Главная » Разное

Что такое обработка персональных данных автоматизированным способом

Содержание
  1. Что такое обработка персональных данных автоматизированным способом
  2. 3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах
  3. Способы обработки персональных данных
  4. Нормативно-правовое регулирование
  5. Классификация действий с персональными данными
  6. Способы обработки
  7. Принципы обработки
  8. Условия обработки
  9. Способы обработки персональных данных государственными и муниципальными органами

Что такое обработка персональных данных автоматизированным способом

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски споров в суде общей юрисдикции. Ситуации, связанные со ст. 3

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.1) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

(п. 1.1 введен Федеральным законом от 30.12.2020 N 519-ФЗ)

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Источник

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

Консультант Центра информационной безопасности компании «Инфосистемы Джет»

специально для ГАРАНТ.РУ

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

  1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Читайте также:  Способ распространения семян земляники

Что говорит Роскомнадзор?

На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.

На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

  1. Относится ли номер телефона к персональным данным?

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

  1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство?

В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;

Читайте также:  Посадка картофеля ручным способом

не указан перечень организаций, в которые передаются персональные данные;

требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.

Источник

Способы обработки персональных данных

Защита персональных данных
с помощью DLP-системы

С овременный мир ограничивает право человека на защищенность информации о себе и своей частной жизни. Информация предоставляется во множестве случаев государственным организациям и коммерческим компаниям, и далеко не все из них обеспечивают ее конфиденциальность. Когда персональные данные человека поступают в распоряжение фирмы, признаваемой оператором ПДн, с ними могут происходить различные действия, информацию о которых человек получает, подписывая согласие на обработку. Средства и способы обработки персональных данных определяются федеральными законами.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые могут производиться с поступившими в распоряжение организации персональными данными. Этот перечень ограничен и расширительному толкованию не подлежит. Таким образом, оператор ПДн может производить с ними следующие действия:

  • сбор – это фактическая передача персональных данных от их субъекта оператору;
  • запись – может происходить и ручным, и машинным способом;
  • систематизация – техническое действие, облегчающее обработку персональных данных для оператора;
  • накопление – термин не имеет самостоятельного значения и предполагает хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;
  • хранение – законодатель устанавливает множество требований к способам физической и технической защиты персональных данных;
  • уточнение – под этим термином могут подразумеваться или обновление, или изменение информации;
  • извлечение – здесь предполагается перенос персональных данных из памяти средств автоматизации на материальные носители;
  • использование;
  • передача – этот термин рассматривает такие способы предоставления к данным доступа третьим лицам, как распространение, предоставление. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией; для предоставления характерно совершение тех же действий, но в отношении нескольких субъектов, определенных соглашением или иным способом;
  • обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств;
  • блокирование – под ним подразумевается временное прекращение любых действий с персональными данными. Блокировка производится по заявлению субъекта персональных данных или по требованию регулятора. Если она необходима, обработка сведений возможна только в целях их уточнения;
  • удаление – оно отличается от уничтожения, так как производится в целях коррекции персональных данных или для решения иных технических задач;
  • уничтожение – это те шаги, которые не только уничтожают персональные данные, обрабатываемые ручным или автоматизированным способом, но и полностью исключают их восстановление. Важно: если данные находились на материальных носителях, вместе с ними уничтожаются и сами носители. Уничтожение происходит по требованию субъекта персональных данных или по истечении срока их обработки.
Читайте также:  Способ установки ручки стяжки

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

  • с использованием средств автоматизации;
  • без них.

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники. Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение. Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России. Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников. Так же работают требования по физической защите помещений.

Принципы обработки

Федеральный закон утверждает, что любая обработка персональных данных должна быть основана на определенных принципах, которых должен придерживаться каждый оператор. Среди них:

  • законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
  • конкретность – обработка персональных данных должна осуществляться только для достижения конкретных целей и задач, заранее определенных оператором. Не допускается обработка любыми способами, если она несовместима с провозглашенными целями;
  • недопущение избыточности – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
  • точность, достаточность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
  • минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1. обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2. в отсутствие согласия обработка допускается в строго определенных законом случаях. Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3. она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека. Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы. Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.