Просмотр информации на дисплее сотрудниками не допущенными к обработке персональных данных
Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.
Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).
Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).
Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.
Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.
Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).
Руководитель отдела кадрового учета и расчета заработной платы бухгалтерского аутсорсинга "Главбух Ассистент"
Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.
Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.
Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных
Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.
Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных
Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.
Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.
Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Согласие на обработку персональных данных должно содержать:
1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).
3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.
4. Цель обработки персональных данных.
5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.
7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.
8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
9. Подпись субъекта персональных данных.
Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.
Перечень
угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в органах исполнительной власти Алтайского края при осуществлении ими соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки
Актуальные угрозы безопасности персональных данных, определяемые согласно требованиям ФСТЭК России
утечка по акустическому каналу
утечка по виброакустическому каналу
утечка по виброакустическому (лазерному) каналу
утечка по акустоэлектрическому каналу
просмотр информации на дисплее сотрудниками, не допущенными к обработке персональных данных (далее - ПДн)
просмотр информации на дисплее посторонними лицами, находящимися в помещении, в котором ведется обработка персональных данных
просмотр информации на дисплее посторонними лицами, находящимися за пределами помещения, в котором ведется обработка ПДн
использование специальных электронных устройств, внедренных в помещении, в котором ведется обработка ПДн
просмотр информации посредством коллективного отображения
просмотр информации с печатных документов сотрудниками, не допущенными к обработке ПДн
просмотр информации с печатных документов посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн
перехват техническими средствами побочных электромагнитных излучений информативных сигналов от технических средств и линий передачи информации
перехват техническими средствами наводок информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящих за пределы служебных помещений
перехват техническими средствами радиоизлучений, модулированных информативным сигналом, возникающих в результате работы различных генераторов в составе информационных систем персональных данных (далее - ИСПДн) или в результате паразитной генерации в узлах (элементах) технических средств
перехват техническими средствами радиоизлучений, формируемых за счет высокочастотного облучения технических средств ИСПДн
перехват техническими средствами оптического излучения с боковой поверхности оптического волокна в волоконно-оптической системе передачи данных
применение электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПДн ("аппаратурные закладки")
отсутствие аутентификации пользователей компьютеров до загрузки операционной системы (далее - ОС) (паролей BIOS, дополнительных аппаратных средств аутентификации)
разглашение паролей BIOS или дополнительных аппаратных средств аутентификации, например, записывание в доступном для нарушителя месте (на бумаге, клавиатуре и т.п.)
подбор пароля BIOS (или дополнительных аппаратных средств аутентификации)
использование технологического пароля BIOS
вскрытие компьютера и аппаратный сброс пароля BIOS
некорректная реализация политики лицензирования в облаке
загрузка сторонней операционной системы (без средств защиты и разграничения доступа к ресурсам компьютера)
предоставление пользователям прав доступа (в том числе по видам доступа) к ПДн и другим ресурсам ИСПДн сверх необходимого для работы
копирование доступных ПДн на неучтённые (в том числе отчуждаемые) носители, в том числе печать неучтённых копий документов с ПДн на принтерах
отправка ПДн по ошибочным адресам электронной почты
преднамеренное или случайное искажение (фальсификация) ПДн
несанкционированное редактирование реестра
преднамеренное или случайное уничтожение ПДн (записей, файлов, форматирование диска)
разглашение (например, при разговорах, записывание на бумаге и т.п.) пользовательских имён и паролей
внедрение аппаратного "клавиатурного шпиона"
использование для входа в систему чужих идентификаторов и паролей
оставление без присмотра незаблокированных рабочих станций
внедрение и использование неучтенных программ
преднамеренное или случайное изменение настроек и режимов работы программного обеспечения (далее - ПО), модификация ПО (удаление, искажение или подмена программных компонентов ИСПДн или систем защиты информации)
преднамеренное или случайное искажение или удаление программных компонентов системы или средств защиты информации (далее - СЗИ)
подключение к ИСПДн стороннего оборудования (компьютеров, дисков и иных устройств, в том числе имеющих выход в беспроводные сети связи)
нарушение работоспособности технических средств обработки и защиты информации
вмешательство в работу (нарушение правил использования) средств защиты
несанкционированное изменение конфигурационных файлов ПО (настроек экрана, сети, прикладных программ)
использование сторонних носителей данных и оборудования (компьютеров, смартфонов, телефонов, фотоаппаратов, видеокамер, и иных устройств)
запуск сторонних программ
формирование недекларированных возможностей ПО
преднамеренная установка вредоносных программ (далее - ВП)
отключение средств антивирусной защиты пользователями
внедрение классических программных (компьютерных) вирусов, реализующих запись кода вредоносного ПО в код других программ с целью получения управления при запуске зараженных файлов, создание файлов-двойников для легального ПО, копирование кода вредоносной программы в каталоги для последующего запуска пользователем
внедрение ВП, распространяющихся по сети (сетевые черви), которые реализуют передачу своего кода на удаленный сервер или рабочую станцию
использование подключений к различным сетям (Web, почта, локальная сеть и т.п.)
