Персональные данные

ruticker 07.03.2025 7:25:24

Текст распознан YouScriptor с канала Екатерина Зотова

распознано с видео на ютубе сервисом YouScriptor.com, читайте дальше по ссылке Персональные данные

**Дальше так.** А давайте я представлюсь. Меня зовут Екатерина. На данный момент я являюсь у вас настроена активация по кнопке. Сейчас минуточку, микрофон отключен, громкость пользователя. Ну вот, отключить микрофон я вам не отключала. То есть да, я могу включить, могу выключить, но я вам не запрещаю включать микрофон. То есть у меня этого профиля у вас нет. Я смотрела, вот сама навская школа пробовала, тут запись, видеозапись тоже мелькнул правый голос. В принципе, тоже вот смотрите, вот так вот. Соответственно, на какую кнопку у вас голос, это, соответственно, микрофончик. Нужно нажать просто, вот у вас можно включить микрофон или отключить микрофон. То есть вы видите вашу учетную запись в самом низу, и соответственно около них вот есть "Включить микрофон" и "Отключить микрофон". Вот там именно голос. Давайте дальше. Пока тогда буду представляться. Да, я являюсь сотрудником ОПТелеком Ульяновского филиала Центра Информ. Я ведущий специалист. Мое основное направление — именно защита информации, и одной из них это и защита персональных данных. Я являюсь, соответственно, основным преподавателем в курсах именно не только повышения квалификации, но и переподготовки по защите конфиденциальной информации по данным же направлениям. Вот и соответственно решили создать такие небольшие курсы для того, чтобы в небольшие короткие сроки иметь возможность вам рассказать про основные основополагающие защиты персональных данных и соответственно именно защиты персональных данных с использованием средств криптографической защиты информации. А это будет у нас два преподавателя. Я, соответственно, вам рассказываю об основах персональных данных, что есть на данный момент в законодательстве. Мы с вами рассмотрим основные новые нововведения, какие организационные, там, распределительные документацию в основном нужно сделать, как построить систему защиты, как коротко подготовиться к проверке Роскомнадзора, что у вас должно быть в непосредственно вашей организации. Итак, если вы уже заходили в систему iOS, да, то вы могли видеть, у меня там выложены две достаточно больших лекции. Одна — это по персональным данным, и другая — по защите персональных данных. Вот мы будем идти, в принципе, по ним. Кое-что я буду заведомо пропускать, объясню по какой причине и давать на рассмотрение на ваше собственное ознакомление с этим материалом, считая, что в данный момент это не основные вопросы, в которых мы будем касаться, но всё равно в любой возможности вы сможете с ними ознакомиться. Итак, сейчас минуточку я включу экран. Так, сейчас секунду. Сейчас минуточку, почему-то мне не транслирует его. Да, скажите, пожалуйста, напишите, пожалуйста, в чате, экран сейчас вам виден? То есть не меня сейчас, я отключу камеру, а то, что отображено на экране, вам видно в чате? Напишите, пожалуйста. Да, нет, у вас должна быть страничка с действующими системами, системой документов, видна данная информация на экране? Действующие системы документов отображаются? Да, отлично. Всё отлично. Тогда давайте смотрите. Защита персональных данных строится на очень большом количестве нормативно-правовых актов, начиная с Конституции, трудового законодательства, гражданского законодательства и продолжая, соответственно, различными нормативно-правовыми актами Федерального законодательства и положениями правительства. То есть и соответственно нормативными правовыми актами уже непосредственно регуляторов в данной сфере. Основным Федеральным Законом, который регулирует именно обработку персональных данных, является, как я думаю, все вы знаете, 152 Федеральный закон. Соответственно, для того чтобы его полностью выполнить, вам необходимо будет ознакомиться с постановлением правительства 11-19, в котором дается классификация информационных систем персональных данных и даже не информационных систем, а уровни защищенности тех персональных данных, которые обрабатываются в информационных системах персональных данных. Все определения мы сейчас с вами дадим. Дали вам не обязательно нужно будет ознакомиться с постановлением правительства 687, в котором рассказывается, как необходимо защищать персональные данные, если вы их обрабатываете, вы храните на бумажных. Постановление Правительства 211 — это именно касается муниципальных и государственных органов, как необходимо организовать защиту персональных данных именно в этой организации. Дальше, одним из основных приказов о защите персональных данных является 21 приказ Стек, в который, соответственно, указаны, какие необходимо принимать меры защиты информации для того, чтобы защитить персональные данные, которые находятся и обрабатываются у вас в организации. Для того чтобы это сделать, нам необходимо будет также строить и модели угроз, которые строятся по методике определения актуальных угроз. Да, последняя методика была издана 5 февраля и соответственно 20-го года. 21, извините, года. Базовые модели угроз — это очень старый документ, но почему-то законодательству он на данный момент еще не отменен. То есть он имеет свою юридическую силу, но если мы будем говорить именно о практическом применении данного документа, то он уже не применяется. Если мы же, как говорим с вами на нашем курсе, мы будем непосредственно рассматривать и защиту персональных данных с использованием средств криптографической защиты. Да, и этого нам обязательно понадобится 378 приказ ФСБ, 152 ФЗ, это очень важный документ, а этого вы будете рассматривать с другим преподавателем после нашего, соответственно, блока курса. И методические рекомендации 2015 года. Если вы посмотрите данный документ, он, конечно, больше посвящён именно методикам защиты для государственных информационных систем. Допустим, зачем он хорош? То, что в нем более расширены и подробно описаны те методики, методы, которые вы должны применять для защиты персональных данных. Также есть, не стала указывать все новые приказы, которые вышли, допустим, там 178 приказ Роскомнадзора об оценке вреда, 179 приказ об уничтожении персональных данных, 187 приказ о том, как вы должны реагировать на инциденты. Мы об этом обо всем с вами поговорим позже, и будет понятно, в какое время, в какой именно нормативно-правовой акт применяется. Так, здесь что-то кто-то прислал табличку, то есть не видно, что находится, или всё-таки видно, что я показываю на экране, или это просто на какой-то момент такая табличка была? Видно? Там ошибка по микрофону. Понятно. К сожалению, сейчас пока не будем разбираться по ошибке микрофону. Главное, чтобы у нас было видно то, что отображается на экране. Давайте тогда вернемся к дальнейшей лекции. Итак, мы продолжим дальше. Сейчас я немножко перескочу. Сейчас мы будем с вами разговаривать и конкретно о 152 Федеральном законе, регулирующем, соответственно, правовое основание обработки персональных данных. В первую очередь, если мы обратим на основные положения данного закона, да, то он регулирует отношения, связанные с обработкой персональных данных и федеральных органов государственной власти, и соответственно субъектов Российской Федерации, юридическими и физическими лицами. То есть если мы посмотрим на данный перечень, который представлен на экране, мы понимаем, что этот закон применим как ко всем юридическим, так и физическим лицам, которые существуют в Российской Федерации. Да, ИП-шники, если мы говорим об упрощенцах, то они относятся к юридическим лицам. Если мы говорим о самозанятых, то их чаще всего относят к физическим лицам. То есть исключений никаких нет, всем данный закон должен регулировать отношения по обработке персональных данных. Основное его направление является, конечно, обработка персональных данных именно в автоматизированном виде либо без средств автоматизации, но этот процесс должен быть полностью аналогичным тому процессу, который был бы использован при автоматизированной обработке персональных данных. То есть абсолютно идентичны. При этом мы понимаем, что процесс автоматизации представляет собой, что персональные данные обрабатываются на средства вычислительной техники. То есть именно так говорится в 152 ФЗ, то есть на любых компьютерах, серверах и так далее. Прохождение по каналу связи всё является, соответственно, под гласным данным 152 закону. А соответственно, закон в свою очередь регулирует правоотношения не только субъектов Российской Федерации, да, но также и иностранных юридических и физических лиц, если они заключили договора с юридическими либо физическими лицами Российской Федерации, либо, соответственно, не заключили договора, а подписали какие-либо соглашения между собой, либо они, соответственно, просто договорились о том, что они дают согласие на обработку своих персональных данных. То есть иностранные лица также не выходят из списка, а которые должны придерживаться тем правилам, которые регламентируют 152 Федеральный закон. То есть любое иностранное юридическое или физическое лицо, грубо говоря, находящееся на территории Российской Федерации и не только, и те, которые находятся за границей, в этом случае происходит разграниченная передача, но мы об этом поговорим чуть позже. Обработка персональных данных должна осуществляться именно по данному федеральному закону. Давайте дальше поговорим. Да, основное то, на что не распространяется данный закон, это, соответственно, обработка персональных данных физическими лицами исключительно для личных и семейных нужд. Как я обычно говорю, это в том случае, если семья сидит вечером, пьет чай, ужинает, разговаривает между собой, передает между собой какую-то информацию касающуюся персональных данных. В этом случае, конечно, 152 Федеральный закон применяться не будет. Еще одна особенность: 152 Федеральный закон не применяется для документов, которые перешли в архив. То есть если у вас были какие-то юридически значимые документы и специальными актами их переместили в архив, больше эти документы не хранятся, допустим, на бумажных носителях, но здесь уже как бы может быть и в электронном виде перемещены в архив, да, на, соответственно, магнитный носитель, соответственно, они уже 152 ФЗ не подвластны. Об этом не нужно забывать. Но, грубо говоря, да, многие считают, что вот я сейчас возьму документы, переложу их в архив в отдельную комнату или просто в отдельный шкаф, и тем самым это будет архивным делом. Конечно, нет, да, то есть составляют специальные акты, с помощью которых переходит документы в архивное дело. Ну и, соответственно, третье, что не касается 152 ФЗ, это персональные данные, которые являются государственной тайной. Да, если мы вспомним, что же такое государственная тайна, к ним относится несколько направлений: это всё, что связано с политикой, с экономикой, а там с транспортной безопасностью. На них будут определённые грифы секретности, устанавливаются обычно государственной тайной. Чем-то другим сложно путать, потому что грифы секретности обязательно должны на любых носителях быть прописаны. Итак, давайте дальше. Мы с вами всё говорим о том, что персональные данные, персональные данные, но не поговорили о том, что же является персональными данными. Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу. Вот смотрите, если несколько лет назад дано определение, акцентировала свое внимание именно к прямо определенному или определяемому физическому лицу, то сейчас в любых рекомендациях Роскомнадзора, я вам ссылочку скину на последние их общественные выступления, где они дают свои рекомендации, да, делается больше акцент на косвенно определенному или определяемому физическому лицу. То есть, грубо говоря, раньше любая фотография, где-либо размещенная, не подписанная, что это Иванов Иван Иванович, не являлась биометрическими персональными данными. К сожалению, теперь любая фотография без фамилии и общества или каких-то любых других идентификаторов является биометрическими персональными данными уже по умолчанию. Да, и раньше, если мы говорили, что персональные данные стали именно персональными, и они должны были выполняться определенные критерии, то есть Иванов Иван Иванович раньше не был персональными данными, то сейчас просто фамилия. А если вот фамилия и, допустим, какой-то идентификатор, паспортные данные, либо конкретный адрес проживания, либо дата рождения, вот это всё являлось. Сейчас же нет, любые отдельные выдернутые характеристики человека являются на данный момент персональными данными. Отличительной особенностью является, например, номера телефонов. То есть на данный момент просто отдельный номер телефона ваш сотовый не является персональными данными именно с вашими конкретно другими идентификаторами, потому что, как мы понимаем, номер телефона сегодня принадлежит вам, через месяц вы от него отказались, принадлежит кому-то другому. Да, база данных есть у мобильных операторов, и не буду застрять, не является телефон персональными данными. А вот, например, отдельная почта, электронная почта отдельно ваша — это уже персональные данные. Будем разграничивать, соответственно, смотреть. Сейчас посмотрю, что она с вами происходит, если какие-то вопросы. Пока нет? Хорошо, давайте, идем дальше. Соответственно, мы сейчас идем по основным понятиям, которые даны в 152 Федеральном законе. Да, и не больно давно появилось такое понятие, как персональные данные, разрешенные субъектом персональных данных для распространения. Пару лет назад это прям был бум, сейчас люди, мне кажется, более-менее совсем смирились. Давайте же поговорим о том, что же такое персональные данные, разрешенные субъектом для распространения. То есть те персональные данные, которые сам субъект не ограничивает к ним доступа определенному кругу лиц. Тем самым выступает сразу еще несколько определений: есть определение распространения персональных данных, а есть определение предоставления или передачи персональных данных. Вот давайте, соответственно, разберемся сразу в двух самых разных понятиях. Соответственно, если мы говорим о предоставлении персональных данных, мы говорим о том, что я передаю свои персональные данные определенному кругу лиц. А если я говорю о распространении персональных данных, в этом случае я говорю, что я предоставляю свои персональные данные неопределенному кругу лиц. То есть, например, мои персональные данные будут размещены где-то на сайте, и понятно, что на сайт может зайти кто угодно. Поэтому в этом случае, конечно, происходит распространение моих персональных данных. Более подробно о том, как это делается и как правильно это делать, мы с вами тоже обязательно, конечно, поговорим. Дальше, оператором кем же может быть оператор персональных данных? Как вы можете в дальнейшем прочитать, по определению оператором персональных данных может быть в принципе кто угодно, включая и физическое лицо. Главное, чтобы он определил цели обработки, состав персональных данных и действия, которые он совершает с данными персональными данными. Отличие, да, он определил цели, состав и действие. В этом случае он будет являться, соответственно, оператором персональных данных. Обработка, чаще всего, да, говорят об обработке. В принципе, по законодательству под это слово подходит любое действие, которое можно совершить с персональными данными. То есть это и конкретные сборы, хранения, модификации, удаления, обезличивания — всё что угодно подразумевает под словом "обработка". Обработка, в той же самое время, мы можем как-то конкретизировать данное понятие и дать более конкретно. Если кто-то уже делал уведомление в Роскомнадзоре после 1 марта этого года, то он мог заметить там все остальные конкретные те действия, которые можно делать с персональными данными. А если всё вместе обойтись, можно также сказать, что это осуществляется обработка персональных данных. Да, вот как мы уже с вами говорили, автоматизированная обработка — это обработка персональных данных с помощью средств техники. А что же такое является информационной системой персональных данных? Давайте сразу оговоримся о том, что мы будем её называть коротко ИСПДН, чтобы не тратить просто на это время. Соответственно, информационная система — это совокупность тех персональных данных, которые содержатся в базе данных и обеспечивается их обработка с помощью различных технологий и технических средств. То есть, просто говоря, у нас есть какая-то база данных. При том, что не надо думать, что база данных обязательно там, если вы идете на этой скей или ещё что-то. Любая цель табличка может выступать в качестве базы данных. В принципе, даже любые мордовские документы тоже могут подразумевать собой базу данных. Соответственно, используются какие-то технические средства, на которых всё это хранится, и определённые технологии, с помощью чего это обрабатывается. А чаще всего возникают вопросы по поводу сайтов. Является ли это ИСПДН, либо это не является? Мы с вами тоже в дальнейшем об этом поговорим. Давайте пока по основным понятиям пробежимся. Да, распространение я вам уже сказала, что неопределенному. Уничтожение — это те действия, в результате которых невозможно восстановить содержание персональных данных. В этом случае, знаете, раньше тоже бывало, Роскомнадзор давал такие разъяснения, что в принципе обезличивание тоже можно подвести под уничтожение персональных данных. Последние пару лет говорят: "Нет, обезличивание — это не уничтожение". Потому что если мы говорим, как происходит обезличивание персональных данных, да, это происходит при помощи специальных технологий, это происходит при помощи специальных методов. То есть существует модификация ваших персональных данных там при помощи перестановки и так далее. Ну, не будем туда заострять большое внимание. Но зная алгоритмы, по которым вы обеспечиваете ваши персональные данные, вы в любой момент их можете восстановить. Поэтому обезличенные персональные данные не равняются уничтоженным персональным данным. То есть это тоже нужно понимать. Давайте дальше. Вот как раз до использования дополнительной информации поговорим о трансграничной передаче. Просто как по определению, да, чтобы, может быть, кто-то не знает, что это такое. Трансграничная передача персональных данных — это передача ПДН на территорию иностранного государства, и на территории этого иностранного государства мы передаем либо органу власти, либо иностранному физическому, либо юридическому лицу. То есть мы именно передаем на территорию иностранного государства кому конкретно. Здесь уже не важно, подходит и физическое, или физическое лицо, или мой орган государственной власти. Сейчас произошли с 1 марта, даже не с первого, там от трансграничной передачи, там 28 октября 22 года, очень большие изменения. Тоже заострите внимание, потому что, возможно, многие даже не знают о том, что они осуществляют трансграничную передачу персональных данных. Дальше, ну и здесь, соответственно, кто как регулирует, кто имеет право утверждать какие-то нормы, нормативно-правового акта в данной области. Соответственно, даже тот же самый Центробанк, либо какие-то межведомственные организации, да, органы государственной власти, они могут утверждать определенные законопроекты, касающиеся персональных данных. Но в этом случае они обязательно должны их согласовать непосредственно с Роскомнадзором, который будет говорить о том, что в этом законодательном правовом акте не содержится каких-либо оснований, которые будут ущемлять права субъектов персональных данных. В этом случае, да, они могут издавать новые законы и, соответственно, не обязательно законы, а у кого-то приказы и так далее. Но это всё регулируется, и соответственно, если издается какое-то приказ внутри какого-то ведомства, например, образования, так как я так думаю, что большинство из вас именно школьные работники, там, либо в медучреждениях направления, то именно эти организации в ведомствах, в которых были созданы данные на нормативно-правовые акты, должны придерживаться в том числе не только 152 Федерального закона, но и их в том числе. Я думаю, это всем понятно, это как бы общая такая практика юридическая. Дальше, принцип по условиям обработки. Основной закон: справедливости, соответствие целей, соответствие объёма, точность и допустимость объединения. Давайте коротко поговорим, о чём это идёт речь. Закон справедливости, понятно, что мы должны их собирать, обрабатывать на законных основаниях. В соответствии с целью и говорит о том, что мы не имеем права собирать персональные данные, если они не соответствуют определённым целям, для чего мы это всё делаем. Просто говорю, вот если вдруг как-то заумно изъясняют, в чат пишите, но я обычно стараюсь простому объяснять, чтобы всем было понятно. Соответствие объёма содержания. В этом пункте, знаете, всегда есть закрыто самое главное принцип данного закона. Почему? Объясню. Допустим, у нас с вами есть цель обработки персональных данных для осуществления трудового законодательства. Пришел