Остается только добавить, что подготовка уведомления – достаточно простая процедура, имеющая, правда, свои особенности, связанные с формулированием целей и правовых оснований обработки ПДн.
Заблуждение №4.
Реальность.
Формально такое исключение предусмотрено указанной статьей. Однако на практике осмысленная и вдумчивая попытка применения этого исключения не приводит к аргументированному выводу об отсутствии обязанности оператора по направлению уведомления. Этот парадокс касается большинства операторов. Для примера рассмотрим обработку ПДн субъекта, являющего работником оператора. Как правило, помимо обработки ПДн работника, оператор на законных основаниях обрабатывает ПДн иных лиц, имеющих отношение к работнику. Таковыми могут быть лица, получающие алименты по решению суда или в добровольном порядке (супруги, дети, родители работников). Оператор также может обрабатывать ПДн в целях предоставления работникам стандартных налоговых вычетов на детей и (или) социальных налоговых вычетов в связи с обучением или лечением детей или иных родственников; несовершеннолетних детей работников в целях их оздоровления (направление детей в оздоровительные лагеря) и т.п. Наконец, оператор обрабатывает ПДн физических лиц в целях их трудоустройства (резюме кандидатов), при этом обработка ПДн этих лиц происходит до установления трудовых отношений. Поэтому к применению такого исключения нужно относиться очень внимательно.
Не разглашать личные данные третьим лицам без согласия субъекта, за исключением случаев, установленных уставом, а не раскрывать личные данные в коммерческих целях без предварительного согласия субъекта; заранее уведомлять лиц, получающих личные данные субъекта, о том, что данные могут использоваться только для целей, о которых оно сообщается, и требуют от этих лиц подтверждения того, что это правило соблюдается. Лица, получающие персональные данные субъекта, обязаны соблюдать его безопасность. Это положение не применяется к обмену персональными данными субъектов в порядке, установленном федеральным законом; предоставлять доступ к личным данным субъектов только специально уполномоченным лицам. Указанные лица имеют право получать только личные данные субъекта, необходимые для выполнения конкретной функции; не запрашивать информацию о здоровье субъекта, за исключением информации, имеющей отношение к вопросу о возможности выполнения работы субъектом; передавать персональные данные субъекта представителю субъекта в соответствии с порядком, установленным законом, и ограничивать информацию только персональными данными субъекта, которые необходимы для выполнения функций представителя. Передача персональных данных от субъекта или его представителей внешнему пользователю может быть разрешена в минимальных количествах и только для выполнения задач, соответствующих объективной причине для сбора таких данных.
Часто оператор, поверхностно ознакомившись с ФЗ №152 , приходит и к следующему нелогичному выводу: отсутствие необходимости направления уведомления означает вообще отсутствие обязанности выполнения Закона "О персональных данных" ! Что это – труднообъяснимый парадокс российского менталитета, болезненная потребность во вмешательстве надзорных органов, или банальная самонадеянность в сочетании с завесой коллективной безответственности? Вероятнее всего – безграмотность и халатность сотрудников оператора, вводящих руководителя оператора в заблуждение.
Персональные данные собираются и используются в пределах обоснованной цели такой обработки персональных данных. Оператор ищет способы и методы использования исключительно анонимных персональных данных в объеме и степени обоснованной цели такой обработки персональных данных.
Ответственность за раскрытие персональных данных
Личная ответственность является одним из основных требований Оператора в отношении системы защиты персональных данных и обязательным условием для обеспечения эффективности этой системы. Лица, виновные в нарушении установленного законом порядка сбора, хранения, использования или распространения информации, связанной с физическими лицами, несут дисциплинарную, административную, гражданскую или уголовную ответственность в соответствии с применимым законодательством.
Заблуждение №5.
Защищать персональные данные нужно лишь тем, кто оказывает какие-либо услуги гражданам и обрабатывает ПДн этих граждан. Защита персональных данных "своих" сотрудников необязательна, либо такая защита может быть менее строгой.
Реальность.