передача по сетям за пределами контролируемой территории ПДн и иной конфиденциальной информации в открытом (или слабо защищённом) виде
использование программ-анализаторов пакетов (снифферов) для перехвата ПДн (и иной конфиденциальной информации)
использование программ-анализаторов пакетов (снифферов) для перехвата идентификаторов и паролей удалённого доступа (к сетевым службам)
сбор информации об объектах сети
активизация распространяемых злоумышленниками файлов при случайном обращении к ним пользователя
переполнение буфера приложений-серверов; использование недостатков программ, реализующих сетевые сервисы: настройка системных регистров, позволяющая переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера
использование возможностей удаленного управления системой. Использование скрытых компонентов ("троянских" программ) либо штатных средств управления и администрирования компьютерных сетей
инвентаризация сетевых ресурсов (поиск узлов сети, определение их адресов, типов ОС)
выявление сетевых служб, используемых портов, версий программ (уязвимых)
подбор идентификаторов и паролей пользователей сетевых служб (и их последующее использование)
применение методов социальной инженерии (мошенничество, обман)
частичное исчерпание ресурсов; привлечение части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником, со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований к времени обработки запросов
полное исчерпание ресурсов; исчерпание ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание)
использование ошибок в программах; передача пакетов с нестандартными атрибутами или имеющих длину, превышающую максимально допустимый размер
внедрение ложного ARP сервера
внедрение ложного DNS сервера
ошибки при разработке программного обеспечения ИСПДн (в том числе СЗИ)
преднамеренное внесение в программы при их разработке вредоносных кодов (программные закладки)
осуществление неавторизованных действий в серверном помещении
осуществление неавторизованных действий в помещениях, в которых осуществляется обработка ПДн
ошибки при обслуживании серверного оборудования и проведении операций по обслуживанию прикладных систем либо при проведении установочных работ
ошибки при доработке программного обеспечения ИСПДн (в том числе СЗИ)
преднамеренное внесение в программы при их доработке вредоносных кодов (программные закладки)
физическое копирование носителей баз данных (далее - БДн) ПДн
хищение, утрата резервных копий носителей БДн ПДн
нарушение порядка резервного копирования ПДн
утеря или кража оборудования ИСПДн (в том числе носителей информации)
доступ к информации ИСПДн, выходящей за пределы контролируемой зоны вследствие списания (утилизации) носителей информации, содержащих ПДн
уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами
сбой системы электроснабжения ИСПДн
использование нетрадиционных каналов (например, стеганография) для передачи ПДн
нарушение изоляции пользовательских данных внутри виртуальной машины
нарушение процедуры аутентификации субъектов виртуального информационного взаимодействия
нарушение технологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин
несанкционированный доступ к виртуальным каналам передачи
несанкционированный доступ к защищаемым виртуальным машинам из виртуальной и (или) физической сети
несанкционированный доступ к защищаемым виртуальным машинам со стороны других виртуальных машин
несанкционированный доступ к системе хранения данных из виртуальной и (или) физической сети
перехват управления средой виртуализации
Актуальные угрозы безопасности персональных данных, определяемые согласно требованиям ФСБ России
реализация целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых средств криптографической защиты информации (далее - СКЗИ) персональных данных или создания условий для этого (далее - "атака") при нахождении в пределах контролируемой зоны
проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты среды функционирования СКЗИ; помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и среды функционирования СКЗИ (далее - СФ)
получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;
сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ СКЗИ
использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используются СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
физический доступ к СВТ, на которых реализованы СКЗИ и СФ СКЗИ
возможность воздействовать на аппаратные компоненты СКЗИ и СФ СКЗИ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ СКЗИ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения
проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ СКЗИ, в том числе с использованием исходных текстов входящего в СФ СКЗИ прикладного программного обеспечения, непосредственно использующего вызовы программных функций СКЗИ
создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения
возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ СКЗИ
возможность воздействовать на любые компоненты СКЗИ и СФ СКЗИ
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.
При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.
В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
- Фотография в СКУД – биометрические персональные данные?
Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.
Что говорит законодательство?
Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.
Что говорит Роскомнадзор?
На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.
Что говорит судебная практика?
Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.
Выводы
Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.
- Относится ли номер телефона к персональным данным?
Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
Что говорит законодательство?
Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Что говорит Роскомнадзор?
На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.
По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.
Что говорит судебная практика?
Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО "Яндекс Справочник". Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.
Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.
Выводы
Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).
- Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?
Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
Что говорит законодательство?
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
Что говорит Роскомнадзор?
На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
не указан перечень организаций, в которые передаются персональные данные;
требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
Что говорит судебная практика?
Рассмотрим два примера с противоположными решениями суда.
В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).
В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.
Выводы
В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.
Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.
от 24 сентября 2019 года N 356
Об определении угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных органов исполнительной власти Алтайского края
В соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", с целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных органов исполнительной власти Алтайского края, Правительство Алтайского края постановляет:
1. Утвердить прилагаемый перечень угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в органах исполнительной власти Алтайского края при осуществлении ими соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее - "Перечень").
2. Руководителям органов исполнительной власти Алтайского края, а также подведомственных им учреждений разрабатывать с учетом Перечня частные модели угроз безопасности персональных данных при их обработке в информационных системах.
Губернатор Алтайского края,
Председатель Правительства
Алтайского края
В.П.ТОМЕНКО
Утвержден
Постановлением
Правительства Алтайского края
от 24 сентября 2019 г. N 356
ПЕРЕЧЕНЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЭКСПЛУАТИРУЕМЫХ В ОРГАНАХ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ АЛТАЙСКОГО КРАЯ ПРИ ОСУЩЕСТВЛЕНИИ ИМИ СООТВЕТСТВУЮЩИХ ВИДОВ ДЕЯТЕЛЬНОСТИ, С УЧЕТОМ СОДЕРЖАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ, ХАРАКТЕРА И СПОСОБОВ ИХ ОБРАБОТКИ
Актуальные угрозы безопасности персональных данных, определяемые согласно требованиям ФСТЭК России
утечка по акустическому каналу
утечка по виброакустическому каналу
утечка по виброакустическому (лазерному) каналу
утечка по акустоэлектрическому каналу
просмотр информации на дисплее сотрудниками, не допущенными к обработке персональных данных (далее - ПДн)
просмотр информации на дисплее посторонними лицами, находящимися в помещении, в котором ведется обработка персональных данных
просмотр информации на дисплее посторонними лицами, находящимися за пределами помещения, в котором ведется обработка ПДн
использование специальных электронных устройств, внедренных в помещении, в котором ведется обработка ПДн
просмотр информации посредством коллективного отображения
просмотр информации с печатных документов сотрудниками, не допущенными к обработке ПДн
просмотр информации с печатных документов посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн
перехват техническими средствами побочных электромагнитных излучений информативных сигналов от технических средств и линий передачи информации
перехват техническими средствами наводок информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящих за пределы служебных помещений
перехват техническими средствами радиоизлучений, модулированных информативным сигналом, возникающих в результате работы различных генераторов в составе информационных систем персональных данных (далее - ИСПДн) или в результате паразитной генерации в узлах (элементах) технических средств
перехват техническими средствами радиоизлучений, формируемых за счет высокочастотного облучения технических средств ИСПДн
перехват техническими средствами оптического излучения с боковой поверхности оптического волокна в волоконно-оптической системе передачи данных
применение электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПДн ("аппаратурные закладки")
отсутствие аутентификации пользователей компьютеров до загрузки операционной системы (далее - ОС) (паролей BIOS, дополнительных аппаратных средств аутентификации)
разглашение паролей BIOS или дополнительных аппаратных средств аутентификации, например, записывание в доступном для нарушителя месте (на бумаге, клавиатуре и т.п.)
подбор пароля BIOS (или дополнительных аппаратных средств аутентификации)
использование технологического пароля BIOS
вскрытие компьютера и аппаратный сброс пароля BIOS
некорректная реализация политики лицензирования в облаке
загрузка сторонней операционной системы (без средств защиты и разграничения доступа к ресурсам компьютера)
предоставление пользователям прав доступа (в том числе по видам доступа) к ПДн и другим ресурсам ИСПДн сверх необходимого для работы
копирование доступных ПДн на неучтенные (в том числе отчуждаемые) носители, в том числе печать неучтенных копий документов с ПДн на принтерах
отправка ПДн по ошибочным адресам электронной почты
преднамеренное или случайное искажение (фальсификация) ПДн
несанкционированное редактирование реестра
преднамеренное или случайное уничтожение ПДн (записей, файлов, форматирование диска)
разглашение (например, при разговорах, записывание на бумаге и т.п.) пользовательских имен и паролей
внедрение аппаратного "клавиатурного шпиона"
использование для входа в систему чужих идентификаторов и паролей
оставление без присмотра незаблокированных рабочих станций
внедрение и использование неучтенных программ
преднамеренное или случайное изменение настроек и режимов работы программного обеспечения (далее - ПО), модификация ПО (удаление, искажение или подмена программных компонентов ИСПДн или систем защиты информации)
преднамеренное или случайное искажение или удаление программных компонентов системы или средств защиты информации (далее - СЗИ)
подключение к ИСПДн стороннего оборудования (компьютеров, дисков и иных устройств, в том числе имеющих выход в беспроводные сети связи)
нарушение работоспособности технических средств обработки и защиты информации
вмешательство в работу (нарушение правил использования) средств защиты
несанкционированное изменение конфигурационных файлов ПО (настроек экрана, сети, прикладных программ)
использование сторонних носителей данных и оборудования (компьютеров, смартфонов, телефонов, фотоаппаратов, видеокамер, и иных устройств)
запуск сторонних программ
формирование недекларированных возможностей ПО
преднамеренная установка вредоносных программ (далее - ВП)
отключение средств антивирусной защиты пользователями
внедрение классических программных (компьютерных) вирусов, реализующих запись кода вредоносного ПО в код других программ с целью получения управления при запуске зараженных файлов, создание файлов-двойников для легального ПО, копирование кода вредоносной программы в каталоги для последующего запуска пользователем
внедрение ВП, распространяющихся по сети (сетевые черви), которые реализуют передачу своего кода на удаленный сервер или рабочую станцию
использование подключений к различным сетям (Web, почта, локальная сеть и т.п.)
передача по сетям за пределами контролируемой территории ПДн и иной конфиденциальной информации в открытом (или слабо защищенном) виде
использование программ-анализаторов пакетов (снифферов) для перехвата ПДн (и иной конфиденциальной информации)
использование программ-анализаторов пакетов (снифферов) для перехвата идентификаторов и паролей удаленного доступа (к сетевым службам)
сбор информации об объектах сети
активизация распространяемых злоумышленниками файлов при случайном обращении к ним пользователя
переполнение буфера приложений-серверов; использование недостатков программ, реализующих сетевые сервисы: настройка системных регистров, позволяющая переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера
использование возможностей удаленного управления системой. Использование скрытых компонентов ("троянских" программ) либо штатных средств управления и администрирования компьютерных сетей
инвентаризация сетевых ресурсов (поиск узлов сети, определение их адресов, типов ОС)
выявление сетевых служб, используемых портов, версий программ (уязвимых)
подбор идентификаторов и паролей пользователей сетевых служб (и их последующее использование)
применение методов социальной инженерии (мошенничество, обман)
частичное исчерпание ресурсов; привлечение части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником, со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований к времени обработки запросов
полное исчерпание ресурсов; исчерпание ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание)
использование ошибок в программах; передача пакетов с нестандартными атрибутами или имеющих длину, превышающую максимально допустимый размер
Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.
6.2.13.5. Все заявки на проведение технического обслуживания компьютеров должны направляться в управление информационных технологий в соответствии с СТО СМК 62.02.30 Порядок оказания услуг по сопровождению программного обеспечения и баз данных.
Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителем информационных технологий.
6.3.1. В целях постоянного контроля и анализа системы защиты информации, а также обеспечения ее постоянной пригодности, адекватности и результативности, руководитель управления ИТ в соответствии с утвержденным графиком ежегодно проводит анализ организованной в соответствии с данным СТО системы защиты информации.
6.3.3. Результаты анализа должны содержать предложения по изменению системы защиты информации и оценку их реализации в интересах обеспечения выполнения требований политики и целей информационной безопасности. Результаты таких проверок должны быть зафиксированы документально, доведены до сведения руководителя Компании.
6.4.1. Компания постоянно повышает результативность системы защиты информации посредством уточнения политики информационной безопасности (п. 6.1.1), использования результатов аудитов, осуществления корректирующих и предупреждающих действий, основанных на результатах анализа системы защиты информации в соответствии с п. 6.3.
6.4.2. В качестве предупреждающего действия разработана Модель угроз информационной безопасности (Приложение А), в соответствии с которой определены виды и вероятности угроз, и установлены технические и организационные меры по их противодействию.
7. ВНЕСЕНИЕ ИЗМЕНЕНИЙ, ХРАНЕНИЕ И РАССЫЛКА
7.1. Решение о внесении изменений в данный СТО принимает Владелец стандартов по представлению Управляющего проектом по стандартизации и Разработчика. Внесение изменений в данный СТО производится в порядке, установленном в СТО СМК 70.22.11 Стандартизация. Порядок создания, управления и применения стандартов.
Читайте также: