Роскомнадзор операторы персональных данных

Данилова В. В., эксперт информационно-справочной системы «Аюдар Инфо»

С июля 2017 года была изменена ответственность за нарушение законодательства о персональных данных. Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика). Причем названная обязанность существует еще с 2011 года, но специальная ответственность за ее невыполнение установлена только сейчас. Расскажем, что это за документ, как его составлять, все ли работодатели должны его иметь и где он должен быть опубликован.

Содержание

Что это за документ?

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона № 152-ФЗ.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

К сведению: к обозначенным локальным актам относятся различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), инструкции и регламенты.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

  • сделанных субъектом персональных данных общедоступными;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  • обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание: сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

К сведению: в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

Меры ответственности, связанные со статусом участника реестра операторов персональных данных

Государство старается защитить интересы граждан, поэтому компании, не выполняющие свои обязанности, могут быть привлечены к ответственности. За некоторые из нарушений юридическое лицо с 2017 года может быть оштрафовано в соответствии со статьей 13.11 КоАП на сумму до 750 тысяч рублей. Просто за отказ подавать уведомление ответственность не предусмотрена, но при наличии конфликта с ведомством это действие может быть расценено как отказ предоставлять информацию, и по статье 19.7 КоАП будет наказано конкретное должностное лицо, руководитель компании, на него будет возложен штраф в размере до 5 тысяч рублей.

Статус участника реестра влечет за собой и обязанности, и ответственность, и преимущества. При том, что регулирование сферы защиты персональных данных будет усиливаться, операторы обязаны серьезнее заботиться о качестве своих программных средств и о своевременном уведомлении Роскомнадзора о тех шагах, которые требуют согласования.

Данные из социальных сетей

152-ФЗ о персональных данных на сайте Консультанта

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Оферта Вконтакте с пользователями

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.

Судебное дело

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку «Далее»».

Если пользователь согласится, то претензий к компании не будет.

Изменение полномочий Роскомнадзора

В 2012-2020 годах полномочия Роскомнадзора были значительно расширены, особенно в сфере контроля за распространением информации в интернете.

28 июля 2012 года в РФ был принят закон «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет». В соответствии с этим документом был создан Единый реестр запрещенных сайтов (официальное название — Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено). В том же году Роскомнадзор стал оператором этой информационной системы. Служба самостоятельно вносит в реестр и блокирует сайты с детской порнографией, мессенджеры, которые отказываются предоставлять российским госструктурам свои данные в рамках так называемого пакета Яровой, а также нарушителей законов о защите персональных данных.

Интернет-страницы с экстремистскими материалами, призывами к массовым беспорядкам, межнациональной розни и участию в террористической деятельности, склонению несовершеннолетних к противоправным действиям, информацией о наркотиках, о способах совершения самоубийства, а также онлайн-казино Роскомнадзор блокирует по решению других госорганов (Генпрокуратуры, МВД, судов, Росмолодежи, Роспотребнадзора, ФНС).

С 2013 года, после вступления в силу законодательства РФ о защите авторских прав в интернете, Роскомназдор стал блокировать пиратские сайты. Основанием для таких действий ведомства являются решения Мосгорсуда. В ноябре 2018 года при посредничестве Роскомнадзора меморандум в сфере борьбы с пиратством в интернете подписали крупнейшие правообладатели, операторы поисковых систем и владельцы видеохостингов. В их числе были Первый канал, ВГТРК, «СТС Медиа», «Газпром-медиа холдинг», «Национальная медиа группа» и др.

В 2017 году Роскомнадзор получил полномочия по блокировке сайтов, содержащих информационные материалы иностранных или международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ (соответствующее решение принимает генпрокурор РФ или его заместители).

В марте 2019 года вступили в силу законы о запрете распространения недостоверной общественно значимой информации (т. н. фейковые новости) и о защите госсимволов. В соответствии с утвержденным нормами, Роскомнадзор стал ограничивать доступ к интернет-страницам, содержащим сведения, оскорбляющие человеческое достоинство, общественную нравственность, выражающие явное неуважение к обществу, государству, государственным символам, конституции, органам государственной власти. Также стала блокироваться недостоверная информация, угрожающая жизни, здоровью граждан, их имуществу, а также создающая угрозу массового нарушения общественного порядка.

С 2012 года Роскомнадзор стал контролировать исполнение закона «О некоммерческих организациях», который обязывает НКО сопровождать свои публикации в СМИ или интернете указанием на то, что эти материалы распространены данной НКО. В случае нарушений этих требований Роскомнадзор составляет протокол об административном правонарушении.

