Обезличивание персональных данных

Предыдущая попытка

Напомним, в России уже предпринималась попытка отрегулировать обезличенные данные — правда, в несколько ином понимании этого слова. Соответствующий законопроект, содержащий поправки в закон «Об информации…», был внесен на рассмотрение в Госдуму 23 октября 2018 г. Авторами документа выступили депутаты «Единой России» Михаил Романов и Алексей Кобилев.

В тот раз речь шла о так называемых больших пользовательских данных. Под ними понималась обезличенная информация о физических лицах и их поведении, не содержащая персональных данных и собираемая из источников, количество которых превышает тысячу сетевых адресов.

В законопроекте было прописано требование об обязательном информировании пользователя об обработке связанных с ним больших данных. Если база насчитывает более 100 тыс. сетевых адресов, и оператор работает с ней в интересах третьих лиц, законопроект предписывал ему уведомить об этом Роскомнадзор до начала обработки данных.

Законопроект подвергся жесткой критике из-за смешения понятий больших пользовательских данных и данных, прошедших процедуру обезличивания, как их понимает закон «О персональных данных». Кроме того, под него подпадал сбор данных с устройств интернета вещей, которые функционируют без помощи человека, и сбор данных с которых не нуждается в дополнительном регулировании.

В результате в ноябре 2018 г. законопроект был возвращен авторам для выполнения требований Конституции России и регламента Госдумы.

  • Короткая ссылка
  • Распечатать

Декомпозиция

Как выше говорилось, этот способ предполагает разделение массива атрибутов информации на несколько подмножеств. При этом составляются таблицы, устанавливающие связи между ними. Записи впоследствии хранятся отдельно в соответствии с подмножествами.

При применении декомпозиции можно получить данные, обладающие:

  1. Полнотой. В данном случае она обеспечивается путем перенесения сведений в другое хранилище.
  2. Структурированностью. Между записями, находящимися в разных хранилищах, сохраняется связь. Это позволяет однозначно сопоставить данные.
  3. Семантической целостностью. Вид представления сведений и их семантика остаются неизменными.

Анонимность информации можно обеспечить исключительно при наличии между хранилищами сложных связей и защите их от несанкционированного доступа. Дело в том, что метод декомпозиции не устойчив к атакам к косвенному деобезличиванию и деобезличиванию посредством анализа сведений из разных хранилищ.

Кроме этого, обеспечиваются:

  1. Релевантность. Она достигается тем, что при применении декомпозиции можно добиться семантического соответствия поискового запроса и ответа на него.
  2. Применимость. У оператора появляется возможность обрабатывать информацию, находящуюся в одном хранилище и самостоятельно, и при использовании данных совместно с другими субъектами без деобезличивания всей массы сведений.

Использование декомпозиции обеспечивает сохранение в записях связей между атрибутами обезличенных и персональных данных. Этот метод целесообразно применять при достаточно большом количестве элементов, но при редкой корректировке их значения и состава информации.

Как избежать штрафов и подготовиться?

Как подготовиться к проверке:

  1. В первую очередь нужно следить за бумагами, особенно копиями паспортов. Хранение такой информации в доступном месте может породить у инспектора много вопросов.
  2. Убедиться, что на предприятии есть заполненные бланки «согласия сотрудников на обработку их личной информации».
  3. Провести инструктаж с работниками по охране личных сведений.
  4. В кабинетах, в которых обрабатывается личная информация в бумажном, виде должны находиться сейфы, закрытые шкафы, бухгалтерские стеллажи, в которых они будут храниться.

Как действовать во время инспекции:

  1. тщательно ознакомиться со всеми документами, которые относятся к проверке;
  2. помощь профессионалов, например, юристов, которые имеют право присутствовать во время проведения мероприятия;
  3. прежде чем передать документы инспектору следует лично ознакомиться с их содержанием;
  4. не обязательно представлять требуемые документы незамедлительно, всегда есть время на обработку запроса.

Важно помнить, что за несоблюдение законодательства в области защиты персональной информации руководители организаций несут ответственность, согласно ФЗ №152 «О персональных данных»

Какие документы проверяют?