сотрудник, мы с ним заключаем трудовой договор, соответственно, нам нужно с него собрать определённый пакет персональных данных. И соответственно, бывают случаи, когда собирается всё подряд, всё, что видели, где-то знали и так далее, мы всё это собираем, зачем-то храним, обрабатываем. А вот этот пункт говорит о том, что, пожалуйста, перед тем, как собирать персональные данные, задумайтесь, а для каких конкретных целей вы это делаете. Допустим, самая распространённая — это когда собирают персональные данные, касающиеся близких родственников субъектов. Да, если мы также будем говорить, допустим, о школах, тоже давайте вот сразу заострим внимание. Часто собирается много персональных данных по родителям. Понятно, что по школам есть свои различные социальные вопросы, но здесь тоже мы с вами поговорим. То есть для каких целей всё это обрабатывается и собирается большой пакет. Где, когда работали, кем является и так далее. Вот, соответственно, каждый раз, когда вы собираете какие-либо персональные данные, обязательно нужно прописывать цели и конкретизировать. Допустим, если мы с вами собираем персональные данные именно сначала для того, чтобы ребенок обучался в какой конкретно организации, в этом случае, конечно, мы понимаем, что нас не совсем не интересует достаток родителей, какую сумму он получает, что они готовы купить и так далее. В этом случае нет. А вот если мы осуществляем обработку персональных данных с целью составить понять, находится ли он в благополучной семье, какими условиями, соответственно, в каких условиях ребенок находится и так далее, вот в этом случае уже можно конкретизировать. Там живете в трехкомнатной квартире, сколько там людей проживает в данной квартире. Понятно, что ли, у вас есть там трехкомнатные квартиры, не живет всего лишь три человека, а может быть вариант, что да, вроде как квартира трехкомнатная, но в ней живет 10 человек. Соответственно, здесь уже могут вступить в силу различные социальные льготы, социальные наблюдения за данной семьей, да, благополучно и так далее. Вот акцентирование внимания, главное понять, для каких целей мы всё это делаем. Давайте дальше. По поводу точности. Здесь, соответственно, собираются обычно, а собираются там информация всегда должна быть точная и достаточная. То есть если вдруг мы собрали какую-либо информацию, допустим, девушка была Иванова Елена Ивановна, обрабатываем данный персональные данные, а через два года она выходит замуж и меняет свою фамилию и становится Васечкиной, соответственно, её персональные данные уже становятся неточными. Да, а то есть и в этом случае либо сам субъект должен предоставить эту информацию, либо потом запросит определенные документы операторы для того, чтобы уточнить персональные данные. Это вот в этом пункте об этом. И один из немаловажных пунктов — это недопустимость объединения баз данных, содержащих ПДН, цель которых несовместимы между собой. То есть могут быть совершенно разные цели, а, допустим, та же самая цель по трудовому законодательству и, допустим, цель по торговой реализации продукции, например. То есть, соответственно, одна цель предполагает под собой обработку ПДН сотрудников, а другая цель предполагает под собой обработку ПДН клиентов, которые приобретают какой-то товар. Понятно, что цели между собой никак не совместимы, соответственно, находиться они в одной базе данных не могут. Это касается как бы не только хранения в электронном виде персональных данных, в дальнейшем говорим и по бумажным носителям в том числе. Хранение, да, а соответственно настройки хранения чаще всего зависит от того, какими целями мы задались. Да, если я думаю, все из вас когда-либо вставляли, если вы здесь присутствуете, согласие на обработку персональных данных, и одним из данных пунктов данного согласия является сроки хранения персональных данных. Многие в этот момент создают в тупик, не знают, что там конкретно написать, и чаще всего самая лучшая формулировка — это "до осуществления целей обработки персональных данных". То есть пока нам нужно обрабатывать, пока мы не достигли наши определённой цели. То есть, допустим, пока человек работает, мы обрабатываем, но не забываем о том, что есть и другое законодательство, в соответствии с которыми, допустим, даже при этом трудоустройстве мы еще должны хранить их документы для того, чтобы подтвердить, здесь видите на том, что данный сотрудник работал и так далее. По налоговому законодательству, если заключали договора с юридическими лицами, да, как только мы его исполнили, если не ошибаюсь, мы там должны хранить еще пять лет или четыре. Ну, поправьте меня, если вдруг не права. И, соответственно, только после этого можем уничтожать данный договора. Здесь нужно смотреть конкретно для каких целей, какие другие нормативные правовые акты в этом случае будут тоже применяться и, соответственно, прорабатываем персональные данные, которые закончили свой срок обработки, они должны быть подвержены уничтожению либо обезличиванию. Но обезличенные именно если в том случае, если есть какие-то дополнительные федеральные законы. То есть чаще всего это уничтожить, если есть какое-то дополнительное законодательство, туда их можно обеспечивать. Это уже конкретное рассмотрение. Идем дальше. Цели мы не будем с вами, всё это понятно. Так, условия обработки персональных данных. Давайте сейчас поговорим об этом. Основными условиями обработки персональных данных является либо согласие субъекта персональных данных о том, что он действительно согласен с обработкой, либо мы можем не брать у него согласие на обработку. И вот давайте разберем те случаи, когда мы можем не брать согласие субъекта на обработку персональных данных. В первую очередь, это, конечно, если цели предусматриваются международным договором Российской Федерации, либо законом для осуществления возможных законодательством Российской Федерации на операторов функции, полномочия, обязанностей. То есть какие-то международные договора и соглашения, в соответствии с которыми мы можем не брать согласие субъекта персональных данных. Также мы не берем согласие субъекта персональных данных, если осуществляется правосудие. То есть вставляется какое-то судебный акт, либо ведется, соответственно, в суде, рассматривается дело уголовное, гражданское, неважно, какое. В этом случае согласие на обработку персональных данных тоже не берется. Также не берется согласие для предоставления государственной или муниципальной услуги в соответствии с Федеральным Законом организации предоставления государственных и муниципальных услуг. Для обеспечения предоставления такой услуги и для регистрации на Едином портале государственных и муниципальных услуг. То есть если вы хотите зарегистрировать, в принципе, портале государственных и муниципальных услуг, согласие с вас могут не требовать. Но, как я знаю, своему личному опыту, чаще всего все подстраховываются, и согласие вам тоже предоставляется. Но там может быть, что при вашей регистрации вас заносит еще какую-то внутреннюю их свою систему персональных данных, и вот в этом случае согласие тоже обязательно нужно. Также согласие не требуется, если стороной выгодоприобретателя является данный субъект. То есть вы заключаете какой-то либо договор с кем-либо, вы являетесь выгодоприобретателем, при этом либо поручителем, да, соответственно, при этом вы согласны на обработку персональных данных. В принципе, тоже можете не давать, и действие данного договора будет происходить. Дальше, для защиты жизни и здоровья, жизни, важных интересов, если у него невозможно получить согласие. Я думаю, это очень всем понятно. Допустим, человеку неожиданно стало плохо на улице, к нему кто-то подошел, что-то спросил, позвонили, вызвали и так далее. Ясно дело, привезли в больницу, в этом случае никаких согласий субъектов, к которому плохо, брать не будут, потому что здесь совершенно другие спасти человеку жизнь. Вот, а далее, соответственно, для осуществления прав, законных интересов оператора и третьих лиц, в том числе предусмотрено федеральным законом о защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и обнесении изменений в федеральный закон. То есть либо для достижения общественно значимых целей, при этом, соответственно, согласие тоже на обработку персональных данных браться не будет. Также, если вы являетесь журналистом для осуществления профессиональной деятельности журналиста и у кого-то берете интервью, в этом случае вы тоже согласие на обработку персональных данных с интервьюированного брать не будете. И, соответственно, либо вы осуществляете какую-либо деятельность, массовую, научную, там, литературную или творческую деятельность, далее вы не будете брать согласие, если персональные данные собираются в статистических или иных исследовательских целях, только при условии, что в дальнейшем при обработке их персональные данные будут обезличиваться. В этом случае согласие на обработку персональных данных можно не брать. То есть это вот как бывает, люди ходят запросами, да, с различными, даже самые перепись населения — это всё подходит. Перепись — это немножко другое, это частный случай, это вот подходит именно под эту статью только если персональные данные будут обеспечены. **обработка персональных данных** — это важный аспект, который требует особого внимания. Важно помнить, что согласие на обработку персональных данных может быть получено не только в письменной форме, но и в электронной, например, через галочку на сайте. Однако, чтобы избежать недоразумений, необходимо четко указать, какие именно данные обрабатываются и для каких целей. ### Основные моменты согласия на обработку персональных данных: 1. **ФИО и документы**: В согласии должны быть указаны фамилия, имя, отчество субъекта, а также данные документа, удостоверяющего личность (например, паспорт). 2. **Цель обработки**: Необходимо четко указать, для каких целей собираются и обрабатываются персональные данные. 3. **Перечень данных**: Важно конкретизировать, какие именно персональные данные будут обрабатываться. Например, вместо общего "паспортные данные" следует указать "номер и дата выдачи паспорта". 4. **Передача третьим лицам**: Если данные будут передаваться третьим лицам, это также должно быть указано в согласии, с указанием наименования и реквизитов этих лиц. 5. **Срок действия согласия**: Укажите, на какой срок вы даете согласие на обработку данных. 6. **Способы обработки**: Необходимо указать, какие действия будут производиться с персональными данными (сбор, хранение, передача и т.