1 мая 2019 года президент РФ Владимир Путин подписал закон «О внесении изменений в федеральный закон «О связи» и федеральный закон «Об информации, информационных технологиях и о защите информации», известный также как закон о надежном (безопасном) Рунете (в основном вступил в силу с 1 ноября 2019 года). Среди его основных задач — обеспечение устойчивой работы интернета в России в случае попыток других стран нарушить его функционирование, минимизация передачи за рубеж данных, которыми обмениваются между собой российские пользователи, а также введение механизма DPI (Deep packet inspection, «глубокая проверка пакетов») для анализа передаваемых данных и ограничения доступа к запрещенным ресурсам. Согласно документу, Роскомнадзору поручено отвечать за «координацию обеспечения устойчивого, безопасного и целостного функционирования на территории РФ сети Интернет». В случае возникновения угроз стабильной работе интернета в России ведомство «может осуществлять централизованное управление сетью связи общего пользования». Роскомнадзору поручено создать и в дальнейшем контролировать работу Центра мониторинга и управления сетью связи общего пользования, который будет отвечать за функционирование Рунета.

По закону о стабильном Рунете, вводятся правила, в соответствии с которыми весь обмен интернет-трафиком в России будет вестись через узлы, включенные в специальный реестр, находящийся в ведении Роскомнадзора. Кроме того, служба занимается установкой и организацией работы систем DPI-анализа трафика.

Громкие случаи вынесения предупреждений СМИ

Одним из полномочий Роскомнадзора является контроль за соблюдением СМИ действующего законодательства (в частности, закона «О средствах массовой информации»). В случае нарушения ведомство выносит письменное предупреждение. При неоднократных нарушениях в течение одного года СМИ может быть закрыто. В 2014 году предупреждение Роскомнадзора было вынесено интернет-изданию Lenta.ru за публикацию интервью с лидером киевского отделения украинской националистической организации «Правый сектор» (запрещена в РФ с 2015 года) Андреем Тарасенко и ссылку на интервью с лидером «Правого сектора» Дмитрием Ярошем (ведомство расценило публикацию как распространение материалов экстремистского характера). В том же году Роскомнадзор вынес предупреждение радиостанции «Эхо Москвы» за радиопрограмму «Своими глазами», где шла речь о боевых действиях в районе аэропорта Донецка (в ней содержалась информация, «оправдывающая практику военных преступлений»). В 2015 году служба предупредила «Новую газету» и Colta.ru за использование нецензурной брани, в 2017 году — издание The New Times за публикацию материала с «признаками оправдания терроризма».

Финансирование и штатная численность ведомства

В 2012 году из федерального бюджета на деятельность Роскомнадзора было выделено 11 млрд 27 млн рублей, в 2020 году — на 2,4 млрд меньше (8 млрд 599 млн рублей).

Предельная штатная численность работников Роскомнадзора в 2012-2018 годах сократилась на 658 штатных единиц с 3 тыс. 374 в 2012 году до 2 тыс. 718 в 2019 году. В центральном аппарате ведомства, по данным Росстата, в 2012 году работали 158 человек, в 2018 году (данные за 2019 год не опубликованы) — 171 человек. Их среднемесячная зарплата в 2012-2018 годах практически не менялась, составляя 103 (2012) и 101 (2018) тыс. рублей.

Чем занимается Роскомнадзор: основные аспекты

Для чего создавали службу? Каковы ее главные задачи? Вот перечень основных:

  • Контролировать СМИ, а также массовые коммуникации, такие как телевидение и радиовещание
  • Защищать детей от информации, которая может причинить вред их физическому или ментальному здоровью
  • Контролировать использование персональных данных в соответствии с требованиями законодательства
  • Создать и контролировать радиочастотную службу

Финансирование осуществляется за счет бюджета Российской Федерации.

Первые годы существования о деятельности этого органа было мало упоминаний в прессе. Медийность пришла в 2014 году, когда предупреждения стали получать крупные российские СМИ. Сначала «черную метку» получила Лента. Ру разместив интервью с одним из участников известной националистической организации из Украины. Позже, в том же году, досталось и радио «Эхо Москвы», за упоминание «правого сектора», который вскоре признали экстремистской организацией.

Род занятий Роскомнадзора: правда и мифы

Тогда же начались блокировки известных «пиратских» сайтов, таких как RuTracker. В 2017 года начался конфликт организации с мессенджером Telegram, который отказывается отдать ключи шифрования. Однако попытки заблокировать последний, не увенчались успехом.

Говоря о том, что Роскомнадзор заблокировал то-то и то-то, мы допускаем ошибку. Сама служба ничего блокировать не может. Если ресурс решили заблокировать, ведомство использует прописанные в законе инструменты для того, чтобы воздействовать на провайдеров. Для этого выносятся судебные решения и постановления.

Полезна ли работа ведомства? С одной стороны, несомненно. Ведь оно борется с пиратами, а значит авторы размещенного на таких сайтах контента, получают свои авторские отчисления. С другой стороны, пользователи давно научились обходить все блокировки.

