Журнал "Директор по безопасности" Апрель 2020 | Page 9
ФИЛОСОФИЯ ЗАЩИТЫ
Что такое
персональные
данные и как
их защищать?
ДАРЬЯ ПОТАПОВА,
эксперт, Angara Professional Assistance
АЛЕКСЕЙ МИХАЙЛОВ,
эксперт, Angara Professional Assistance
К
аждый из нас хотя бы единожды
в жизни сталкивался с ситуаци-
ей на просторах Всемирной сети,
суть которой стоит в заполнении ка-
кой-либо анкеты на выбранном сайте.
Большинство из нас с вами без тени со-
мнения вносят в различные формы об-
ратной связи, личные кабинеты и опро-
сы свои фамилию, имя, отчество, дату
рождения, номер телефона и адрес элек-
тронной почты. Иногда закрадываются
сомнения при просьбе системы внести
свои паспортные данные, но и это не
всегда заставляет людей остановиться.
Попробуем разобраться, насколько важ-
но проверять, имеет ли сайт право за-
прашивать у вас персональные данные и
почему так важно бережно относиться к
информации о своей личности.
Что страшного может произойти,
если я введу куда-то свои данные?
Давайте абстрагируемся от мира вирту-
ального и представим, что вас интересу-
ет какая-то информация, за которой вы
обращаетесь к случайному прохожему.
Например, «Как пройти в библиотеку?»,
а в ответ получаете требование для на-
чала продемонстрировать свой паспорт
для более близкого знакомства, а иначе
дорогу вам не покажут. Наверняка вас
это смутит. Первой, и довольно здравой
реакцией в таком случае будет как ми-
нимум задать вопрос, а по какому пра-
ву вы должны кому-то постороннему
что-либо о себе сообщать? Так вот, для
Всемирной паутины действуют те же за-
коны, что и для реальной жизни.
Как выяснить, имеют ли право
на том или ином виртуальном
ресурсе запрашивать мои
персональные данные?
Cначала разберемся, что такое персо-
нальные данные (ПДн). Согласно Фе-
деральному закону ФЗ-152: «Персо-
нальные данные – любая информация,
относящаяся прямо или косвенно к
определенному или определяемому фи-
зическому лицу (субъекту персональных
данных)». К сожалению, исчерпываю-
щего перечня информации, которую
можно отнести к ПДн, на сегодняшний
день в законодательстве нет. Однако, со-
гласно Постановлению Правительства
№ 1119 от 01.11.2012 г. «Об утвержде-
нии требований к защите персональных
данных при их обработке в информаци-
онных системах (ИС) персональных дан-
ных», выделяют:
ИС, обрабатывающей специальные
категории ПДн, является такая система,
в которой обрабатываются сведения, ка-
сающиеся расовой и национальной при-
надлежности, политических взглядов,
религиозных или философских убежде-
ний, состояния здоровья, интимной
жизни субъектов персональных данных;
ИС, обрабатывающая биометриче-
ские ПДн, является система, содержа-
щая сведения, которые характеризуют
физиологические и биологические осо-
бенности человека, на основании кото-
рых можно установить его личность и
которые используются оператором для
установления личности субъекта ПДн, и
не обрабатываются сведения, относящи-
еся к специальным категориям ПДн.
ИС, обрабатывающая общедоступ-
ные ПДн, является система, которая
содержит данные субъектов ПДн, полу-
ченные только из общедоступных источ-
ников, созданных в соответствии со ст.
8 Федерального закона «О персональ-
ных данных».
Все остальные системы являются ИС,
обрабатывающей иные категории ПДн.
В соответствии с законодательством
РФ все ПДн должны быть защищены и
находиться в закрытом доступе, не счи-
тая тех случаев, когда они становятся
общедоступными с письменного согла-
сия субъекта.
Увидев уведомление, например, на-
жимая «принимаю», вы даете свое согла-
сие на обработку ваших персональных
данных, или любой другой текст похо-
жего содержания, не стоит сразу ставить
галочку и соглашаться, особенно, если
интернет-ресурс вам не знаком. Соглас-
но п. 3 ст. 3 Федерального Закона № 152
«О персональных данных»: «Обработка
персональных данных – любое действие
с персональными данными, включая
сбор, запись, систематизацию, накопле-
ние, хранение, уточнение (обновление,
изменение), извлечение, использова-
ние, передачу (распространение, пре-
доставление, доступ), обезличивание,
блокирование, удаление, уничтожение
персональных данных».