Одним из главных контролирующих органов по защите персональной информации является Роскомнадзор

Роскомнадзор

Плановые проверки предусматривают предоставление следующих документов:

  • копия документа о назначении уполномоченного представителя, который сможет представлять интересы юридического лица во время проверки;
  • все документы, которые могут включать в себя личные сведения (анкеты, заявления, журналы);
  • документы, которые подтверждают уничтожение личной информации после ее обработки;
  • письменное согласие владельцев личной информации на ее обработку;
  • документы, которые подтверждают соблюдение всех требований законодательства при обработке персональных сведений;
  • документы, которые подтверждают место размещения баз данных;
  • документы, подтверждающие ознакомление работников, осуществляющих обработку личной информации, с действующим законодательством.

Роскомнадзор осуществляет проверку по следующим пунктам:

  1. деятельность по обработке персональных сведений;
  2. документы, в которых могут отображаться информация личного характера;
  3. информационные базы.

Роскомнадзор может проводить как плановые, так и внеплановые проверки, например, документальные или выездные. Его цель – проверить правовые аспекты обработки данных.

Выездная проверка может длиться 20 дней, и еще на 20 суток она может быть продлена. Итог проверки – акт, который, при наличии нарушений, включает в себя предписания по их устранению. Также устанавливаются сроки для исправления ошибок. Результат проверки всегда можно обжаловать.

ФСБ

В ходе проверки ФСБ обращает внимание на следующие аспекты:

  • Наличие нарушителя и угрозы, которую он представляет.
  • Организационные меры, которые установлены приказом . В нем сказано о назначении ответственных лиц, порядке допуска работников к ИСПДн, защита объектов и другое.
  • Наличие средств криптографической защиты информации.
  • Документы на средства криптографической защиты баз данных. Это могут быть лицензии и сертификаты.

Плановые инспекции начинаются с уведомления проверяемого. К нему прилагается копия приказа и план проводимых мероприятий. ФСБ проверяет информационные системы баз данных. В организации должен быть утвержденный документ регламентирующий защиту личных сведений.

Нюансы

Следует отметить, что особенности неавтоматической обработки указаны в Постановлении российского Правительства № 678.

Они охватывают нормативы, определяющие, как сведения должны храниться, использоваться и обрабатываться.

Обособление. ПД необходимо хранить отдельно от иных ведомостей, это можно реализовать при помощи фиксации данных на отдельных материальных носителях, в специальных разделах. Если персональные сведения собирались с разными целями обработки и заведомо несовместимы, следует для каждой категории данных использовать свой материальный носитель.

Информирование сотрудников. Лица, на которых возлагается функция работы с ПДн, должны быть проинформированы о том, с какой информацией они столкнулись (речь идет о категории информации, особенностях и правилах обработки, установленных государством или локальными актами).
Оформление материального носителя. Допускается использование типовых форм, формуляров и бланков, однако при выполнении следующих условий:Указание сведений о цели обработки, наименования оператора, адреса компании, ФИО и адреса субъекта ПДн, источника получения ведомостей, сроках обработки

Кроме этого, форма должна содержать перечень действий, планируемых к осуществлению с данными и общее описание способов, используемых при работе с информацией.
Наличие поля, предназначенного для отметки субъекта ПД о своем согласии на предоставление сведений конфиденциального характера оператору.
Реализация возможности ознакомления субъекта ПД со своими персональными данными, при этом, важно, чтобы у такого субъекта не было доступа к ПДн других граждан.
Отсутствие объединенных полей для данных, собранных с разными целями.

Ведение журнала с ПД. Если оператору необходимо вести журнал ПДн для организации однократных пропусков субъектов на свою территорию, следует выполнять определенные условия:разработать акт, в котором указать цели, способы, сроки работы с ПДн и перечень людей, имеющих к нему доступ;
заносить данные не более одного раза при оформлении одного пропуска;
не копировать их.

Использование части ПД на материальном носителе

Не допускается распространение материального носителя, если планируется использовать только часть сведений. В таком случае закон требует от оператора скопировать нужную часть, и обеспечить конфиденциальность другой половины ведомостей.

Читайте следующие полезные материалы по этой теме:

  • политика обработки;
  • уведомление;
  • ЦОД;
  • правовое обеспечение обработки ПД.

Субъекты процедуры

Для покупки ОСАГО придется передать не только паспортные данные, но и полную информацию о своем водительском стаже, марке машины, классе страхования. Эту информацию страховщик обрабатывает (сохраняет, использует для оповещения клиента, передает курьерской службе, для запроса дополнительной информации о страхователе в базе РСА).