д.). 7. **Конфиденциальность**: Оператор обязан обеспечить конфиденциальность и безопасность персональных данных. ### Специальные категории персональных данных: Обработка специальных категорий персональных данных (например, данные о расовой принадлежности, состоянии здоровья) требует особого внимания и всегда должна осуществляться на основании письменного согласия субъекта. ### Биометрические персональные данные: Биометрические данные также обрабатываются только с письменного согласия. Важно помнить, что любая фотография может быть признана биометрическими данными, если она используется для идентификации личности. ### Ответственность: Операторы несут ответственность за безопасность персональных данных. В случае утечки данных, ответственность может быть возложена как на оператора, так и на третьих лиц, если данные были переданы им. ### Общедоступные источники: Субъекты имеют право на исключение своих данных из общедоступных источников, если они были размещены без их согласия. ### Заключение: Обработка персональных данных — это серьезная ответственность, требующая соблюдения всех норм и правил. Важно, чтобы все согласия были оформлены правильно и содержали всю необходимую информацию. **Во-первых, одно здесь надо согласия.** Мы еще немножко не добежали. Давайте тогда посмотрим еще раз на сайт. Да, обязательно дает согласие. Распространение подразумевает собой представление персональных данных неопределенному кругу лиц. Как вы понимаете, соответственно, распространяются персональные данные оператором только на тех информационных ресурсах, согласие на которые он дал. Также, соответственно, субъект персональных данных может запретить либо разрешить конкретные категории персональных данных. Сейчас посмотрим какой-нибудь пример. Разберем также, допустим, молчание или бездействие субъекта не считается, что он согласен на распространение персональных данных. То есть если вы просто не взяли с него согласие и ничего нигде не подписывали, это не говорит о том, что он согласен на распространение своих персональных данных. Дальше оператор не имеет права отказывать субъекту персональных данных вносить какие-либо запреты. Оператор обязан не позднее трех рабочих дней с получения соответствующего согласия опубликовать данную информацию о наличии запретов и условиях, соответственно, на базе Роскомнадзора, если вы ее получили. То есть сразу надо уведомлять, где субъект разрешил располагать свои персональные данные, а где нет. Пример: я пришла устраиваться к вам на работу, чтобы было понятно. У нас есть с вами сайт. Если вы школа или медицинская организация, то согласие на распространение сотрудников вы сто процентов не берете. Сразу вы по умолчанию все можете там распространять. Другой вопрос: если вы являетесь каким-либо другим юридическим лицом и у вас есть сайт, и вы хотите, чтобы на этом сайте размещалась какая-то информация по вашим сотрудникам, то вам обязательно брать согласие на распространение персональных данных. Вы также должны составить и написать цели, какие конкретно персональные данные вы будете предоставлять. Что именно, допустим, там указать, обязательном порядке будут ли они биометрические, либо будут ли они специальные категории персональных данных, либо будут они иные. Это все те, которые не относятся к специальным и биометрическим персональным данным в соответствии с 152 Федеральным Законом. У нас с вами есть два сайта организации, и это не зеркалируемый сайт, это реально два разных сайта. Я, допустим, как просто трудоустраивающийся человек, не являющийся медицинским работником и работником школы, могу указать, что на сайте "Рога и Копыта" я разрешаю, чтобы была размещена моя фотография, фамилия, имя, отчество и дата моего рождения. А все остальное я запрещаю там размещать. А вот на сайте "Цветочек" я разрешаю размещать только свою фамилию, имя, отчество и мою электронную почту. То есть вот таким образом всё это происходит, и оператор не имеет права запретить указывать, какие персональные данные субъекты разрешают на данных сайтах. Я думаю, это понятно. Так, на исполнительной власти дамы. Это всё говорили, что они обязаны, да, соответственно, органы исполнительной власти в том числе. Но я думаю, что просто на данных курсах нет, они также размещают всю информацию, да, и не только о своих доходах и так далее. То есть с них тоже, соответственно, согласие на распространение персональных данных не берется. Если будут какие-то вопросы по распространению, давайте сразу по биометрии. Я так думаю, возникнут у многих в школе. Что нам делать? У нас есть сайты, очень часто мы хотим разместить информацию по тому, как у нас проходят различные мероприятия, хотим разместить там фотографии, как у нас всё это проходит. Да, я так думаю, что вас это будет интересовать. Смотрите, любое коллективное фото, коллективные массовые фото, снятое на каком-либо мероприятии, общественно не будет являться носителем биометрии. Именно коллективное, еще раз акцентирую ваше внимание. То есть, например, в школе проходит какой-либо конкурс, вы приходите, фотографируете, там куча детей, всех их видно, вы размещаете коллективные, потому что они не являются биометрией без согласия этих родителей, а потому что это было официальное мероприятие. А вот если вдруг, например, какой-то ваш ученик при минимальном участии в какой-либо Олимпиаде занял там какое-то почетное место, ясное дело, вы на своем сайте хотите похвалить и сказать: "Смотрите, какие у нас замечательные ученики, как мы хорошо растим, какие замечательные знания мы им даем". Я понимаю прекрасно, вот в этом случае, если будет индивидуальное фото ученика там с его наградами, в этом случае это уже будет являться биометрией, и в этом случае вам нужно брать согласие на распространение биометрических персональных данных с его родителей. Вот хочу прям заострить на этом большое внимание. Также еще по поводу, давайте тоже сразу биометрии. Если вдруг у вас в здании, как мы прекрасно знаем, во многих новых школах сейчас установлены видеокамеры, которые снимают поток, что там происходит, то есть непрерывный видео поток на данный момент сейчас как бы тоже не является носителем биометрических персональных данных. Основное внимание уделяется тому, что вы всех людей, которые находятся в данном помещении, где осуществляете эту видеофиксацию, чаще всего это в коридорах, вы обязательно должны уведомить об этом. То есть вы должны разместить таблички, говорящие о том, что здесь ведется, если еще фото, видеофиксация. В этом случае, пожалуйста, но обязательно должна быть табличка, что ведется видеофиксация, предупреждает людей. Понятно, что ученики, дети никуда не могут, но родители тоже бывают разные. Допустим, пришли в школу, они не заметили, что там есть видеокамеры, не знали об этом и могут, соответственно, предъявить определенный потом вам, если узнают, что данное видео было снято. Да, разместив данную табличку, что ведется видеофиксация, вы снимаете себя какие-либо дальнейшие наложения на ваш штраф и так далее. Память себе, пожалуйста, это обязательно. Далее, как я уже сказала, непрерывный видеопоток не является биометрическим персональными данными. Биометрией будет являться это видео только в том случае, если вдруг потом необходимо будет идентифицировать конкретного человека, то есть вырезать там оттуда какой-то кусочек, именно его найти, именно его идентифицировать. Вот в этом случае и будет данный кусок видео являться биометрией, но поток не является биометрическими персональными данными. Тоже это как бы вот возьмите себе на заметку. Роскомнадзор об этом тоже в Яном виде в этом году сказал. Дальше, например, происходят различные медосмотры сотрудников, для которых они не могут осуществлять деятельность без проведения данных медосмотров. Допустим, врачи должны в определенный промежуток времени приходить на медосмотры, иначе они не будут допускаться к своей деятельности. В этом случае, соответственно, когда они проходят медосмотр, согласие с них можно и не брать, даже если это другое, как я уже говорила, по основному медицинскому осмотру. Мы в принципе тоже согласие можем не брать, а вот под ДМС, если у кого-то заключен договор, в этом случае согласие на обработку персональных данных, так там будут специальные категории персональных данных, обязательно необходимо оформлять в письменном виде. Дальше, какие еще могут быть нюансы? Давайте я посмотрю, может быть, вы мне что-то написали. Ничего не написали? Да? Ну ладно. Далее. Так, так, так, так, так, что еще у нас может быть по биометрии? Основное, наверное, я вам сказала. Давайте тогда перейдем к трансграничной передаче персональных данных. Как мы уже говорили, это передача персональных данных на территории иностранного государства, государственному органу этого иностранного государства либо любому физическому, либо юридическому лицу. Именно это и будет трансграничной передачей персональных данных. А как же всё это осуществляется? Во-первых, есть конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Если вдруг мы хотим передать персональные данные в страны, которые ратифицировали данную конвенцию, всё как бы хорошо, можем передавать. Это будут определенные, но сейчас мы с вами поговорим. Также есть ряд стран, которые, соответственно, не приняли данную конвенцию и не являются ее сторонами, но они входят в перечень адекватных стран, которые осуществляют защиту персональных данных. Этот перечень, соответственно, формирует Роскомнадзор, и этот перечень лежит в общем доступе, его тоже можно посмотреть. Поэтому они примерно эти страны приравниваются к тем странам, которые являются сторонами данной конвенции. Есть третий блок иностранных государств, которые не являются сторонами конвенции и не входят в перечень тех адекватных стран. Вот с ними хуже всего обстоят дела. Почему? Потому что у нас недавно был принят, соответственно, приказ Роскомнадзора, если не ошибаюсь, 180, именно там и говорится о том, что любой организации, которая только хочет осуществить трансграничные передачи персональных данных, необходимо уведомить об этом Роскомнадзор. Итак, если вы внимательно посмотрите на слайд, то вы увидите, что в приказе 128 вы увидите все те страны, которые являются странами, принявшими конвенцию. Соответственно, есть приказ 28, где перечислены все эти страны, которые являются адекватными. В этом случае, если вы хотите передавать в эти страны персональные данные, вы подаете, вы уже сразу можете передавать персональные данные в