ИС, обрабатывающей
специальные категории ПДн,
является такая система, в
которой обрабатываются
сведения, касающиеся
расовой и национальной
принадлежности,
политических взглядов,
религиозных или
философских убеждений,
состояния здоровья,
интимной жизни субъектов
персональных данных
Могут ли использовать
персональные данные
без разрешения?
Не стоит делать вывод о том, что нигде
нельзя оставлять данные, позволяющие
вас идентифицировать, а в браузер луч-
ше всего заходить в режиме «Инкогни-
то». Без вашего согласия ни один ресурс
не имеет законного основания распро-
странять предоставленную ему о вас ин-
формацию. Это регламентируется глав-
ным нормативным актом Российской
Федерации – Конституцией. Согласно
п. 1 ст. 24: «Сбор, хранение, использова-
ние и распространение информации о
частной жизни лица без его согласия не
допускаются.». И, согласно п. 1 ст. 23:
«Каждый имеет право на неприкосно-
венность частной жизни, личную и се-
мейную тайну, защиту своей чести и до-
брого имени.
Имеют ли право компании
направлять запросы на обработку
персональных данных?
Информация о вас без вашего ведома не
может быть предоставлена третьим ли-
цам или вынесена в публичный доступ.
В вопросе правомерности запросов на
обработку ПДн – ответ будет положи-
тельным. Да, веб-сайты имеют право,
получив ваше согласие, обрабатывать
ваши ПДн. Но для этого они должны яв-
ляться операторами ПДн. Кто это? Со-
гласно ст. 3 Федерального Закона № 152
«О персональных данных»: «оператор –
государственный орган, муниципаль-
ный орган, юридическое или физиче-
ское лицо, самостоятельно или совмест-
но с другими лицами организующие и
(или) осуществляющие обработку пер-
сональных данных, а также определя-
ющие цели обработки персональных
данных, состав персональных данных,
подлежащих обработке, действия (опе-
рации), совершаемые с персональными
данными». То есть, организация, запра-
шивающая ваши персональные данные,
обязана являться оператором ПДн, а
также иметь разработанную Политику
обработки персональных данных на ос-
нове рекомендаций Роскомнадзора и
размещенную на сайте компании в от-
крытом доступе. Компания будет вне-
сена в реестр операторов, осуществля-
ющих обработку ПДн. При получении
вашего согласия, она обязана указывать
ссылку на Политику для ознакомления.
Можно ли отказаться от обработки
персональных данных оператором
в случае необходимости?
Отказаться можно. Ст. 15 Федерального
Закона № 152 «О персональных данных»
регулирует права субъектов ПДн при
обработке их ПДн в целях продвижения
товаров, работ, услуг на рынке, а также
в целях политической агитации:
1. Обработка ПДн в целях продви-
жения товаров, работ, услуг на рынке
путем осуществления прямых контак-
тов с потенциальным потребителем с
помощью средств связи, а также в це-
лях политической агитации допускается
только при условии предварительного
согласия субъекта ПДн. Указанная обра-
ботка ПДн признается осуществляемой
без предварительного согласия субъекта
ПДн, если оператор не докажет, что та-
кое согласие было получено.
2. Оператор обязан немедленно пре-
кратить по требованию субъекта ПДн
обработку его ПДн.
Таким образом, для того чтобы обе-
зопасить себя от несанкционированно-
го доступа сторонних ресурсов к своим
ПДн, необходимо внимательно читать
пользовательские соглашения и следить
за наличием у ресурса ссылки на поли-
тику обработки ПДн. А если вы планиру-
ете стать оператором ПДн, позаботьтесь
о внесении компании в реестр опера-
торов ПДн, разработайте и разместите
Политику обработки персональных дан-
ных. За нарушение требований закона
о персональных данных может грозить
не только административная, граждан-
ско-правовая и дисциплинарная, но и
уголовная ответственность.
Обработка ПДн в целях
продвижения товаров,
работ, услуг на рынке путем
осуществления прямых
контактов с потенциальным
потребителем с помощью
средств связи, а также в
целях политической агитации
допускается только при
условии предварительного
согласия субъекта ПДн