В 2019 году Правительство Российской Федерации внесло изменения в деятельность Роскомнадзора. С этого момента служба должна осуществлять централизованное управление Рунетом в случае возникновения угрозы его устойчивости.

Что же, посмотрим, к чему это может привести.

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

Общие положения.

Здесь нужно описать назначение Политики, привести основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т. д.), перечислить основные права и обязанности оператора и субъекта(ов) данных.

Цели сбора персональных данных.

Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных, перечисляемые в этом разделе, могут происходить в том числе из:

  • анализа правовых актов, регламентирующих деятельность оператора;

  • целей фактически осуществляемой оператором деятельности;

  • деятельности, которая предусмотрена учредительными документами оператора;

  • конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

Правовое основание обработки персональных данных.

Таковым является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. В качестве правового основания обработки этих данных могут быть указаны:

  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;

  • уставные документы оператора;

  • договоры, заключаемые между оператором и субъектом персональных данных;

  • согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора).

Обратите внимание: Закон № 152-ФЗ не может служить правовым основанием обработки персональных данных оператором, поскольку регулирует отношения, связанные с обработкой этих данных, и закрепляет требования, предъявляемые к операторам при обработке этих данных.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены в том числе:

  • работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;

  • клиенты и контрагенты оператора (физические лица);

  • представители и работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

Порядок и условия обработки персональных данных.

В этом разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы и сроки обработки данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи данных в адрес третьих лиц – например, наличие договора поручения на обработку персональных данных, в том числе находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

Рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Закона № 152-ФЗ, а также о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона № 152-ФЗ.

Условием прекращения обработки персональных данных может являться достижение целей обработки, истечение срока действия согласия или отзыв согласия субъекта данных на их обработку, выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта данных, и не дольше, чем требуют цели обработки персональных данных, кроме случаев, когда срок хранения данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Рекомендуется указывать сроки хранения (конкретная дата (число, месяц, год)) персональных данных и основание, наступление которого повлечет прекращение обработки данных.

К сведению: при осуществлении хранения персональных данных оператор обязан использовать базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ.

Также рекомендуется указывать иные условия хранения персональных данных, в том числе при их обработке без использования средств автоматизации.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В случае подтверждения факта неточности данных или неправомерности их обработки персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена (ст. 21 Закона № 152-ФЗ).

При достижении целей обработки персональных данных, а также в случае отзыва субъектом данных согласия на их обработку они подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;

  • иное не предусмотрено другим соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего (ст. 20 Закона № 152-ФЗ).

Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов, обращений.

Политика утверждается приказом работодателя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.

С Политикой необходимо ознакомить всех работников организации под подпись.

* * *

В связи с постоянным развитием компьютерных технологий защите персональных данных уделяется все больше внимания. Сейчас практически каждая организация имеет свой сайт и не просто размещает на нем те или иные сведения, но и осуществляет через него обмен информацией, в том числе персональными данными. При этом на сегодняшний момент Политика мало кем из организаций опубликована.

Еще раз обращаем внимание, что Политика – это отдельный документ, который должен быть у каждого оператора персональных данных, не считая других обязательных локальных актов в сфере обработки и защиты персональных данных. Если у вас еще его нет, его следует разработать, а если есть – привести в соответствие с Рекомендациями. И не стоит относиться к этому формально, ограничиваясь общими нормами Закона № 152-ФЗ, поскольку при проверке будет учитываться не только сам факт наличия Политики, но и то, насколько она соответствует реальному положению дел в области обработки персональных данных в конкретной организации.

Способы блокировки ресурса

Блокировка по URL

Статический (постоянный) маршрут — это строго заданный путь следования пакетов от одного сетевого узла к другому. Например, от домашнего компьютера к серверу, на котором хостится веб-сайт. Это самый дорогой способ. Весь трафик проходит через DPI (анализатор пакетов, то есть сложный программно-аппаратный прокси-сервер). В данном случае клиенту в ответ на запрашиваемый URL адрес выдаётся направление на страницу, где сообщается о том, что данный конкретный URL заблокирован. Напомню, что в списке на блокировку есть записи только с IP, блокировка происходит по ip. Однако есть сложный момент в данном способе. В том случае, если в записи на блокировку указан IP и URL, блокировать ли по жёсткому соответствию IP — URL, или при пропускании всего трафика у провайдера через DPI блокировать по URL (при блокировке только по URL смена IP адреса у заблокированного домена не поможет). В настоящее время провайдеры, блокирующие с помощью DPI, используют жёсткую связку, и, если блокируемый сайт меняет IP, то он снова становится доступным, несмотря на блокировку по URL. Вместо роута в null провайдер может добавить запись в маршрутизатор с роутом на специальный сервер, который вместо контента сайта выведет страницу блокировки при запросе заблокированного URL, в противном случае просто блокируется трафик. При данном подходе нет возможности блокировать URL, если сайт сменил IP.