В целях обеспечения безопасности страховые компании применяют специальные технические меры. Канал, по которому передается информация шифруется. Доступ в свой личный кабинет получают исключительно авторизированные пользователи.

Собирают информацию о клиенте и банки. Например, при оформлении кредита заемщик передает по требованию кредитора сведения о своем доходе от работодателя, других полученных кредитах, семейном положении, адресе не только своем, но и своих поручителей и пр. Эти сведения хранятся в автоматизированной системе банка и защищаются спецсредствами. Если клиент использует систему интернет-банкинга, то используются дополнительные меры для защиты от хакерского взлома и незаконного использования счетов.

Что это такое?

Проверка персональных данных – это действия уполномоченных органов, направленные на выявление нарушений, связанных с обработкой и хранением личной информации.

Паспортные данные, уровень образования, квалификация и другие автобиографические сведения относятся к персональным.

Распространение такой информации со стороны работодателя недопустимо. В противном случае работник вправе обратиться в суд.

Для выполнения определенного вида работы в некоторых фирмах требуются более личные сведения о кандидате на должность. Например, перечень перенесенных человеком заболеваний.

Проверка персональных сведений призвана выявлять нарушения в системе защиты личной информации о сотрудниках предприятия. Если они выявлены, то начисляется общая сумма штрафов по всем пунктам.

Что такое?

Неавтоматизированные методы

Аппараты, устройства, используемые для работы со сведениями персонального характера с участием человека называются неавтоматизированными. Они призваны обеспечить работу с информацией, ее хранение, уточнение, извлечение или уничтожение, при этом, не могут служить инструментами компьютеризации данных и не позволяют работать с большими массивами информации – операция со сведениями каждого субъекта ПД проводится отдельно и вручную оператором.

Учет личной информации такими способами

Определение обработки ПДн неавтоматизированного типа находим в Постановлении Правительства РФ от 15 сентября 2008 года № 678 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования инструментов автоматизации» (а о том, что такое автоматизированная обработка персональных данных, читайте тут). В документе указано, под ручной работой с ведомостями подразумевается один из процессов, например, использование, уточнение, распространение, обезличивание или уничтожение информации при непосредственном участии человека.

В этом же постановлении находим следующее уточнение: процесс не признается автоматизированным только на основании того, что сведения (ПДн) содержатся или извлекаются из информационной системы.

На практике у операторов ПД довольно часто возникают проблемы с тем, к какому виду отнести ту или иную операцию с информацией. Ведь компьютеры – авто-инструменты – используются практически постоянно, ими оснащены рабочие места. При этом, использовать такую технику можно по разному – иногда человек контролирует каждую операцию, а иногда вычислительная аппаратура справляется сама. Своеобразную точку в этом деле можно поставить, вернувшись к Постановлению правительства №678.

В документе уточняется, что проведение ручных операций с участием средств компьютеризации может применяться только при условии, что информация по каждому субъекту вносится или редактируется отдельно и под руководством человека.

Необходимая документация и защита ПО

Прежде чем начать принимать и обрабатывать информацию о клиентах, нужно позаботиться о подготовке документации в соответствии с рекомендациями Роскомнадзора, а также принять технические меры по обеспечению защиты (например, установить соответствующее программное обеспечение, антивирусы, меры защиты от несанкционированного доступа, средства криптографической защиты).

При обработке необходимо:

  1. Четко сформулировать цель.
  2. Определить, данные каких категорий будут использоваться.
  3. Разработать Политику в отношении обработки и если требуется уведомить Роскомнадзор (что из себя представляет такое уведомление узнаете тут).
  4. Позаботиться о защитных средствах.
  5. Определить структуру информационной системы.
  6. Выяснить режим обработки данных и разграничения прав доступа пользователей информационной системы.
  7. Идентифицировать местонахождение технических средств системы.

Справка! Оператор может передавать полученную информацию исключительно своим сотрудникам, а также подрядчикам, но исключительно в пределах цели обработки. Согласие на использование персональных данных действует бессрочно с момента его предоставления.

Какие сведения являются такой информацией?

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

  • фамилия, имя, отчество;
  • место жительства или регистрация;
  • дата и место рождения;
  • семейное, социальное или имущественное положение;
  • сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

  1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
  2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
  3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
  4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

    Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

  • фамилия, имя и отчество;
  • дата рождения;
  • идентификационный номер;
  • место рождения;
  • гражданство;
  • информация о регистрации по месту жительства или месту проживания;
  • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
  • сведения о семейном положении (о супруге, детях и родителях);
  • информация об образовании;
  • информация о роде занятий;
  • о пенсии;
  • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности.