многие страны, но вам обязательно всё равно нужно подать уведомление в Роскомнадзор, в котором вы запрашиваете, а всё-таки мы имеем право туда передавать или нет. А если же вы хотите передать персональные данные в какую-либо страну, которая не принадлежит этим двум большим группам, то вы не имеете права передавать персональные данные, пока Роскомнадзор на основании вашего уведомления о желании осуществлять трансграничные передачи персональных данных не даст вам добро. То есть как это делается? Вы заходите на сайт Роскомнадзора, там есть определенный пунктик "Уведомить о трансграничной передаче персональных данных", и, соответственно, заполняете данное уведомление. Как я уже еще раз сказала, если входит в конвенцию или является адекватным, то просто отправляете это уведомление, и в течение 50 дней, если вам не приходят какие-либо запреты либо ограничения, то вы спокойно продолжаете передавать персональные данные данному юридическому иностранному или физическому лицу. А если вы передаете персональные данные, как я уже сказала, не входящие в конвенцию, не являющиеся адекватными, тогда вы должны подать это уведомление, подождать 10 дней, и если в этом случае вам не дали запретов или ограничений, после этого, как бы в Яном виде вам должны разрешить об этом. Если вам не сделали запреты, то получается, вам разрешают, и в этом случае только после этого вы начинаете передавать персональные данные за пределы нашего государства. Еще одно, но перед тем, как осуществлять трансграничные передачи персональных данных, обязательно все эти персональные данные должны быть собраны в базе данных, находящейся на территории Российской Федерации. То есть нельзя сделать так, что у вас есть какое-то программное обеспечение, вы заносите в него персональные данные, допустим, свой интерфейс на сайте, на каком-то страничке, и эти персональные данные сразу утекают в иностранные государства. Нет, так нельзя. Законодательство говорит о том, что на вас будут возлагаться определенные штрафы. Законодательство говорит о том, что да, вы зашли на сайт, вы заполнили там все необходимые информацию, сначала все эти данные упали в базу данных, находящиеся на территории Российской Федерации, и только после этого, они будут переходить на территории иностранного государства. По-другому никак. Еще по трансграничной передаче персональных данных есть определенные сейчас нюансы. Уведомление о том, что вы хотите осуществлять трансграничную передачу персональных данных, подают все, но, допустим, кроме некоторых. Я думаю, те, которые не подают, здесь просто не будут присутствовать. Соответственно, кто перечислен в пункте 25-26 первом пункте 2 этого положения, не осуществляют, не нужно им подавать уведомление. Там это отдельные, это военные и так далее. Всё это отдельная история. А в вашем же случае, я думаю, вам всем необходимо будет, при условии, что это вам действительно нужно, подать уведомление. Но если осуществляется передача персональных данных трансграничные для осуществления образовательных либо различных спортивных мероприятий, то есть при организации данных мероприятий именно образовательного либо спортивного уклона, в этом случае Роскомнадзор не имеет права запретить вам это делать. Вы его должны уведомить, что да, мы передаем, но запреты он вам установить не может, именно спортивные и образовательные организации. Еще давайте рассмотрим такой нюанс. Если, допустим, у нас есть какая-то организация, и у этой организации есть филиал, который находится на территории иностранного государства, в этом случае передача персональных данных этому филиалу не будет являться осуществлением трансграничной передачи персональных данных, потому что он является филиалом Российской организации. Еще один основной момент по трансграничной передаче персональных данных. Сейчас, я думаю, у любого юридического лица есть свой личный сайт, и если на этом сайте размещены какие-либо осуществляется какой-либо сбор метрических данных, например, с помощью Google Analytics либо Яндекс.Аналитики, в этом случае сразу Роскомнадзор скажет, что вы осуществляете трансграничную передачу персональных данных. Если, еще раз говорю, у вас, например, на сайте есть сбор, присутствует Google Analytics, он собирает определенные данные. Почему? Потому что все эти метрические системы чаще всего принадлежат иностранным государствам, это иностранные разработки. Соответственно, мы не знаем, на каких серверах в результате хранятся эти персональные данные, поэтому Роскомнадзор расценивает это как трансграничную передачу персональных данных. Так, еще особое внимание нужно обратить на то, если вы вдруг всё это осуществляете и подаете уведомление, вы будете указывать, соответственно, в какую страну вы передаете, а в какой именно город вы передаете. Желательно указать, где конкретно находится данный сервер. Вы будете говорить о том, какие объемы персональных данных вы передаете, для каких целей вы осуществляете трансграничную передачу персональных данных. Если вдруг что-то поменялось, то есть, допустим, вы передавали персональные данные в Испанию, оставили передавать их в Италию, то вы должны подать новое уведомление о намерении осуществлять трансграничные передачи персональных данных. Либо у вас поменялись цели передачи, вы тоже должны подать новое уведомление на осуществление трансграничной передачи персональных данных. Далее, предположим, вот тот вариант, который мы с вами рассматриваем, вы передаете персональные данные в какую-либо страну, которая либо принадлежит конвенции, либо является адекватной, а вы уже передаете, до того, даже разрешили вам или не разрешили, но вдруг, если Роскомнадзор вам запретит передавать персональные данные по каким-либо причинам, вы должны, соответственно, немедленно прекратить её передачу. И только, я не знаю, каким-то способом заставить то юридическое или физическое лицо уничтожить персональные данные, которые были им приняты, и, соответственно, также они должны подтвердить тот факт, что данные были уничтожены. И еще, как мы с вами уже говорили, существуют определенные условия, при которых вы можете осуществлять передачу персональных данных. Да, то есть вы должны удостовериться, а какие меры защиты информации применяются в той организации в иностранных, да, и у того, там, физического либо юридического лица, для того чтобы удостовериться, что персональные данные наших субъектов будут также защищены. А дальше давайте пойдем дальше. Это как раз вот я обо уведомлении. Мы с вами уже конкретно поговорили. Здесь всё указывается, что конкретно, когда вы должны подать. Все есть на это уведомление, есть ссылка на сайте Роскомнадзора. Нажимаете, через ЕСИА, соответственно, авторизуетесь и там всё заполняется. Здесь мы тоже с вами уже поговорили. А вот как раз то постановление правительства, про которое я говорила, да, в котором указано, для кого не нужно подавать уведомление, то что можно, соответственно, ознакомиться. Все они тут представлены. Теперь давайте поговорим всё-таки, какими правами обладает субъект персональных данных. Так, никакой активности я не вижу. Ну ладно, в записи, если кто захочет, потом посмотрит. Итак, какими же непосредственно правами может обладать субъект персональных данных? В первую очередь, он может подтверждать факт обработки, да, то есть запрашивать информацию оператора о том, что действительно подтверждаете его персональные данные, правовые основания, цели обработки персональных данных, наименование местонахождения оператора. Не буду перечислять, я думаю, здесь указаны, соответственно, все эти пункты, которые находятся в согласии на обработку персональных данных, которые обычно даются непосредственно субъекту персональных данных. Соответственно, на основании всех этих данных он может требовать у оператора уточнения, блокировки, уничтожения своих персональных данных, если они являются неполными, устаревшими, уже недействительными и так далее. Если же вдруг оператор персональных данных непосредственно обрабатывает персональные данные, которые он получил от третьих лиц, и субъект непосредственно персональных данных не знает о обработке их, то необходимо сделать запрос на то, что и, соответственно, запрос должен содержать сведения об обработке. Извините, немножко дальше перескочила. А запрос о тех персональных данных, которые обрабатывают субъект. Соответственно, что должен содержать запрос внутри себя? Это номер основного документа, удостоверяющего его личность, конечно, фамилия, имя, отчество его, либо представители, сведения о дате и выплате, определенно, выдаче этого документа и, соответственно, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором. Чаще всего это может быть либо договор, либо даже какой-то кассовый чек о том, что была предоставлена какая-либо услуга, либо какой-либо товар, либо иной другой документ. Соответственно, на основании этого субъект персональных данных подает запрос. В каких условиях осуществляется ограничение прав субъектов персональных данных? Но это ясно дело, когда происходит оперативно-розыскная, контрразведывательная деятельность, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка. Также, когда осуществляется обработка персональных данных в мероприятии по расследованию преступления, либо, соответственно, субъект персональных данных обвиняется, допустим, по уголовному либо какому гражданскому делу. В этом случае, соответственно, ограничиваются права субъектов на предоставление тех персональных данных, которые обрабатываются данными организациями. Это, как мы уже с вами говорили, да, в том случае есть же случаи, при которых согласие не требуется. Соответственно, эти же самые случаи наоборот применяются. В этих случаях те органы, чаще всего государственные власти, они будут предоставлять информацию субъектам персональных данных о том, какие конкретно персональные данные здесь обрабатываются. Так, также по поводу отмывания и легализации доходов, получения денежных средств в том же самом виде. И когда происходит транспортная безопасность, всё это соответствует. Все эти организации не будут предоставлять сведения, запросы осуществлять и давать ответы на запросы от субъектов персональных данных. Да, но в то же самое время, если не ограничиваются вот этими ограничениями, извините за тавтологию, но я не знаю, как по-другому сказать, соответственно, субъект персональных данных всегда имеет возможность, например, немедленно прекратить обработку своих персональных данных. Кроме тех ограничений, о которых мы сейчас