Подобное утверждение является предпосылкой к нарушению принципа равенства всех перед законом. Этот принцип закреплен в ст.19 Конституции РФ . Действительно, разве могут конституционные права работника на тайну личной жизни (ст.23 Конституции РФ ) отличаться от прав другого лица, не являющегося работником предприятия? Еще более важным является вопрос: согласится ли работник предприятия (организации) с фактическим положением дел, при котором его (работника) конституционные права ущемлены? Даже если работников немного, и все они крайне лояльны по отношению к оператору, то нужно понимать, что защита любых конституционных прав – это сфера публичных интересов. Положения же Конституции РФ все органы власти будут защищать вне зависимости от желания субъекта ПДн и вопреки воле оператора – это аксиома. Иными словами, органы прокуратуры, например, вправе отреагировать на указанную позицию оператора вполне предсказуемым образом. Практика показывает, что работник оператора может быть гораздо более требовательным, чем любой иной субъект ПДн по отношению к оператору в части соблюдения последним своих обязанностей по защите ПДн работника. Многие операторы (и профессиональное сообщество) считают, что в действующей редакции ФЗ №152 права субъекта ПДн чрезмерны и абсолютизированы. Действительно, это так – права субъекта ПДн должны быть "уравновешены" здравым смыслом и правами оператора, а требования субъекта – быть обоснованными. Так или иначе, оператору пора привыкать к тому, что конституционные права субъектов (его работников) – непреложный факт, требующий выполнения установленных Законом действий. Не следует забывать о том, что и ст.87 Трудового Кодекса РФ устанавливает обязанности работодателя по хранению и использованию ПДн работника. В этой связи можно подумать о том, готов ли работодатель столкнуться с еще одним органом государственного надзора и контроля – Государственной инспекцией труда .
Нам очень важно защитить ваши личные данные при посещении нашего веб-сайта. Поэтому мы соблюдаем законодательные положения о защите данных, в частности, Закон Германии о защите данных, Закон о телемедиях Германии и положения о защите данных в различных федеральных округах Германии.
Мы не предоставляем ваши данные для использования другими лицами, если вы не дадите свое согласие, или мы обязаны раскрыть это по приказу властей или судов. Ваши личные данные собираются, хранятся, обрабатываются и используются только в соответствии со следующей декларацией защиты данных.
Заблуждение №6.
Безопасность ПДн и конфиденциальность ПДн – это одно и то же. Если обеспечена конфиденциальность, то требования закона выполнены.
Реальность.
Очень часто операторы понимают под конфиденциальностью (режимом конфиденциальности) весь комплекс мер по обеспечению безопасности. Это заблуждение находит свое отражение и в нормативных документах оператора, в которых понятие "конфиденциальность" подразумевает комплекс мер по защите информации. Это ошибка. Серьезная, опасная, системная ошибка. Природа и смысл этих терминов (и, как следствие, мер по реализации защиты) различны.
Сбор, хранение, обработка и использование персональных данных
Эти данные об использовании анализируются внутри страны, чтобы анонимно определять интересы и поведение пользователей в статистических целях. В результате этого впоследствии невозможно идентифицировать вас. Данные использования не анализируются, чтобы создавать персональные профили использования, если вы прямо не согласны с тем, что они могут использоваться для этой цели. Мы прямо сохраняем за собой право анализировать данные в случае неправильного использования нашего веб-сайта или в случае любых других нарушений закона, что может привести к тому, что мы передадим дело в органы прокуратуры.
Заблуждение №16.
Будем собирать и использовать любые ПДн из любых источников. В случае проверки – заплатим штраф (он небольшой), и все!
Реальность.
Вне всяких сомнений такие действия являются нарушением принципов обработки ПДн (ст.5 ФЗ №152). Такие непродуманные действия могут привести к крайне негативным последствиям для оператора. Штраф – далеко не все меры воздействия, которые предусмотрены Законом. Так, в случае выявления нарушений при обработке ПДн оператор обязан или устранить эти нарушения в течение 3 дней, или уничтожить ПДн. Но этим обязанности оператора не исчерпываются. Оператор обязан уведомить субъекта ПДн об устранении (например, путем уничтожения ПДн) выявленных нарушений. Купленные на рынке базы данных могут содержать ПДн десятков, а то и сотен тысяч лиц. В состоянии ли оператор уведомить такое количество граждан об уничтожении их ПДн? Какие последствия будет иметь такое уведомление, как субъекты ПДн воспримут действия оператора? И это еще не все. Роскомнадзор имеет право принимать меры по прекращению обработки ПДн или приостановлению деятельности оператора вплоть до аннулирования лицензии, если обработка ПДн осуществляется (ч.3 ст.23 ФЗ №152) с нарушениями. Готов ли оператор идти на такие риски?