У юридических лиц?

  • Наименование юридического лица.
  • Организационно-правовая форма.
  • Ююридический адрес.
  • Адрес местонахождения юридического лица.
  • ОГРН (основной государственный регистрационный номер).
  • ИНН (идентификационный номер).
  • КПП (код причины постановки на учет).
  • Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст. 13 Закона № 323-ФЗ):– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;– в целях осуществления учета и контроля в системе обязательного социального страхования.

Возможности обрабатывающих систем

Все системы, с помощью которых обрабатываются данные, подразделяются на типовые и специальные. К первым относятся системы, в которых требуется обеспечить только свойство конфиденциальности. Все остальные системы относятся к специальным.

Типовым системам могут быть присвоены четыре класса, в зависимости от масштаба негативных последствий для владельца конфиденциальной информации. Необходимо будет присвоить информационной системе соответствующий класс и его документально оформить.

Существует два вида обработки: автоматизированный и неавтоматизированный (делается человеком).

  1. Автоматизированная включает операции, осуществляемые полностью или частично с помощью автоматизированных средств:
    • хранение данных;
    • осуществление логических, арифметических операций;
    • изменение, уничтожение, поиск или распространение данных.

    Для хранения и систематизации используется компьютер, электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства.

  2. Для неавтоматизированного хранения и использования также могут быть использованы различные материальные носители, но при условии, что данные не будут сохранены в памяти, или скопированы.

О том, как происходит автоматизированная обработка ПД, мы рассказываем в специальной статье, а про обработку без использования средств автоматизации читайте здесь.

Заполнение

Для сайта

ФИО, проживающий по адресу, паспортные данные (кем и когда выдан), настоящим выражают свое согласие на обработку сайтом моих персональных данных, к ним относятся:

  • ФИО;
  • место и год рождения;
  • телефон;
  • адрес электронной почты;
  • иные сведения, необходимые для осуществления действий сайта.

Такое согласие является действительным до того момента, пока не будут достигнуты цели обработки.

Для родителей

Я, ФИО, проживающий/проживающая по адресу, паспортные данные, настоящим выражаю свое согласие на обработку в образовательном учреждении персональных данных моего несовершеннолетнего ребенка (ФИО ребенка). К ним относятся:

  • ФИО;
  • дата рождения;
  • домашний адрес;
  • дата поступления в образовательное учреждение;
  • дата выбытия из образовательного учреждения;
  • причина выбытия;
  • отметка о выдаче личного дела;
  • ФИО родителе;
  • место работы родителей;
  • должность, занимаемая родителями;
  • контактные телефоны;
  • состояние здоровья.

Я выражаю свое согласие на использование персональных данных в целях обеспечения учебно-воспитательного процесса ребенка.

Отдельно пишется информация о возможности передачи информации третьим лицам, если это является необходимым и не противоречит действующему законодательству.

  • Скачать бланк согласия на обработку персональных данных ребенка
  • Скачать образец согласия на обработку персональных данных ребенка

Более подробно о подписании согласия для родителей на обработку персональных данных учащихся читайте тут.

Для работы

Я, ФИО, зарегистрированный/зарегистрированная по адресу, паспортные данные, основываясь на ФЗ №152 «Об обработке персональных данных», даю свое согласие на обработку моих персональных данных (перечисляются данные, которые могут быть использованы работодателем).

Если есть необходимость предоставить конфиденциальную информацию не в одну организацию, а сразу в несколько, лучше для каждой организации заполнить отдельный бланк, а не делать все воедино. Этот пункт должен в обязательном порядке содержать перечень действий, которые могут осуществляться с предоставленными сведениями.

Документ подписывает непосредственно работник, ФИО полностью расшифровываются. В самом конце ставится дата оформления документа.

Желательно включить в документ пункт, в котором будет указано, что сотруднику подробно разъяснили все его обязанности и права, касающихся защиты его предоставленной информации.

Работодатель, как и его должностные лица, могут быть подвергнуты административной (штраф от 4000 до 5000 рублей) и уголовной (до 5 лет лишения свободы) ответственности. Если полученная конфиденциальная информация были использованы неправомерно, также может быть применена мера гражданской ответственности (возмещение морального и материального ущерба).