с вами проговорили, он пишет запрос о том, что я прошу прекратить обработку персональных данных. Да, я прошу, допустим, удалить мои персональные данные или я прошу изменить мои профессиональные данные, например, модифицировать их в соответствии с изменением, допустим, моих паспортных данных, если мне исполнилось 45 лет или, допустим, кто-то вышел замуж, соответственно, поменял фамилию. Устанавливаются конкретные сроки, в течение которых всё это должно быть реализовано, и, соответственно, указываются условия, при которых всё это делается. Далее, чаще всего запрещается принимать какие-либо юридические решения на основании только автоматической автоматизированной обработки персональных данных. Соответственно, данные юридические решения, которые имеют под собой дальнейшие юридические последствия, могут быть приняты только на основе автоматизированной обработки в том случае, если субъект персональных данных дал на это согласие в письменной форме. При этом также, если вдруг субъект персональных данных он не хочет давать согласие об обработке своих персональных данных, когда с него затребуют это оператор, соответственно, оператор должен разъяснить субъекту его дальнейшие последствия. То же самое время сейчас в законодательстве принято такое постановление, что оператор персональных данных не может не предоставить, допустим, товар либо услугу только на основании того, что субъект персональных данных не дал ему согласия на обработку персональных данных. Понятно? То есть если раньше, допустим, человек приходит и говорит: "Я хочу, чтобы вы мне предоставили такую-то услугу", ему дает согласие на обработку персональных данных, он отказывается, ему говорят: "Ну, не хотите, чтобы обрабатывали, тогда, извините, мы вам услугу данные не предоставим". Сейчас, к сожалению, такого нет. Услуга всё равно ему должна быть предоставлена. А вот здесь говорится о том, что если вдруг субъект персональных данных считает, что персональные данные обрабатываются незаконным образом, то есть оператор персональных данных незаконно обрабатывает их, получив их неизвестно откуда, то, соответственно, все субъекты в праве обжаловать действия либо бездействие данного оператора. Либо он идет с жалобой в Роскомнадзор, либо может сразу идти в суд, чаще всего там районный суд, и подавать заявление на конкретного оператора персональных данных. Еще сразу могу сказать о том, что если вдруг вы действительно столкнулись с незаконной обработкой персональных данных, вы сразу можете обратиться в Роскомнадзор, а не в суд. Роскомнадзор, как он утверждает на данный момент, полностью поддерживает субъектов персональных данных, помогает им вести судебные разбирательства, а даже бывает, что представляет их интересы в судебных разбирательствах. Соответственно, субъект персональных данных может потребовать компенсацию морального вреда также в судебном порядке от оператора персональных данных. Смотрите, вот мы всё говорим о незаконных основаниях, ходим по законным основаниям. Просто нет, обычно чаще я вижу кого-то доски, мне беседу. Рассмотрим тонкий момент о распространении персональных данных. Если вдруг субъект персональных данных дал согласие на распространение своей фамилии, имени, отчества, паспортных данных и фотографий на каком-либо сайте, заходя на этот сайт, соответственно, и видео его персональные данные, пожалуйста, вы имеете право их просматривать. Как только вы сохраняете что-либо к себе на компьютер, вы сразу являетесь оператором персональных данных других субъектов. Соответственно, если вдруг вы решите передать эти персональные данные кому-либо еще, соответственно, вы сразу нарушаете законодательство, потому что субъект персональных данных как бы не давал на это согласие. Если будет идти далее цепочка, и где-то обнаружится, что персональные данные в результате всплывут не на сайте, а на сайте Б, а персональные данные субъект не давал размещение в своих персональных данных на сайте, в этом случае будет происходить расследование. В этом расследовании будет взаимодействовать вся цепочка, в принципе, будет обменяться как и сайт А, так и сайт Б в том, что неправильно как распространено. Но сайт А здесь будет, скорее всего, нет. Если, допустим, еще сайт, например, сайт А, где субъект дал согласие распространять свои персональные данные, а есть еще сайт Б и сайт С, на котором он не давал, они там появились, соответственно, обвинять будут за незаконное распространение как сайт А, так и сайт Б. Будут выяснять, кто первый взял информацию, кто первую разместил и так далее. И вообще, перед тем, как размещать персональные данные, как уже говорилось, это требуется обязательно согласие. Нужно зайти в базу данных в Роскомнадзоре и посмотреть, действительно ли на данном сайте в первоначальный субъект дал согласие на что он дал согласие. И просто так распространять на третьем сайте нельзя. Всё это штрафуется, в КАПе это всё прописано. Давайте дальше, немножко отступили, вернёмся обратно. Так, обязанности оператора. На обязанности оператора, если вы являетесь непосредственно оператором персональных данных, да, вы как уже говорилось, субъект имеет право за требовать у вас информацию по обрабатываемым персональным данным, а вы обязаны предоставлять информацию о обрабатываемых персональных данных. Конечно, если вы являетесь теми исключениями, судебными, правовыми, а организациями, контрразведывательной и так далее. Дальше вы обязаны разъяснять субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. То есть это должна быть тоже либо это человек делает самостоятельно, либо это заготовлено, там, какая-то бумага, на основе чего разъясняется, какие последствия будут, если человек не предоставит свои персональные данные. Дальше, а как раз вот о чем я уже вам начинала говорить. Если вдруг персональные данные были получены не напрямую от субъектов персональных данных, и оператор до начала обработки этих персональных данных должен уведомить субъекта о том, что он хочет начать обрабатывать его персональные данные и, соответственно, взять согласие субъекта, если это требуется. Соответственно, что он должен сделать сам оператор? Оператор должен сказать, что я указать своим наименование, адрес, либо представители, написать, что для таких-то целей я буду обрабатывать ваш персональные данные, указать правовое основание, то есть на основании чего я это буду делать, соответственно, предполагаемого пользователя персональных данных указать и указать, соответственно, права субъектов персональных данных и источник получения, откуда, соответственно, он может получить его персональные данные. Обязательно он должен уведомить об этом. Таких немножко не туда. Соответственно, не требуется предоставлять субъекту персональных данных вот те сведения, о которых мы говорили, в случаях, если субъект уже уведомлен оператором об осуществлении обработки его персональных данных, полученных операторами на основании Федерального закона или в связи с исполнением договора, обработка персональных данных, разрешенном субъектом для распространения, осуществляется со всеми необходимыми условиями, которые содержатся в пункте 10-1. Да, оператора обработку для статистических или иных исследовательских целей. При этом, как мы с вами уже говорили, не требуются сбор согласия на обработку персональных данных, представление субъектов сведений, предусмотренные там третьей части настоящей статьи, нарушает права и законные интересы третьих лиц. **Соответственно, что же теперь это права? Теперь, соответственно, обязанности. Что же обязан в свою очередь делать оператор персональных данных?** Он обязан предпринимать те меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным Законом. Оператор самостоятельно определяет состав и перечень мер по обеспечению выполнения обязанностей, но в соответствии с нормативно-правовыми актами. О них мы поговорим попозже, это в соответствии с постановлением правительства 11-19 и, соответственно, с приказом 21, где прописаны конкретно, каким образом мы должны классифицировать информационную систему персональных данных и какие конкретные меры защиты информации мы должны предпринимать. Что необходимо в первую очередь делать любому оператору? В первую очередь ему необходимо назначить ответственного за организацию обработки персональных данных. Ответственным за организацию обработки персональных данных в организации может быть как физическое лицо (то есть сотрудник данной организации), так и юридическое лицо, с которым заключен определенный договор, либо, соответственно, также физическое лицо, если с ним заключен, например, договор гражданского правового характера именно для этих целей. Далее оператор в обязательном порядке должен у себя принять такой документ, как политика по обработке персональных данных. Данный документ должен быть не только принят, если, соответственно, в организации есть сайт, он должен быть размещен. Данный документ должен быть размещен таким образом, чтобы его было видно на каждой странице сайта оператора. Чаще всего это кладется внизу странички, так называемый "подвал". Если вдруг у организации нет своего сайта, тогда организация должна разместить данный документ либо в своих каких-то сетях (например, в Telegram-каналах и так далее), либо на бумажных носителях в самом видном месте, куда имеет доступ каждый гражданин, непосредственно в помещении вашей организации. Далее он должен, соответственно, применять правовые, организационные и технические меры по обеспечению безопасности персональных данных. Мы об этом тоже поговорим и, соответственно, осуществлять внутренний контроль соответствия обработке персональным данным тем правовым нормам, которые указаны в нормативно-правовой базе и, соответственно, в локальных актах самого оператора. Дальше он обязательно должен произвести оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего закона. Соответственно, как проводить оценку вреда? Недавно выпустил приказ Роскомнадзор номер 178 от 27 октября 22 года. Также он обязан ознакомить всех своих работников, соответственно, которые непосредственно осуществляют обработку персональных данных, с положениями законодательства о ПДН и в том числе требованиями к защите персональных данных, как общедоступных федеральных нормативно-правовых документов, так и локальным документам, которые разработаны внутри организации. То есть на устройстве на работу на определенную должность, где предполагается, что человек будет обрабатывать персональные данные, необходимо провести определенный инструктаж, ознакомить его с внутренней вашей документацией, разработанной в обязательном порядке, чтобы человек расписался в местах ознакомления и рассказал, каким образом у вас всё организовано. Это обязательно нужно сделать. Так, про политику мы уже с вами сказали. А еще смотрите, есть такое требование по поводу муниципальных и государственных органов. В данном постановлении, это 211, пишется о том, что в данных организациях должны быть не политика, а именно правила разработаны. Поэтому на сайте нужно написать еще и правила. Соответственно, в принципе содержание самих документов от этого никак не меняется, смысл не изменяется, структура документа остается вся та же самая. Если мы говорим конкретно о том, что должно у нас содержаться в политике по обеспечению безопасности персональных данных в организации, то, соответственно, вы открываете статью Федерального закона, если не ошибаюсь, там 18 или 17.1 152 Федерального закона, часть 18.1, и там четко и ясно и понятно, что должно быть. Сейчас могу рассказать, в принципе, политика персональных данных предполагает под собой документ, в котором вы должны расписать все цели обработки персональных данных, все категории персональных данных, которые обрабатываются (да, то есть категории, иные, специальные, биометрические), указать конкретный перечень персональных данных, где они обрабатываются. И в чем особенность данного документа? Если раньше это всё было вкупе, то с 1 марта, соответственно, документ немножко меняется. Давайте сразу мы рассмотрим, каким образом он изменяется. Вы пишите цели обработки, для этой цели вы указываете конкретно, какие субъекты персональные данные будут обрабатывать. Допустим, рассмотрим самую простую цель — осуществление трудовой деятельности. Соответственно, какие категории, какие субъекты персональных данных будут обрабатывать? Это непосредственно ваши сотрудники, чаще всего это близкие родственники. Вот и для трудовой деятельности. Я думаю, все. Вот еще давайте остановимся на близких родственниках. Какую необходимую информацию вам можно собирать? В принципе, если вдруг вы собираете информацию, выходящую за пределы карточки Т-2, в этом случае вам необходимо будет также брать согласие на обработку персональных данных с этих близких родственников. Давайте уточним, что же содержится в этой карточке Т-2. В этой карточке содержится, во-первых, фамилия, имя, отчество, степень родства и дата рождения, все должность, место работы и так далее. Уже выходит за пределы этой карточки. О чем это говорит? О том, что если вы собираете больше информации, чем фамилия, отчество, степень родства и дата рождения, то дата рождения подразумевает собой и деньги, несет в год, соответственно, вам необходимо будет брать согласие на обработку персональных данных близких родственников. Вот так, соответственно, для чего нам это нужно? Задаемся вопросом: а не лишнюю ли информацию мы собираем? Да, есть увеличение для госорганов, где в обязательном порядке нужно определенную информацию по близким родственникам также собирать. Все эти нормативно-правовые акты касаются непосредственно вашего управления, дети, направление деятельности, вы также знаете, их нужно также учитывать. Вернемся к политике. Дальше что в политике еще указывать? Вы указали цель, вы указали субъектов. Теперь вам конкретно нужно перечислить все те персональные данные, которые вы, соответственно, собираете. Конкретно и так далее. Нигде не пишут. Дальше в обязательном порядке указать правовые основания, на основе чего вы обрабатываете. Например, 152 Федеральный закон не является основанием для обработки персональных данных. Вы, допустим, пишете в соответствии с трудовым кодексом или в соответствии с налоговым законодательством, в соответствии с пенсионным законодательством, потому что вы будете туда отчитываться по вашим сотрудникам. Далее вам необходимо будет указать сроки, в течение которых будет обрабатываться эта информация. То есть если мы с вами разбирали согласие на обработку персональных данных, вся та же самая информация и должна содержаться по политике. Вы должны собрать все ваши согласия воедино. Да, я сразу не уточнила о том, что если цели у вас никак не объединяются, то, соответственно, у вас должно быть несколько согласий на обработку персональных данных. То есть для трудового законодательства — одно согласие, для трудового законодательства, но согласие — оно распространение, в случае, если вы хотите отправить ваших сотрудников на учебу — тогда третье согласие. Это понятно, цели мы не объединяем. Также, если вдруг осуществляется трансграничная передача персональных данных, и цели каждый раз тоже будут разные, то должно быть также несколько согласий. Тем самым вы описываете все цели и все, что к ним относится по персональным данным. Дальше вы должны в обязательном порядке описать, как мы здесь уже с вами говорили, применение правовых, организационных, технических мер, чтобы конкретно делаете. Конечно, здесь не указывается, какие там средства защиты конкретные вы используете, потому что тем самым вы будете рассказывать о различных ваших уязвимостях. Да, если вы осуществляете обработку на бумажном носителе, также говорить о том, как вы осуществляете обработку бумажных носителей, как вы храните, что у вас есть ответственные за всё это, каким образом защищается. Они тоже всё это описываются. Если же у вас есть сайт, то вы также должны указать и ваши информационные ресурсы, где обрабатываются автоматизированном виде персональные данные, и описываются, какие меры защиты предпринимаются. Смотрите, если у вас есть сайт, но на сайте не предоставлены никакая информация по персональным данным субъекта, то в этом случае вам сайт не обязательно укладывать в политики по обработке персональных данных. Вы указываете сайт только в том случае, если вы в явном виде распространяете там персональные данные. Указывать либо нет другого варианта. Если у вас есть обратная связь, допустим, у вас есть личный кабинет при регистрации, которые, соответственно, вы собираете персональные данные, либо у вас есть обратная связь, при которой вы нажимаете на кнопочку, пишете, что я такой-то, такой необходимо указать по мере не отчества, необходимо указать обратный e-mail. Это тоже всё будет являться, соответственно, персональными данными, и при этом сайт тоже будет являться информационной системой персональных данных. Вот так составляется конкретно документ политика по обеспечению защиты и обработки персональных данных. Дальше обеспечить записи, систематизацию. Так, это мы тоже мера, это хранение, это, соответственно, с использованием баз данных на территории Российской Федерации. Это я вам уже говорила, что любые персональные данные должны сначала консолидироваться непосредственно на территории Российской Федерации, только потом, если нужно, трансграничные передачи, соответственно, осуществляется она. Дальше меры по обеспечению безопасности — это правовые, организационные, технические меры, но мы немножко с вами попозже поговорим на другом занятии. А главное у любой информации, которая в принципе относится к персональным данным, это же тоже информация, хотя и конфиденциальная, имеет три основных свойства: это конфиденциальность, целостность и доступность. Соответственно, когда мы будем защищать наши персональные данные, мы должны сохранить все эти три свойства. Конфиденциальность говорит о том, что мы не можем предоставлять персональные данные третьим лицам без согласия. Целостность говорит о том, что мы не можем просто так модифицировать и изменять персональные данные. Доступность говорит о том, что если персональные данные должны быть постоянно доступны кому-либо, то это свойство должно быть у данной информации. А если конкретно уже говорить о тех мерах, которые необходимо принять, если коротко, да, в первую очередь и по 152 Федеральному закону, да, мы должны определить угрозы безопасности персональных данных при обработке их в информационной системе персональных данных. Как определяется угроза? Угроза определяется с помощью методики определения актуальных угроз безопасности. Соответственно, как я уже вам говорила, она была выпущена 5 февраля 21 года. Это очень большой документ, я так думаю, что в данном курсе мы его рассматривать не будем. Я его просто укажу, если вы захотите, вы можете с ним знакомиться. Дальше применение организационно-технических мер для конкретной информационной системы персональных данных осуществляется в соответствии с 21 приказом. Если же информационная система персональных данных является также еще и государственной информационной системой, то осуществляется в соответствии также с 17 приказом. А дальше в обязательном порядке в информационных системах персональных данных должны применяться прошедшие в установленном порядке процедуру оценки соответствия средств защиты информации. Причем это говорится, я думаю, что большинство из вас знает, что есть средства защиты информации как сертифицированные, так и не сертифицированные. Если же мы будем говорить об конкретной информационной системе персональных данных, то в этом случае можно использовать как сертифицированные средства, так и не сертифицированные. Но в этом случае сертифицированные средства — это просто прошедшие обязательную процедуру сертификации. В этом случае вы можете взять и не сертифицированное средство защиты информации, его использовать, но при каких условиях? Вы в обязательном порядке должны провести оценку соответствия данного средства определенным требованиям. Все требования к средствам защиты информации представлены на сайте, их можно посмотреть, они недавно обновились. Соответственно, что для вас необходимо сделать? Для вас необходимо составить программу и методику, по которой вы будете проводить оценку соответствия, а далее вы должны проверить, то есть пробежаться по этой программе, методике, всё проверить. И после этого составить заключение о соответствии или несоответствии. Поверьте мне, это очень сложно, достаточно проблематично, и любой простой человек не способен, я так думаю, сделать оценку соответствия, тем более для средств защиты информации. Поэтому чаще всего и легче всего приобрести сертифицированные средства защиты. Ну и хотя бы юридически быть уверенным, что оно осуществляет все те необходимые мероприятия, которые должен осуществлять. Дальше вернемся к оператору. Оператор, главным образом, должен провести еще и оценку эффективности принимаемых мер по обеспечению безопасности. В принципе, так как ПДН не