Основы защиты персональных данных

1.

Основы защиты
персональных данных
Базовый курс для работников подрядных организаций
Унитарного предприятия «А1»

2.

что такое персональные данные и почему это не просто ФИО;
что кроется за термином «обработка персональных данных»;
какие действия в обработке персональных данных запрещены;
что такое «цель» и «основание обработки персональных данных» и почему они
бывают разные;
какие права существуют у субъекта персональных данных;
а также краткое пояснение относительно ответственности, которая налагается на
лицо при незаконных действиях при обработке персональных данных.
2
Draft for internal discussion
Добрый день!
Приветствуем Вас на Базовом курсе
«Основы защиты персональных данных», в рамках которого Вы узнаете:

3.

1. Что такое «персональные
данные»?

4.

Достаточно распространённое заблуждение считать, что персональные данные
это только про:
• фамилию, имя, отчество,
• домашний адрес,
• данные паспорта.
После вступления в силу Закона «О защите
персональных данных» персональные данные это:
любая
информация,
относящаяся
к
идентифицированному
физическому
лицу
или
физическому
лицу,
которое
может
быть
идентифицировано.
4
Специальная
информация
Draft for internal discussion
1.1. Что такое «персональные данные»?

5.

То есть для оператора электросвязи, в информационных системах
хранится огромное количество информации о его абонентах,
перечень персональных данных является более широким:
• и кроме такой привычной всем информации о субъекте, как
фамилия, имя, отчество; домашний адрес; данные паспорта;
• персональными данными также являются:
IP-адрес,
Специальная
адрес электронной почты,
информация
геолокационные данные абонента,
cookie файлы, собираемые на сайте А1.by.
5
Draft for internal discussion
1.2. Что такое «персональные данные»?

6.

2. Что такое «обработка
персональных данных»?

7.

Законом «О защите персональных данных» дается следующее определение
обработке персональных данных:
любое
действие
или
совокупность
действий,
совершаемых
с
персональными данными, включая сбор, систематизацию, хранение,
изменение, использование, обезличивание, блокирование, распространение,
предоставление, удаление персональных данных.
Это значит, что даже если подразделение, в котором Вы
работаете,
не
собирает
персональные
данные
непосредственно у клиентов, оно все равно занимается
обработкой персональных данных в той либо иной
степени.
7
Специальная
информация
Draft for internal discussion
2.1. Что такое «обработка персональных данных»?

8.

Сбор
персональных данных
Внесение определенного объема персональных данных физических лиц в информационные
системы (ресурсы) оператора обработки персональных данных.
Пример
Заполнение регистрационной формы абонента при заключении с ним
договора на оказания услуг электросвязи.
Удаление
персональных данных
действия, в результате которых становится невозможным восстановить персональные
данные в информационных ресурсах (системах), содержащих персональные данные, и
(или) в результате которых уничтожаются материальные носители персональных
данных
Пример
8
В связи с нецелевой обработкой персональных данных (в нарушении
законодательства) по требованию регулятора персональные данные были
удалены из информационных систем оператора нарушителя.
Draft for internal discussion
2.2. Что такое «обработка персональных данных»?

9.

Draft for internal discussion
2.3. Что такое «обработка персональных данных»?
Систематизация
персональных данных
Упорядочивание собранных персональных данных в базах данных оператора обработки
персональных данных.
Пример
Внесение email адрес клиентов для рассылки им рекламы в Excel файл
магазина косметики.
Использование
персональных данных
Осуществление обработки собранных персональных данных для определённой(ых)
цели(ей).
Пример
9
Использование собранных персональных данных абонентов
направления им рекламы о товарах и услугах третьих лиц.
для

10.

Блокирование
персональных данных
Прекращение доступа к персональным данным без их удаления.
Пример
Данные не могут быть удалены из информационной системы, так как
удаление нарушит работу информационной системы в целом – данные
должны быть заблокированы для использования.
Обезличивание
персональных данных
Действия, в результате которых становится невозможным без использования
дополнительной информации определить принадлежность персональных данных
конкретному субъекту персональных данных.
Пример
10
При выгрузке данных из одной информационной системы в другую
систему для минимизации обработки данных, обеспечения их защиты –
ввести систему идентификаторов, заменяющих персональные данные.
Draft for internal discussion
2.4. Что такое «обработка персональных данных»?

