Персональные данные | Управление защиты населения от чрезвычайных ситуаций и обеспечения пожарной безопасности
Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (смотреть)
Постановление Правительства РФ от 15 сентября 2008 г. N 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (смотреть)
Постановление Правительства РФ от 21 марта 2012 г. N 211
«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (смотреть)
———————————
Приказ от 19 июля 2019 года № 107
Об утверждении Политики в отношении обработки и защиты персональных данных Управления защиты населения от чрезвычайных ситуаций и обеспечения пожарной безопасности Курганской области (смотреть)
———————————
Приказ от 12 сентября 2017 года № 156
О внесении изменений в приказ Управления реабилитации территорий и защиты населения Курганской области от 7 сентября 2015 года № 145 «Об организации работы с персональными данными, обрабатываемыми в Управлении реабилитации территорий и защиты населения Курганской области» (смотреть)
———————————
Приказ от 18 августа 2017 г.
№ 135
О внесении изменений в приказ Управления реабилитации территорий и защиты населения Курганской области от 30 сентября 2015 года № 155 «Об утверждении Положения об обработке персональных данных без использования средств автоматизации в Управлении реабилитации территорий и защиты населения Курганской области» (смотреть)
———————————
Приказ от 18 августа 2017 г. № 136
О внесении изменения в приказ Управления реабилитации территорий и защиты населения Курганской области от 19 марта 2015 года № 50 «Об утверждении Перечня персональных данных, обрабатываемых в Управлении реабилитации территорий и защиты населения Курганской области и Перечня информационных систем персональных данных Управления реабилитации территорий и защиты населения Курганской области» (смотреть)
———————————
Приказ от 18 мая 2017 г. № 77
О внесении изменений в приказ Управления реабилитации территорий и защиты населения Курганской области от 7 сентября 2015 года №142 «О реализации отдельных положений постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (смотреть)
———————————
Приказ от 16 мая 2016г.
№ 85
О внесении изменений в приказ Управления реабилитации территорий и защиты населения Курганской области от 7 сентября 2015г. №145 «Об организации работы с персональными данными, обрабатываемыми в Управлении реабилитации территорий и защиты населения Курганской области (смотреть)
———————————————
Приказ от 30.09.2015 №155 Об утверждении Положения об обработке персональных данных без исспользования средств автоматизации в Управлении реабилитации и защиты населения Курганской области (подробнее)
Приказ от 07.09.2015 №144 Об утверждении Политики обработки персональных данных (подробнее)
Приказ от 07.09.2015 года №142 О реализации отдельных полномочий положения Правительства РФ от 21.03.2012 №211 (подробнее)
Приказ от 07.09.2015 года №145 Об организации работы с персональными данными (подробнее)
Приказ от 19.03.2015 №50 Об утверждении Перечня персональных данных, обрабатываемых в Управлении реабилитации территорий и защиты населения Курганской области и Перечня информационных систем персональных данных Управления реабилитации территорий и защиты населения Курганской области (подробнее)
Ответ недели: положение об обработке персональных данных
Вопрос: Мы обрабытываем персональные данные как работников предприятия, так и клиентов, должны ли мы разработать два разных положения об обработке персональных данных и две формы согласия?
Сообщаю Вам следующее:
Законодательством о персональных данных специально не предусмотрено, должна ли компания утверждать один локальный нормативный акт о работе с персональными данными работников и клиентов или это могут быть два отдельных акта.
Следовательно, это может быть одно положение, в котором в разных пунктах описаны защита данных сотрудников и защита персональных данных клиентов.
Однако, поскольку не любая компания захочет обнародовать порядок работы с персональными данными работников, то возможно разделить положение на два отдельных документа (для работников и клиентов).
Документы КонсультантПлюс для ознакомления:
В п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) указано, что персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Основным принципом, определяющим работу с персональными данными, является их конфиденциальность. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст.
7 Закона N 152-ФЗ).
Прежде всего нужно издать положение о защите персональных данных, которое будет регулировать порядок их хранения и использования (ст. 87 ТК РФ). Причем работников следует ознакомить с ним под подпись (п. 8 ст. 86 ТК РФ).
Требования к организации работы с персональными данными клиентов, по сути, те же, что и к организации работы с персональными данными сотрудников.
Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом N 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне».
Законодательством о персональных данных специально не предусмотрено, должна ли компания утверждать один локальный нормативный акт о работе с персональными данными работников и клиентов или это могут быть два отдельных акта.
Следовательно, это может быть одно положение, в котором в разных пунктах описаны защита данных сотрудников и защита персональных данных клиентов.
Однако, учитывая, что согласно ч. 2 ст. 18.1 Закона N 152-ФЗ оператор при работе с клиентами обязан опубликовать или иным образом обеспечить неограниченный доступ к положению о защите персональных данных, целесообразнее разделить положение на два отдельных документа (для работников и клиентов). Ведь далеко не любая компания захочет обнародовать порядок работы с ПД работников.