является тем объектом информатизации, которые в обязательном порядке проходят процедуру аттестации, то можно провести добровольную оценку эффективности. Сейчас, я думаю, многие школы скажут: "Как это так? А мы проводим аттестацию при подключении к Фейсфорду, проводим аттестацию при подключении к сетевому городу". Это немножко другого вопроса, потому что вы подключаетесь к государственным информационным системам, и государственные информационные системы в обязательном порядке должны пройти процедуру аттестации. А так как вы являетесь в данном случае сегментами государственных информационных систем, к вам предъявляются определенные требования страны этих государственных информационных систем, и, соответственно, вы должны проходить определенные процедуры оценки соответствия или оценки эффективности. Это одно и то же. Далее, что необходимо сделать оператору персональных данных? Он должен произвести учет машинных носителей, на которых содержатся персональные данные. То есть если содержится на съемных носителях информации, то есть переписать все флешки, если это содержится на жестких дисках, соответственно, переписать все жесткие диски, переписать сети, на которых всё это содержится, и составить определенный журнал обнаружения фактов несанкционированного доступа и принятия мер. Да, по каким образом? По обнаружения, предотвращения, ликвидации последствий. Компьютерах, соответственно, также Роскомнадзор в конце прошлого года был принят новый приказ 187, из которого было принято решение, что о всех инцидентах оператор персональных данных необходимо будет уведомлять либо Роскомнадзор, либо ЦКИ о тех инцидентах, которые произошли с персональными данными, обрабатываемыми у данного оператора. То есть о каких инцидентах чаще всего здесь идет речь? В первую очередь, это речь идет об утечке персональных данных. То есть если вдруг у вас произошла утечка персональных данных, которые вы обрабатываете, вам необходимо сообщить об этом либо Роскомнадзору, либо ЦКИ. Соответственно, в соответствии, еще раз повторю, 187 приказа Роскомнадзора. Каким образом это осуществляется? А, соответственно, это либо подается акт, уведомление. Их подается два. Соответственно, первое — о том, что произошла утечка, произошел инцидент, вы его описываете, и данное уведомление вы должны подать в течение 24 часов, как вы только это обнаружили. Если вдруг вы узнали о том, что ваши персональные данные утекли и вы узнали уже об этом в сети Интернет, грубо говоря, то есть это уже давно произошло, это всё равно не отменяет того факта, что вы должны подать уведомление в Роскомнадзор в течение 24 часов, как вы только узнали. После этого у вас есть 72 часа на расследование данного инцидента. То есть вы расследуете, почему, как, когда, кто виновен, возможно, кто это сделал и так далее. Подаете второе уведомление в течение 72 часов, каким образом вы расследовали данный инцидент. А еще раз повторяю, либо вы это делаете непосредственно на сайте Роскомнадзора, либо вы, соответственно, заключаете определенный договор с ЦКИ, и всю эту информацию передаете непосредственно. И как вы будете взаимодействовать в том соглашении, которое вы заключите, это может быть либо подключение к усовки, либо даже по телефону, либо по какому-то защищенному каналу, либо по почте. Всё будет у вас прописано. Но в тот же самый момент ЦКИ уже стало разговариваться, они по-любому передадут эту информацию в Роскомнадзор. То есть две этих организации будут всё равно уведомлены о том, что у вас произошёл инцидент. Дальше идем. Что же должен делать еще оператор персональных данных? Он должен предпринять все возможные меры, чтобы он мог восстановить персональные данные при неправильном модифицировании, при уничтожении вследствие несанкционированного доступа или при каких-либо других причинах. А дальше он в обязательном порядке должен установить права доступа к персональным данным. То есть в простонародье чаще всего говорится о том, что мы должны построить там матрицу доступа, матрицу разграничения доступа и так далее. То есть вам должны определить конкретному субъекту те права доступа, которые вам разрешаются. И, соответственно, оператор персональных данных должен производить контроль постоянный и периодический за предпринимаемыми мерами по обеспечению безопасности персональных данных и уровнями защищенности информационных систем персональных данных. Здесь уже стали по уровню защищенности. Я думаю, мы с вами перенесем на следующую лекцию. А по поводу сроков, в течение каких сроков вы должны будете предоставить ту или иную информацию субъекту персональных данных. Вот я здесь свое время составила такую табличку. Я её тоже обновляю. Все эти данные были внесены, соответственно, из 152 Федерального закона. Здесь, я думаю, более простой форме всё описано, в течение каких сроков что должны сделать. В первую очередь об этих сроках должен быть уведомлен ответственный за обработку персональных данных. Если мы говорим конкретно, да, мы говорили о том, что первое, что должен сделать оператор — это назначить ответственного за обработку персональных данных. Соответственно, что входит в его обязанности? Во-первых, его обязанность входит ознакомить сотрудников со всеми локальными нормативными актами, которые приняты в организации по обработке и защите персональных данных, и, соответственно, отвечать на запросы субъектов персональных данных и постоянно производить контроль за обеспечением безопасности персональных данных. В этом же случае, если его зона ответственности для одного человека становится очень велика, можно распределить его обязанности на нескольких людей. То есть составить определенный приказ, где будет четко прописано, что да, действительно, ответственный за обработку, за обеспечение безопасности персональных данных у нас Иванов Иван Иванович. В то же самое время там Василий Василий Васильевич будет осуществлять еще вот такое-то, там Петров Петр Петрович будет осуществлять вот такие-то мероприятия, и они будут отчитываться перед ответственным за обработку персональных данных. Вот в таком виде. Но в уведомлении в Роскомнадзоре вы должны указать только одно лицо. Также внутри вашей организации может быть приказ, в котором будет говорить, что да, у нас ответственный вот такой-то человек, но в момент его отсутствия и замечать будет его. То есть ответственность будет перекладываться на другого человека, то есть кто будет его замечать. При том, что ответственность за обработку персональных данных — это не должность в организации, нет, это просто определенные его функциональные обязанности. Вы их можете прописать в какой-либо должностной инструкции, но, как мы понимаем, что если должностная инструкция для конкретной должности, допустим, человек увольняется, и вы перекладываете эту ответственность на совершенно другую должность, другого человека, то есть должностные инструкции данная ответственность прописывать нелогично. Их нужно прописывать просто в инструкции для ответственности за обеспечение персональных данных. Вот так это правильно делать. Да, сейчас мы с вами говорили о рабочего дня по уведомлению, и здесь мы остановились с вами. Так, уведомление об обработке персональных данных. Сейчас я посмотрю, я просто выбираю место, где нам с вами сегодня остановиться, потому что я думаю, что скоро мы с вами закончим. А вот этот вот блок по уровню защищенности мы с вами точно перенесем немножко дальше. Контроль, надзор. Давайте немножко акцентируем внимание, кто же осуществляет контроль и надзор за персональными данными. Это, конечно, Роскомнадзор. Кто осуществляет контроль в государственных информационных системах персональных данных? Это СТЭК и ФСБ. И, соответственно, Роскомнадзор тоже. А также СТЭК и ФСБ могут, соответственно, также контролировать информационные системы персональных данных. Но если они вдруг будут затребовать какую-либо информацию, то сами персональные данные в контролирующие органы вы передавать не должны. Сами персональные данные контролирующие органы не передают субъектам персональных данных. Здесь уже как раз вот эта статья. Я так думаю, что мы сегодня с вами тогда закончим на уведомлении, а поговорим о нем, как его заполнять и так далее. Если кто-то не видел, и я думаю, еще на следующем занятии мы более подробно поговорим о том, как, в принципе, вы можете сами обследовать вашу организацию на предмет того, каким образом сейчас у вас обрабатываются персональные данные и где на данный момент у вас существует. Прежде, а скажите мне, пожалуйста, если кто-то еще присутствует. Так, а если без обратной связи, точнее без номеров, просто типа Ника является или нет? Ага, это, наверное, был вопрос по поводу про сайт. Я поняла. А смотрите, а если без обратной связи, точнее без номеров, просто типа Ника является? Нет, смотрите, понятно, что есть сайт. Если нет имени, а если вы просто сто процентов будете указывать там, просить указать НИК, то это не информационные системы персональных данных. Ну, как вы понимаете, что против указать свое имя, чаще всего люди все-таки могут указать свои реальные фамилию, имя, отчество. А фамилия, имя, отчество, к сожалению, на данный момент сейчас уже является персональными данными, а поэтому сайт будет сразу являться информационной системой персональных данных. И еще по поводу сайта. Сразу, если задали вопрос, давайте тоже пробежимся. На сайте чаще всего, кроме различных метрических систем сбора данных, про которые я еще говорила, чаще всего используют куки. Куки. Вот, и я так думаю, что если вы у многих видели данный сайт, где есть всплывающее окно, говорящее о том, что на нашем сайте используется куки, снимается ваше местоположение. Поэтому если вы согласны на обработку своих персональных данных, там нажмите галочку, либо уходите, грубо говоря, с нашего сайта. Всё сделано верно. То есть если вдруг на ваших сайтах действительно используются куки, то вот такое всплывающее окно вы тоже должны представить, потому что на данный момент те же самые куки являются персональными данными. А так это не специальные и не биометрические персональные данные. Вам достаточно просто галочки, но к этой галочке рядом должен быть в обязательном порядке текст согласия на обработку данных. Еще какой-то есть вопрос по сайтам, по размещению там информации? Нет? Может быть, что-то еще интересно по той информации, которая была сегодня дана? Пока нет вопросов. Но всё, тогда всем большое спасибо. Всем большое спасибо, до свидания!

Назад

Залогинтесь, что бы оставить свой комментарий