Бывают ситуации, когда отказ о предоставлении такой информации влечет за собой негативные последствия. Если в организации действует пропускной режим, то сотруднику нельзя будет оформить или поменять пропуск. То есть, если сотрудник отказывается предоставлять согласие на обработку конфиденциальной информации, то он не сможет осуществлять трудовую деятельность.

  • Скачать бланк согласия на обработку персональных данных для работы
  • Скачать образец согласия на обработку персональных данных для работы

Особенности положения ПДн

Положение об обработке ПДн – это документ, в котором оператор определяет особенности процесса, меры обеспечения безопасности данных и другие особенности работы. Составлять его следует на основе одноименного документа, принятого правительством РФ.

В обязательном порядке в документ по ПД включаются следующие разделы:

  1. Порядок обработки данных.
  2. Особенности обеспечения безопасности.
  3. Порядок предоставления доступа.
  4. Обязанности специалистов, допущенных к работе с ПДн.
  • Скачать бланк положения об обработке персональных данных осуществляемой без использования средств автоматизации
  • Скачать образец положения об обработке персональных данных осуществляемой без использования средств автоматизации

Как видите, для определения порядка обработки сведений конфиденциального характера вручную в России было принято специальное постановление правительства. В нем указано, в каких случаях обработку следует считать неавтоматизированной, и как работать с материальными носителями информации.

Перед началом обработки сведений необходимо разработать нормативный акт, проконсультировать работников и позаботиться о том, чтобы материальный носитель отвечал основным требованиям, прописанным в современном законодательстве.

Утвержденные Роскомнадзором методы обезличивания персональных данных

К способам и инструментам обработки личной информации предъявляются особые требования. В частности, они должны обладать такими свойствами, наличие которых способствовало бы эффективному их применению в разных программных средах, решению задач, поставленных перед операторами.

Методами обезличивания персональных данных, рекомендуемыми Роскомнадзором, являются следующие способы:

  1. Введение идентификаторов. Оно предполагает замену части данных (их значений) специальными кодами. При этом формируется таблица соответствия идентификаторов исходным сведениям.
  2. Изменение семантики или состава информации. Как указывается в пояснениях Роскомнадзора, обезличивание персональных данных этим способом осуществляется их заменой результатами статистического преобразования, обобщения, обработки или удаления части данных.
  3. Декомпозиция. Использование этого метода обезличивания персональных данных предполагает разделение массива информации на несколько частей. Хранение этих подмножеств осуществляется раздельно.
  4. Перемешивание. Этот метод обезличивания персональных данных предполагает перестановку значений атрибутов либо их групп в массиве информации.

Использование какого-либо способа позволяет получить сведения с разными свойствами. В результате обезличивания персональных данных оператор получает возможность применять различные виды обработки. В этой связи при описании способов указываются условия, посредством которых обеспечивается реализации установленных требований и определенных свойств.

Надо отметить, что существуют такие задачи обработки информации, при которых наличие всех свойств необязательно. Примером могут являться статические виды обработки. Следовательно, методы обезличивания персональных данных являются эффективными в том случае, если в конкретной ситуации они обеспечивают реализацию свойств, необходимых для решения поставленных задач.

Дополнительно

Хранение и защита дополнительных (служебных) данных, в которых содержатся параметры методов и процедур деобезличивания/обезличивания, обеспечивается посредством реализации режима конфиденциальности, установленного у оператора. При этом необходимо соблюдать правила предоставления доступа пользователей к хранимой информации, резервному копированию и возможности ее восстановления (актуализации).

Обезличивание/деобезличивание должны встраиваться в процесс обработки данных в качестве неотъемлемых элементов. При их осуществлении инфраструктура оператора должна использоваться максимально эффективно.

Нарушение

За разглашение информации и распространение документов, содержавших конфиденциальную информацию, гражданин может быть привлечен к дисциплинарной, материальной, административной и уголовной ответственности в зависимости о тяжести проступка.

Распространение данных, доступ к которым был ограничен федеральным законом, влечет за собой административную ответственность (статья 13.14 Кодекса РФ об административным правонарушениях).

Гражданину в Российской Федерации придется заплатить штраф в размере от 500 до 1000 рублей, штраф для должностных лиц, включая адвокатов, возрастает до 5000 рублей.