С использованием локальных политик IP-безопасности (IPSec)

Можно блокировать как отдельный IP сайта, так и пул адресов. Данный способ довольно сложный. Более того, при блокировке нежелательного контента именно этим способом, лицо, которому будет закрыт доступ, не догадается о том, как именно это было сделано.Единственным недостатком этого метода является то, что оснастка управления политиками есть не во всех редакциях Windows. В домашних выпусках она отсутствует. Процесс блокировки выглядит так: для доступа к оснастке нужно открыть в панели управления раздел «Администрирование», щелкнуть «Локальная политика безопасности» и выбрать «Политики IP-безопасности на локальном ПК». Нажать правой кнопкой мышки на пустую область правой половины окна «Локальных политик» и выбрать «Создать политику ИП-безопасности». Тогда запустится первый Мастер настройки. В открывшемся далее окошке указать имя новой политики и описать ее назначение. Однако можно оставить эти поля по умолчанию. В открывшемся следующем окне просто нажать «Далее». Завершение работы Мастера: отметить галочкой «изменить свойства» и нажать «Готово». В окошке свойств будущей политики IPSec нажать «Добавить». Это запустит Мастер создания правил IP-безопасности. В окне «Конечная точка туннеля» ничего не отмечать и нажать «Далее». В разделе «Тип сети» выбрать «Все подключения». В «Списке IP-фильтров» выбрать «Добавить». Затем дать создаваемому списку имя и снова выбрать «Добавить». Запустится Мастер IP-фильтров. Нужно новому фильтру описание -указать URL блокируемого сайта. В пункте «Адрес источника пакетов» выбрать источником трафика «мой IP-адрес».

Назначением -«Определенный IP или подсеть». Далее нужно описать адрес блокируемого сайта или подсети. В разделе «Тип протокола» отметить «Любой». В разделе «Завершение работы Мастера IP-фильтра» нажать «Изменить свойства» и «Готово». Затем нужно подтвердить параметры нового фильтра. Нажать «ок». Это запустит Мастер настройки действий фильтров. В «Списке IP-фильтров» отметить только что созданный, затем выбрать «Далее». Потом нужно дать ему имя и описать то, что он будет делать (блокировка сайта). В параметрах указать «блокировать». Затем снова отметить «Изменение свойств» галочкой и завершить работу Мастера. Далее понадобится проверить и подтвердить настройку. В Мастере правил безопасности выбрать «изменить его свойства» и нажать «Готово». Проверить и подтвердить параметры нового правила. И напоследок — все свойства политики. Она создана и отображается в списке раздела. Осталось привести политику в действие. Нужно кликнуть по ней правой кнопкой мышки и выбрать «Назначить». Готово. В разделе «Свойства» можно будет изменять любые параметры политики, а через контекстное меню — отключать, переименовывать и удалять.

Через DNS (Domen Name System)

Трафик компьютера, подключенного к Интернету, проходит через сервера DNS (которые сопоставляют имена веб-сайтов их IP-адресам). Кроме DNS, предоставленных провайдером, можно использовать другие, например, бесплатные публичные. Некоторые публичные DNS имеют систему фильтрации контента, то есть не загружают на компьютер сайты с определенным содержимым. Блокировать ресурсы по собственному выбору с помощью DNS невозможно, но если нужно закрыть доступ к контенту для взрослых или к потенциально вредоносным веб-сайтам, способ является эффективным. Чтобы им воспользоваться, нужно прописать в свойствах подключения и протокола версии IPv4 нужные DNS-адреса.

Трафик компьютера, подключенного к Интернету, проходит через сервера DNS (которые, как и hosts, сопоставляют имена веб-сайтов их IP-адресам). Кроме DNS, предоставленных провайдером, есть возможность использовать другие. Например, бесплатные публичные.

Доменное имя

Доменное имя- это символьное имя, служащее для идентификации областей- единиц административной автономии в сети Интернет — в составе вышестоящей по иерархии такой области. Каждая из таких областей называется доменом. Это уникальное сочетание символов латинского алфавита, по которому можно идентифицировать определённый сайт среди множества других. Кроме букв в домен могут входить цифры от 1 до 9 и символы дефиса, но дефис не может находиться в начале и в конце домена. Длина домена может быть от 2 до 63 символов. Для облегчения поиска была придумана система доменных имен (DNS — Domain Name System). Система доменных имён служит для выполнения преобразований между символьными и числовыми адресами. Иными словами, она позволяет сопоставить числовой IP-адрес и символьный.

Источники

  1. юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии. Примеры:Оператор универсальных услуг связи. Оператор сотовой связи.
  2. компания, занимающаяся предоставлением услуг размещения оборудования, данных и web-сайтов на своих технических площадках (хостинг)

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *