и документам. Не следует отдавать в руки чужим людям паспорт, никогда никому не называть данные банковской карты: пин-код и СVV (трехзначный код на обратной стороне карты).

2. Если Вы получили СМС-сообщение о блокировке карты или списании денежных средств, не перезванивайте по указанному в СМС номеру! Чтобы узнать обо всех операциях, перезвоните по номеру, указанному на ВАШЕЙ банковской карточке, сходите в банк лично и проверьте баланс через банкомат/онлайн-банк.

3. Если Вам дают заполнить анкету или опросный лист - внимательно изучите их содержание, а своих пожилых или, наоборот, слишком юных родственников и знакомых предупредите, что прежде чем что-либо подписать, необходимо внимательно ознакомиться с содержанием и связаться с Вами.

4. С осторожностью приобретайте у людей, занимающихся квартирным сетевым маркетингом, продукты, мелкую бытовую технику – товары могут не соответствовать обязательным требованиям, а их цена, как правило, завышается в десятки раз. С осторожностью посещайте бесплатные демонстрации косметологических услуг (массаж, «пилинг», уход за волосами и т.д.) с настойчивыми рекомендациями «местного» врача, презентации косметики с «исключительными» свойствами. Продавцы таких товаров и услуг, услышав о недостатке денежных средств, убеждают граждан заключать кредитные договоры на крупные суммы. Документация по таким сделкам часто сложная и запутанная, напечатанная мелким шрифтом. Продавцы настойчивы и торопят с подписанием договора.

Внимательно изучите документы, не подписывайте, не прочитав и не поняв предварительно их содержание.

Прежде, чем приобрести товар или услугу следует:

- продумать вопрос о необходимости покупки;

- ознакомиться с инструкцией;

- внимательно изучить все имеющиеся у продавца документы;

- потребовать от распространителя демонстрации его работы;

- проконсультироваться с сотрудниками компетентных организаций;

- посоветоваться с родными и близкими.

Помните, что потребитель свободен в заключении договора, а понуждение к заключению договора не допускается.

Если Вы или Ваши близкие всё же подписали договор с недобросовестными продавцами или исполнителями услуг, то следует помнить, что за защитой своих прав Вы можете обратиться в Роспотребнадзор.

На днях в московском отделении «Деловой России» состоялся бизнес-утренник на тему «Кадры решают всё? Или как избежать трудовых споров?». 

Среди прочего, собравшиеся обсудили вопросы, касающиеся защиты персональных данных. В частности, было отмечено, что ведение личных дел – необязательная мера, она не прописана в законе.

Но с января 2018 года за любой документ, находящийся в личном деле и содержащий персональные данные, предприятие могут штрафовать.

 К таким документам относятся копии паспорта, диплома, свидетельства о рождении и браке.

В личном деле могут находиться трудовой договор, приказ о приеме на работу, различные приказы о движении сотрудника по предприятию, трудовая книжка, а также не исключена анкета.

 

Роскомнадзор дал разъяснения гражданам по вопросам обработки интернет-магазинами их персональных данных. Такие запросы ведомство получает систематически. Ответ надзорного органа будет интересен и бизнесменам, занимающимся интернет-торговлей.

Согласно закону, персональные данные граждан России должны обрабатываться только с их согласия, если иное не установлено другими нормами законодательства. Интернет-магазины такое согласие получать должны, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты либо в виде иных форм договорных отношений.

Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме. Список стран, обеспечивающих адекватную защиту персональных данных, можно найти на сайте Роскомнадзора.

Интернет-магазины, осуществляющие обработку персональных данных покупателей, обязаны разместить на своем сайте документ, определяющий политику оператора в отношении обработки этих данных, а также обеспечить локализацию персональных данных российских пользователей на территории Российской Федерации.

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных опубликованы на сайте Роскомнадзора.

Роспотребнадзор разместил уведомление о разработке поправок в Кодекс Российской Федерации об административных правонарушениях. Проектом предлагается установить дополнительные меры административной ответственности за нарушение прав потребителей.

Статью 14.8 дополнить КоАП предлагается дополнить частью 5 следующего содержания:

«5. Понуждение потребителя, в том числе под угрозой отказа в заключении, исполнении, изменении, расторжении договора, к предоставлению персональных данных в случаях, когда обязанность предоставления таких данных не предусмотрена законодательством Российской Федерации и не связана с непосредственным исполнением договора с потребителем,

— влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.».

Предполагается, что поправки вступят в силу с 1 января 2018 года.

Сегодня утром «Клерк» опубликовал материал о том, что Роскомнадзор оштрафовал Почту России за нарушение Правил оказания услуг почтовой связи и Федерального закона «О персональных данных».

Почта России прислала нам свой официальный комментарий, в котором на объясняет законность получения паспортных данных и попросила его опубликовать:

В соответствии с п.33 Правил оказания услуг почтовой связи, регистрируемые почтовые отправления и почтовые денежные переводы вручаются адресату при предъявлении документа, удостоверяющего личность.

Фиксация и подтверждение факта предъявления этого документа предусмотрена локальными нормативными актами ФГУП «Почта России», в виде указания на извещении ф.22 (ф.22-в) реквизитов получателя (№, серия, кем и когда выдан).

Информация, внесенная в извещение ф.22 позволяет идентифицировать лицо, фактически получившее почтовое отправление, и лицо, указанное в качестве адресата данного почтового отправления, в случае предъявления претензий к оператору почтовой связи (в т.ч. надзорными, судебными, правоохранительными и др. органами) относительно вручения почтового отправления ненадлежащему лицу. Данные факты также служат доказательствами в суде и используются правоохранительными органами при оперативно-розыскной деятельности.

Стоит отметить, что по результатам  крайней плановой выездной проверки ни одно из территориальных управлений Роскомнадзора официально не зафиксировало нарушений по этому вопросу.  Кроме того, в распоряжении Почты России имеется протокол Роскомнадзора по Ростовской области, в котором предприятию предъявляются претензии в том, что при вручении регистрируемых почтовых отправлений не были зафиксированы реквизиты документа, удостоверяющего личность.

При доработке нового законопроекта «О почтовой связи» в нем, в частности, предусмотрена норма, закрепляющая фиксацию почтовым оператором данных документа удостоверяющего личность.

Роскомнадзор оштрафовал Почту России за нарушение Правил оказания услуг почтовой связи и Федерального закона «О персональных данных». Об этом сообщила пресс-служба ведомства.

Клиенты Почты России неоднократно жаловались  на требования указывать паспортные данные при получении заказной корреспонденции.  На незаконные требования также обращали внимание и в СМИ.

Как отмечает Роскомнадзор, Правила оказания услуг почтовой связи не предусматривают внесение паспортных данных граждан в Извещение при получении регистрируемых почтовых отправлений категории «заказные письма». Это является избыточным требованием ФГУП «Почты России» и противоречит вышеуказанным Правилам и Федеральному закону «О персональных данных».

Роскомнадзор как орган, осуществляющий контрольно-надзорную деятельность в отношении ФГУП «Почта России», рекомендовал скорректировать внутренние нормативно-правовые акты и строго следовать утвержденным Правилам оказания услуг почтовой связи.

Отделение Пенсионного фонда России по Москве и Московской области сформировало специальную комиссию для проверки возможной утечки данных более 17 тыс. человек.

«Создана внутренняя комиссия специально по этому происшествию, она проводит проверку. В комиссию входят специалисты управления по защите информации. Мы не привлекаем никаких внешних экспертов, только наши сотрудники», — сообщил RNS заместитель начальника отдела по взаимодействию со СМИ.

Ранее web-разработчик Сергей Дерябин в коллективном блоге для IT-специалистов Geektimes сообщил, что одно из управлений Пенсионного фонда по Москве и Московской области раскрыло данные 17 752 граждан. Дерябин рассказал, что 9 июня 2017 года он получил рассылку от отделения Пенсионного фонда по Москве и МО, к которому был прикреплен документ в формате Excel, содержащий записи о 17 752 людях, в том числе даты рождения, адреса регистрации и номера СНИЛС.