За разглашение коммерческой, служебной или государственной тайны работнику предприятия будет грозить дисциплинарная ответственность, предусмотренная статьями 57, , и 193 Трудового Кодекса России. Предусмотрены дисциплинарные взыскания:

  • Замечание.
  • Выговор.
  • Увольнение (По статье 81 ТК РФ «Расторжение договора по инициативе работодателя»).

Если распространение информации нанесло вред предприятию, наступает материальная ответственность. Статьи 232 и предусматривают возмещение потерь в полном объеме. Если разглашение конфиденциальных данных привело к материальному или материальном ущербу, пострадавшая сторона может потребовать компенсацию в судебном порядке.

Наступление уголовной ответственности связано с выдачей сведений под грифом «государственная тайна» иностранному государству, организации или гражданину.

Согласно статьям 283, 284 и 275 Уголовного Кодекса Российской Федерации за проступок предусмотрено следующее наказание – лишение свободы сроком от 12 месяцев до двадцати лет в зависимости от обстоятельств.

Дополнительно накладывается штраф в размере до 500 000 рублей или заработной платы в период до 3 лет.

Как видите, законодательство Российской Федерации защищает конфиденциальность информации, а граждане, столкнувшиеся с нарушениями, могут отстоять свои права и получить компенсацию. Пользуйтесь своими возможностями, как известно, информация в современном мире уже стала одним из самых дорогостоящих капиталов, и его необходимо беречь.

При помощи чего возможно?

Так как же обезличить ПД? Основные методы обезличивания информации утверждены в Приказе Роскомнадзора, органа осуществляющего надзор за реализацией государственной политики в сфере массовой коммуникации. В наши дни используются четыре основных метода обезличивания.

  1. Введение идентификаторов (часть информации заменяется соответствующими идентификаторами. Для реализации метода создается таблица или справочник, только через таблицу/справочник информацию можно расшифровать).
  2. Замена состава или семантики информации (оператор удаляет часть сведений, обобщает их, например, вместо конкретных адресов вписывает только города. Кроме этого, разновидностью метода назовем замену ПД статистической информацией – вместо ФИО каждого гражданина, оператор оставляет необходимую ему возрастную/гендерную статистику или другие ведомости.
  3. Декомпозиция (разбиение одного массива информации на меньшие блоки, которые сами по себе не дают возможности идентифицировать человека).
  4. Метод перемешивания (группы сведений в одном документе перемешиваются таким образом, что установить принадлежность лицу не представляется возможным).

Как составить обращение в компанию?

Отзыв персональных данных производится в письменной форме. Это обращение к организации, которой было дано право на обработку вашей личной информации (банку, работодателю, коммерческой структуре в рамках рекламной акции или программы скидок). Заявитель может отозвать разрешение полностью, или изменить перечень данных и манипуляций с ними, на которые он дает согласие.

Согласно ч.5 ст. 21 Федерального закона «О персональных данных», получив подобное обращение, компания обязана в течение месяца прекратить обработку данных и уничтожить информацию, если ее дальнейшее сохранение не требуется, прямо запрещается субъектом и не оговорено договором, стороной которого остается заявитель.

Справка! Закон предусматривает ряд ситуаций, в которых информация может обрабатываться и после официального отзыва согласия.

Кроме случаев исполнения законодательства, международных соглашений и договоров с самим субъектом, к ним относятся исполнительное производство и судебные процессы. Также не будет прекращена работа с обезличенной статистической информацией и, данными, предоставленными гражданами при регистрации на порталах госуслуг. Закон отдельно защищает права организаций на работу со сведениями о заемщиках.

Что это такое?

Обезличивание персональной информации является составляющей частью обработки материалов. В статье 7 Федерального закона РФ от 27 июля 2006 года «О персональных данных» сообщается, что под обезличиванием ведомостей понимается действие, которое делает невозможным определение принадлежности информации к конкретному лицу. При этом, речь идет только об идентификации физического или юридического лица на основе сообщений, которые подвергаются обезличиванию.

Эта же информация может помочь определить, к какому россиянину относятся ведомости, если будут использованы дополнительные источники. Обезличивание проводится как при помощи автоматизированных систем (компьютеров, программ), так и без использования таких средств.

Алгоритм доступен только операторам, имеющим в своем распоряжении информацию личного характера. После обезличивания материалов с оператора снимаются требования по обеспечению максимальной конфиденциальности.

Теперь вы в общих чертах знаете, что это такое — обезличенные данные о клиентах.

Поделитесь в социальных сетях:vKontakteFacebookTwitter
Напишите комментарий