Ваши данные использования определенно не анализируются каким-либо другим способом или не передаются третьим лицам. Эти статистические необработанные данные удаляются через 90 дней. Мы также собираем персональные данные, если вы предоставляете их нам, например, во время регистрации, при заполнении форм или отправке электронных писем при заказе продуктов или услуг при оформлении запросов или при запросе материалов.
Оператор персональных данных – кто он?
Мы используем персональные данные, которые вы предоставляете нам в соответствии с положениями немецкого законодательства о защите данных. Если ваши личные данные необходимы для обоснования, содержания или изменения договорных отношений, они используются исключительно для целей заключения контрактов, заключенных между нами, например, для доставки товаров по указанному вами адресу. Эти данные не используются для целей исследования рынка или создания подходящих предложений. Персональные данные, необходимые для того, чтобы вы могли воспользоваться нашими услугами и позволить нам взимать с вас плату, первоначально используются исключительно для целей заключения контрактов, заключенных между нами.
Заблуждение №17.
Если от субъекта ПДн поступило обращение (или жалоба) о порядке обработки его ПДн, но фактов утечки информации наверняка не было, то нужно ответить гражданину, что с конфиденциальностью ПДн в организации все в порядке. Ответы на каверзные вопросы субъекта ПДн не входят в обязанности оператора и раскрывают конфиденциальные сведения (или коммерческую тайну) оператора. Если нет времени или желания, то можно и не отвечать субъекту ПДн.
Эти данные об использовании включают в себя, в частности, данные, которые идентифицируют вас как пользователя, информацию о начале, конце и объеме вашего использования и информацию об используемых вами услугах телемедицины. Если у вас есть ваше согласие, мы имеем право собирать, обрабатывать и хранить личные данные, объединять их с другими данными, архивировать их и использовать. Вы делаете это заявление о согласии отдельно и добровольно, и запись сохраняется. Вы можете отозвать его в любое время.
Если вы одобрили использование персональных данных для конкретных целей, требующих согласия, вы можете в любое время отозвать это согласие. Если данные передаются третьим лицам с вашего согласия, эти третьи стороны немедленно информируются и просят удалить данные. Вы имеете право ограничить свое согласие на использование ваших данных. Удаляются только те данные, на которые вы не дали свое согласие.
Реальность.
Права субъекта ПДн изложены в ст.14 ФЗ №152 . По мнению многих они избыточны, но именно по этой причине оператор должен быть крайне осмотрителен при рассмотрении обращения (жалобы) субъекта! Оператор обязан дать исчерпывающий и полный ответ субъекту ПДн на все вопросы, предусмотренные ст.14 ФЗ №152 в течение 10 рабочих дней, а в случае обоснованного отказа в предоставлении информации – в течение 7 рабочих дней. Ответы, не отражающие реального положения дел (либо отсутствие ответа) могут быть истолкованы субъектом как нарушение его прав, что может повлечь для оператора еще более негативные последствия – обращение субъекта ПДн за защитой своих прав в орган по надзору за соблюдением прав субъекта ПДн. Практика же показывает, что оператор, ранее никогда не обращавший внимания на вопросы обработки и защиты ПДн, не в состоянии справиться с подготовкой правильного и всестороннего ответа на запрос субъекта ПДн. В данном случае имеются ввиду правовые основания, цели, способы обработки и многие другие положения, формулировку которых необходимо осуществить заблаговременно.
Тем не менее, Германский Закон о защите данных позволяет обрабатывать и использовать данные, когда это делается в рамках целей договорных отношений или договорных отношений доверия или когда необходимо сохранить обоснованные интересы стороны, хранящей это и нет оснований полагать, что это перевешивается законными интересами заинтересованного лица в предотвращении обработки или использования данных. Несмотря на отмену или полное или частичное снятие декларации согласия, данные могут также обрабатываться и использоваться без вашего согласия в пределах, разрешенных законом, в частности, для выполнения уставных обязательств по архивированию.
Заблуждение №18.
Мероприятия по защите ПДн – это очень дорого. Лучше будем платить штрафы, они совсем маленькие.
