1 Защита Персональных данных история предпосылки. Лапа Алексей Александрович Нормативноправовая база защиты информации Основополагающий документ Федеральный закон
 Скачать 337.85 Kb.
|
|
ПЕРСОНАЛЬНЫЕ ДАННЫЕ Читинский филиал Лапа Алексей Александрович Нормативно-правовая база защиты информации: Основополагающий документ Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — устанавливает основные права и обязанности, касающиеся информации и информационной безопасности. В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. История развития законодательства о персональных данных Барнаул Новосибирск Период Великой Французской революции. Она впервые провозгласила это понятие, выделяющее отдельную личность и обозначающее приоритет ее интересов над интересами ничем не ограниченного государства. В своем развитии по пути к формированию понятия именно персональных данных концепция прошла период существования в виде персональных прав человека. Под ними понимаются права: - на получение информации, касающейся интересов личности; - на защиту данных, относящихся к частной жизни. Общая концепция защиты прав человека ЧИТА Под privacy в общем понимается неприкосновенность частной жизни. В 1890 году два американских юриста – Сэмюэль Уоррен и Луи Брэндайс – определили это понятие как «право быть оставленным в покое». Право на неприкосновенность частной жизни, а значит, и на защиту персональных данных. privacy История развития законодательства о персональных данных Барнаул Новосибирск В ряде конституций европейских стран с начала 30-х годов 20 века закреплены нормы о защите информации личного и семейного характера (Испания, Италия, Ирландия, Исландия). Первый значимый документ: «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году Европа и ее концепции ЧИТА В 1999 году на уровне Ассамблеи стран СНГ был принят модельный закон о защите персональных данных, давший странам-участницам основные термины и правила регулирования сферы. В конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223» о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем Россия и СНГ История развития законодательства о персональных данных Барнаул Новосибирск В Европейском Союзе последние 4 года ведется работа по внедрению и соответствию нормам GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2016 года и до момента вступления в силу 25 мая 2018 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру. Международный аспект: ЧИТА Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС. При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ: российский банк должен соответствовать нормам GDPR при обработке данных своих клиентов-граждан РФ при их нахождении на территории ЕС; онлайн-магазин с регистрацией в РФ, предоставляющий услуги/товары в том числе гражданам ЕС, использующий cookie-идентификаторы и/или аналитику поведения пользователей на своем сайте с интерфейсом на языках ЕС, также подпадает под действие норм GDPR; дочерняя структура российской компании, ведущая деятельность на территории ЕС. История развития законодательства о персональных данных Барнаул Новосибирск
Основой норм GDPR являются шесть базовых принципов: ЧИТА Штрафные санкции за невыполнение требований по защите ПДн в разных странах Барнаул Новосибирск 1. Штрафы, взимаемые за нарушение российского законодательства о защите персональных данных, регламентируются ст. 13.11 КоАП РФ, в которой предусматриваются семь составов правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 13.11 КоАП РФ предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч рублей. Часть 2 ст. 13.11 КоАП РФ предусматривает наказание за обработку ПДн без согласия субъекта либо за нарушения в процессе получения такого согласия, в размере до 75 тысяч рублей. Кроме того, невыполнение норм о локализации баз ПДн на территории РФ является нарушением ст.1 242-ФЗ и ст.15.5 149-ФЗ, что грозит блокированием доступа к веб-ресурсу компании-нарушителя на основании вынесенного судебного решения. 2. Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае незначительных нарушений составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового годового оборота. При этом за год действия требований GDPR уже подведена неутешительная статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области защиты ПДн. 3. Штрафы, взимаемые Федеральной торговой комиссией США с компаний, не соответствующих принципам Privacy Shield, составляют до 40 тысяч долларов за факт нарушения плюс 40 тысяч долларов за каждый последующий день незаконной обработки ПДн после выявления нарушений. ЧИТА Новосибирск Федеральный закон Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» — описывает правила работы с персональными данными. Российские нормы по защите персональных данных ЧИТА Состоит из 6 глав: Глава 1. Общие положения Глава 2. Принципы и условия обработки персональных данных Глава 3. Права субъекта персональных данных Глава 4. Обязанности оператора Глава 5. Федеральный государственный контроль (надзор) за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Барнаул Новосибирск Российские нормы по защите персональных данных ЧИТА Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 152-ФЗ. Статья 3. Основные понятия, используемые в настоящем Федеральном законе Барнаул Новосибирск ЧИТА В целях настоящего Федерального закона используются следующие основные понятия: 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; (п. 1.1 введен Федеральным законом от 30.12.2020 N 519-ФЗ) 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 152-ФЗ. Статья 3. Основные понятия, используемые в настоящем Федеральном законе Барнаул Новосибирск ЧИТА 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; 5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; 6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; 7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); 8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; 9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; 10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; 11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 152-ФЗ. Статья 5. Принципы обработки персональных данных Барнаул Новосибирск ЧИТА 1. Обработка персональных данных должна осуществляться на законной и справедливой основе. 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. 7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 152-ФЗ. Статья 7. Конфиденциальность персональных данных Барнаул Новосибирск ЧИТА Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 152-ФЗ. Категории персональных данных Барнаул Новосибирск ЧИТА Всего выделяют 4 категории персональных данных:
152-ФЗ. Категории персональных данных Барнаул Новосибирск ЧИТА Всего выделяют 4 категории персональных данных:
или персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных» Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Спасибо за внимание! Читинский филиал |