11.

Предоставление
персональных данных
Ознакомление с персональными данными определенных лица или круга лиц.
Пример
Предоставление персональных данных абонентов по запросу
компетентных государственных органов, сопровождающемуся
корректным правовым основанием запроса.
Предоставление персональных данных бизнес-партнеру в рамках
совместного проекта.
Распространение
персональных данных
Ознакомление с персональными данными неопределенного круга лиц.
Пример
11
В результате утечки персональных данных у крупного ретейлера, доступ
к распространенным данным получили злоумышленники.
Draft for internal discussion
2.5. Что такое «обработка персональных данных»?

12.

3. Каких действий
необходимо избегать при
обработке персональных
данных?

13.

Распространение
персональных данных
Ознакомление с персональными данными неопределенного круга лиц.
Пример
В результате утечки персональных данных у крупного ретейлера, доступ
к распространенным данным получили злоумышленники.
Примерами
распространения
персональных
данных
являются
случаи
размещения
персональных данных в открытом доступе в сети Интернет и без использования сети Интернет
(при вывешивании списков членов дачного кооператива в Viber и вывешивании списков
неплательщиков на дверях подъезда).
Распространение персональных данных несет с собой наибольший риск для прав субъекта,
поскольку в связи с доступом к таким данным неопределенного круга лиц субъект теряет
контроль над возможными способами их использования.
В результате персональные данные в зависимости от их содержания могут быть использованы
в различных, в том числе неправомерных, целях. В этой связи за незаконное распространение
персональных данных КоАП устанавливает повышенную ответственность по сравнению с
иными видами обработки.
13
Специальная
информация
Draft for internal discussion
3.1. Каких действий необходимо избегать при обработке
персональных данных?

14.

4. У каждой обработки
персональных данных
есть цель

15.

Цель обработки персональных данных – это понятное, логичное и прозрачное
обоснование того, зачем оператору обработки персональных данных собирать, хранить,
использовать (и далее по списку выше) персональные данные физических лиц.
Важно понимать, что цели обработки персональных данных могут быть разные:
Унитарное предприятие «А1» обрабатывает персональные данные
клиентов для оказания услуг электросвязи, абонентского и справочного
обслуживания, информирования клиентов и т.п.
15
Draft for internal discussion
4.1. У каждой обработки персональных данных есть цель

16.

Важно, чтобы Вы понимали, с какой целью и на каком основании Вы обрабатываете персональные
данные клиентов Унитарного предприятия «А1»:
Цель
Цель
Унитарное предприятие «А1» обрабатывает
персональные данные клиентов для оказания
услуг
электросвязи,
абонентского
и
справочного обслуживания, информирования
клиентов и т.п.
16
Основание
Унитарное
предприятие
«А1»
обрабатывает
персональные
данные
клиентов
в
рамках
исполнения договора оказания услуг электросвязи,
фиксированной связи (основание: абзац 15 статьи
6 Закона «О защите персональных данных»)
Draft for internal discussion
4.2. У каждой обработки персональных данных есть цель

17.

5. Какие есть права у
субъекта персональных
данных?

18.

18
Ст. 10
Право на отзыв согласия субъекта персональных данных
Ст. 11
Право на получение информации, касающейся обработки персональных данных, и
изменение персональных данных
Ст. 12
Право на получение информации о предоставлении персональных данных третьим
лицам
Ст. 13
Право требовать прекращения обработки персональных данных и (или) их
удаления
Draft for internal discussion
5.1. Права субъекта персональных данных

19.

5.2. Права субъектов персональных данных
Права субъекта персональных данных и соответствующие обязанности оператора
Права субъекта
Получение информации, касающейся
обработки персональных данных
Содержание
Информация содержит:
наименование и местонахождение оператора;
подтверждение факта обработки;
источник получения - правовые основания
и цели обработки;
срок, на который дано согласие на обработку;
наименование и место нахождения
уполномоченного лица, которому оператор
передает персональные данные для обработки.
Действия оператора
В течение 5 рабочих дней после получения
заявления предоставить запрашиваемую
информацию либо уведомить о причинах
отказа в ее предоставлении
При этом субъект персональных данных не должен
обосновывать свой интерес к запрашиваемой
информации
Получение информации о предоставлении
персональных данных третьим лицам
19
Физическое лицо вправе получать от оператора
информацию о предоставлении своих персональных
данных уполномоченным лицам один раз
в календарный год бесплатно
В срок до 15 календарных дней с момента
получения заявления предоставить информацию
о том, какие персональные данные и кому
предоставлялись в течение года,
предшествовавшего дате подачи заявления, либо
уведомить о причинах отказа в ее предоставлении

20.