Реальность.
Негативные последствия отсутствия системы защиты (помимо действительно незначительных пока штрафов) приведены выше. Про дороговизну системы защиты можно сказать, что все относительно. Например, затраты на построение такой системы в образовательном учреждении или лечебно-профилактическом учреждении районного уровня на порядок меньше, нежели затраты на создание системы пожарной безопасности или видеонаблюдения. Квалифицированный лицензиат сумеет спроектировать такую систему защиты ПДн, затраты на которую будут оптимальны. Более того, на этапе обследования уполномоченная организация (лицензиат) предложит решения, позволяющие сократить издержки при создании системы защиты. Проведение же первого этапа (обследования) как правило, не превышает 20% от общей стоимости работ по защите ПДн.
Отмена, блокировка, удаление и исправление ваших личных данных
Вы в любое время можете отозвать свое согласие на хранение своих персональных данных или потребовать, чтобы эти данные были исправлены. Вы также имеете право в любое время отозвать свое согласие на дальнейшие добровольные данные, которые будут собираться и храниться нами. Мы хотели бы отметить, что для защиты вашей частной сферы и безопасности мы проверяем вашу личность до проведения любых таких мер.
Если вы отмените свое согласие на хранение, обработку и использование ваших персональных данных, мы немедленно удалим все сохраненные данные. Вы имеете право хранить личные данные, которые хранятся у нас, заблокированы, удалены или исправлены. Если вы хотите, чтобы личные данные, хранящиеся нами, были заблокированы, удалены или исправлены, пожалуйста, сообщите нам об этом, написав на следующий адрес и приложив копию вашего удостоверения личности или паспорта.
Заблуждение №19.
Система защиты персональных данных – это некие технические средства. Нужно их купить и установить. Обследование, аудит, проектирование – это избыточно, это придумано, чтобы побольше заработать на проблемах оператора.
Реальность.
Аналогия с лечением пригодится и тут. Любому лечению предшествует диагностика заболевания. Так и этап обследования предшествует организационно-административным и техническим мероприятиям по защите. Обследование помогает не только достоверно выявить слабые места информационных систем и разработать замысел защиты, но и, как ни странно, сэкономить деньги. Каким же образом? Квалифицированное обследование определяет, как именно можно сократить издержки при построении системы защиты. Способов много: оправданное снижение класса ИСПДн, пересмотр перечня ПДн, подлежащих обработке, сегментирование информационных систем, оптимизация топологии сети и т.п. Все эти способы известны специализированным организациям – лицензиатам. Мы не советуем выбрасывать деньги на ветер.
Ввод в эксплуатацию третьих сторон
Куки-файлы - это небольшие единицы информации, которые временно хранятся на вашем жестком диске нашим сервером при посещении нашего веб-сайта. Они помогают нам проводить анализ использования нашего веб-сайта. Мы вправе поручить компаниям или отдельным лицам, которые мы тщательно выбрали, как это предусмотрено в Немецком Законе о защите данных, взять на себя или выполнить работу под нашим именем в связи с целью, изложенной в этой декларации по защите данных. Сюда входят интернет-провайдеры, операторы серверов, компании, которые обрабатывают платежи и другие компании или частных лиц, которые оказывают помощь.
Заблуждение №20.
Уже существующая у оператора мощная система защиты конфиденциальной информации (коммерческой тайны) наверняка решит и проблемы защиты ПДн. Ничего дополнительно делать не нужно.
Реальность.
С технической точки зрения – возможно, и решит. Однако есть множество требований, предъявляемых как к способам и методам защиты ИСПДн, так и к техническим средствам защиты информации. Эти требования установлены регуляторами (ФСТЭК России и ФСБ РФ) в пределах их компетенции. Игнорирование этих требований не только является нарушением, но и может привести к наступлению негативных последствий как для оператора, так и для субъекта ПДн. К числу таких требований относится, например, необходимость применения средств защиты информации, прошедших процедуру оценки соответствия. Специфические требования предъявляются и на этапе ввода в эксплуатацию системы защиты персональных данных (процедуры оценки состояния защищенности подсистем). Поэтому, как правило, любую существующую систему защиты (если она строилась не в целях защиты ПДн и не в соответствии с нормативными документами) необходимо пересмотреть и модернизировать. Возможно, затраты при этом могут оказаться незначительными, а выгоды – очевидными. Специализированная организация при проектировании системы защиты обязательно учтет существующие компоненты системы защиты и постарается эффективно их применить.
Такие компании могут предоставлять доступ к персональным данным, которые они требуют для своей деятельности. Эти компании или отдельные лица не имеют права использовать данные для каких-либо других целей. Вы имеете право, бесплатно, видеть личные данные, которые мы сохранили для вас. Информация предоставляется в письменной форме. Если вы хотите получить информацию о хранении ваших личных данных, сообщите нам об этом, написав на следующий адрес и приложив копию вашего удостоверения личности или паспорта.
Мы делаем все возможное, чтобы обеспечить безопасность ваших данных, как того требует действующее законодательство по защите данных. Однако мы хотели бы отметить, что электронная связь никогда не может быть полностью безопасной. Это означает, что все данные и информация, которые вы отправляете нам добровольно, могут быть получены третьими лицами, пытающимися получить данные незаконно. Если вам не исполнилось 18 лет, вы не должны передавать нам какие-либо личные данные без разрешения ваших родителей или законных опекунов.
Что же касается организационной компоненты работ по защите ПДн, то смело можно утверждать, что в подавляющем большинстве организаций, в которых задача по защите ПДн (а не любой иной конфиденциальной информации) не ставилась, состояние этой работы плачевное.
Заблуждение №21 (бонусное).
Нужно провести предпроектное обследование, руководствуясь только одним критерием для выбора исполнителя – ценой. Все равно все исполнители создают примерно одинаковые документы.
Внесение изменений в декларацию о защите данных
Мы не запрашиваем личных данных от детей и подростков. Насколько нам известно, мы не собираем такие данные или не передаем их третьим сторонам. Мы оставляем за собой право вносить изменения в эту декларацию о защите данных в соответствии с положениями о защите данных.
Доступ к объявлению защиты данных
Откройте интернет-магазин: что юридически требуется? - Часть 3: Защита данных
От регистрации товарного знака до прозрачных цен, отпечатка: правостороннее открытие интернет-магазина является большой проблемой для лавочников. Вопрос защиты данных особенно не стоит на повестке дня среди многих лавочников. Это часто меняется только тогда, когда интернет-магазин вводит антиконкурентное предупреждение.Реальность.
Во-первых , цель обследования – вовсе не создание документов, которые ждут своего часа для представления проверяющим органам. В результате правильного и квалифицированного обследования оператор получает в свое распоряжение стратегию защиты.
Во-вторых , результаты обследования, проведенного разными организациями, могут радикально отличаться. Некачественно проведенное обследование вводит в заблуждение оператора относительно существующего и требуемого уровня защищенности ПДн, дезориентирует его при реализации единой технической политики, подвергает опасности возникновения инцидентов информационной безопасности, и, главное, создает предпосылки для нарушения прав субъектов ПДн. А когда такое нарушение произойдет, то результаты некачественного обследования только добавят неприятностей оператору. Порой оператор в качестве результатов обследования получает лишь частную модель угроз, акты классификации ИСПД и некие шаблоны неадаптированных к специфике оператора документов. Впрочем, рынок, как ни странно, приемлет и такой дешевый во всех смыслах подход к проблеме.
Ответственность за нарушения защиты данных
Каждый интернет-магазин собирает, хранит и обрабатывает личные данные. Таким образом, Закон о защите данных и статья 13 Закона о телемедиа обеспечивают защиту клиента, чтобы последний был проинформирован о собранных, сохраненных и обработанных персональных данных. Если владелец магазина не соответствует этим требованиям, он может стать для него дорогостоящим.
Штрафы от потребительских центров и органов защиты данных
Соблюдение защиты данных в основном контролируется органами защиты данных.
Предупреждения конкурентов от конкурентов
Однако практически значительный риск возникает у конкурентов. В течение ряда лет эти нарушения законодательных положений в области защиты данных были предотвращены. По мнению судей в Гамбурге, это должно также способствовать развитию конкурентов конкурентов путем создания равных условий. поэтому является правилом, регулирующим поведение рынка по смыслу статьи 4 (11) Закона о недобросовестной конкуренции.Стоит ли экономить на безопасности? Стоит, если Вас не интересует результат.