5.3. Права субъектов персональных данных
Права субъекта персональных данных и соответствующие обязанности оператора
Права субъекта
Содержание
Действия оператора
Внесение изменений в свои
персональные данные
Если персональные данные неполные,
устаревшие или неточные
В срок до 15 календарных дней с момента получения
заявления оператор вносит изменения в персональные
данные, если они являются неполными, устаревшими
или неточными
Требовать прекращения обработки
персональных данных и (или)
их удаления
При отсутствии оснований для обработки
персональных данных субъект вправе
требовать от оператора бесплатного прекращения
(удаления) обработки своих персональных данных
В срок до 15 календарных дней с момента получения
заявления прекратить обработку персональных данных.
Отозвать предоставленное ранее
согласие на обработку персональных
данных
Субъект может отозвать согласие в любое время
без объяснения причин.
Это не влияет на законность обработки
до момента отзыва согласия
В срок до 15 календарных дней с момента получения
заявления на отзыв прекратить обработку
персональных данных, осуществить их удаление
и уведомить об этом
Обжаловать действия (бездействие)
и решения оператора, связанные
с обработкой персональных данных
Если субъект персональных данных полагает,
что обработка его персональных данных нарушает
законодательство в сфере защиты персональных
данных, он может подать жалобу
в уполномоченный орган
20
Если у оператора нет технической возможности удалить
персональные данные, принять меры по недопущению
их дальнейших обработки, распространения
и предоставления (включая обязанность по блокировке
данных) и уведомить пользователя в тот же срок

21.

6. Ответственность за
незаконную обработку
персональных данных

22.

ч.1
ст.23.7
до 50 БВ
ч.2
ст.23.7
Штраф за совершением лицом, которому персональные данные известны в связи с
его профессиональной/служебной деятельностью, деяний, указанных выше
от 4 до 100 БВ
ч.3
ст.23.7
Штраф за незаконное распространение персональных данных
до 200 БВ
ч.4
ст.23.7
22
Штраф за умышленный и незаконный сбор, обработку,
хранение, предоставление персональных данных
Штраф за несоблюдение мер по обеспечению защиты персональных данных
На физлицо от 2 до 10 БВ
На ИП от 10 до 25 БВ
На юрлицо от 20 до 50 БВ
Draft for internal discussion
6.1. Административная ответственность за незаконную обработку
персональных данных

23.

Статья 2031. Незаконные действия в отношении информации о частной жизни и персональных
данных
Умышленные незаконные сбор, предоставление информации Общественные работы, или штраф, или арест, или ограничение
о частной жизни и (или) персональных данных другого лица свободы на срок до 2 лет, или лишение свободы на тот же срок.
без его согласия, повлекшие причинение существенного вреда
правам, свободам и законным интересам гражданина
Умышленное незаконное распространение информации о частной Ограничение свободы на срок до 3 лет или лишение свободы
жизни и (или) персональных данных другого лица без его согласия, на тот же срок со штрафом
повлекшее причинение существенного вреда правам, свободам
и законным интересам гражданина
Указанные действия совершенные в отношении лица или его Ограничение свободы на срок до 5 лет или лишение свободы
близких в связи с осуществлением им служебной деятельности на тот же срок со штрафом
или выполнением общественного долга
Статья 2032. Несоблюдение мер обеспечения защиты персональных данных
Несоблюдение мер обеспечения защиты персональных данных Штраф, или лишение права занимать определенные
лицом,
осуществляющим
обработку
персональных
данных, должности
или
заниматься
определенной
деятельностью,
повлекшее по неосторожности их распространение и причинение или исправительные работы на срок до 1 года, или арест,
тяжких последствий
или ограничение свободы на срок до 2 лет, или лишение
свободы на срок до 1 года
23
Draft for internal discussion
6.2. Уголовная ответственность за незаконную обработку
персональных данных

24.

24
Draft for internal discussion