Статья: Работа с персональными данными клиентов (Жижерина Ю.) («Кадровая служба и управление персоналом предприятия», 2015, N 3) {КонсультантПлюс}
Статья: Организуем работу с персональными данными сотрудников (Жижерина Ю.) («Кадровая служба и управление персоналом предприятия», 2015, N 2) {КонсультантПлюс}
Статья: Кому выпишут штраф за нарушение Закона о персональных данных? («Расчет», 2017, N 7-8; «Практическая бухгалтерия», 2017, N 8) {КонсультантПлюс}
Ответ подготовил Консультант Регионального информационного центра сети КонсультантПлюс
Кожина Снежана Римовна
Ответ актуален на 28.
11.2019 г.
Передача данных в Россию и Китай во время кризиса | Spirit Legal
[соавтор: Беттина Блаверт]
Фото: Unsplash / Icons: The Noun Project
Регулятор по защите данных недавно призвал любую компанию, которая экспортирует персональные данные в Россию и Украину, пересмотреть свою практику, чтобы убедиться, что она по-прежнему остается законной 1 .
Это яркий пример того, насколько актуальна и потенциально взрывоопасна проблема передачи персональных данных в третьи страны. Особенно в наши дни, когда экономическая ценность персональных данных растет, а их защите все чаще угрожают автократия и даже война, стоит более внимательно изучить правила защиты данных во всем мире. В этой статье мы сосредоточимся на передаче данных в Россию и Китай, задав вопрос: все ли мы стали прозрачными гражданами, по крайней мере, в этих странах?
После вынесения Шремсом постановления Европейского суда (ECJ) компании и национальные органы по защите данных были обязаны тщательно оценивать передачу данных и прекращать ее всякий раз, когда правила страны, в которую отправляются данные, не противоречат гарантировать защиту, эквивалентную GDPR/CREU.
Эта тенденция оказала большое влияние на передачу данных в США, а также в Россию и Китай.
Российское законодательство о защите данных — сложный вопрос, не в последнюю очередь потому, что в настоящее время страна ведет агрессивную войну против Украины и, соответственно, остального цивилизованного мира. Крайне важные изменения в сентябре 2015 г. (N 242-ФЗ) были внесены в Федеральный закон РФ о персональных данных 152-ФЗ (2006 г.). Эти правила дают российским властям широкий спектр предлогов для получения доступа к персональным данным. Основания для такого доступа — даже к специальным категориям персональных данных, таким как раса, половая жизнь, политические и религиозные убеждения, — включают в себя цели обороны, безопасности, противодействия терроризму, транспортной безопасности, противодействия коррупции, оперативно-розыскной деятельности, исполнительного производства, а также уголовное законодательство Российской Федерации.
3 Это означает, что право человека на защиту данных и неприкосновенность частной жизни может быть ограничено всякий раз, когда государство заявляет, что на карту поставлены интересы национальной безопасности. Кроме того, Россия часто грубо нарушает ЕКПЧ, особенно когда речь идет о свободе слова. 4
Цифровизация также проложила путь к новым формам государственного надзора, цензуры и контроля информации. Согласно итоговому отчету EDPB, российское государство использует существующие права на защиту данных в качестве инструмента для контроля над Интернетом и защиты интересов правительства. 5 По сравнению с ЕС существует явный дисбаланс между основными правами субъектов данных и интересами защиты самого государства. 6
Почему нас беспокоит эта угроза? Российско-украинская война на примере 7 Защита, предлагаемая российскими правилами защиты данных, не равна защите GDPR. Это то, о чем мы все должны заботиться как с точки зрения закона о защите данных, так и на личном, практическом уровне.
Опасности недостаточного уровня защиты данных можно рассматривать с социально-политической и правовой точек зрения. В свете российского вторжения в Украину правительствам не следует забывать, что личные данные приобретают все большую экономическую ценность. В то время как санкции были быстрыми — с уже действующими запретами на импорт и экспорт материальных товаров и фактически отрезанной от глобальной платежной системы Россия — другая потенциальная санкция может принять форму прекращения потока персональных данных. Рано утром 24 февраля 2022 года российские войска вторглись на территорию Украины. Сообщается, что военная операция сопровождалась атаками на веб-сайты и диверсионными атаками на отдельные украинские учреждения. DDoS-атаки (распределенный отказ в обслуживании) якобы были ограничены веб-сайтами украинских банков и министерств, а также парламента. 8 В то же время сообщается, что на украинских компьютерах были обнаружены программы удаления данных, известные как вайперы.
Сообщается также, что пострадали банки и поставщики услуг украинского правительства с офисами в Литве и Латвии. В некоторых случаях вредоносное ПО якобы распространялось через групповую политику Windows. 9 Таким образом, преступники уже должны были иметь соответствующие полномочия администратора и доступ к центральным серверам, таким как служба каталогов. После вторжения партнеры НАТО все чаще сообщали об агрессивных действиях по сканированию своих сетей. Федеральное управление информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI) и Национальный центр реагирования на кризисные ситуации в сфере ИТ (Nationales IT-Krisenreaktionszentrum, IT-KRZ) выпустили специальный отчет о текущем развитии кризиса в Украине с рейтингом « 3 / Оранжевый». Ситуация с ИТ-угрозами, особенно в критически важных инфраструктурах, классифицируется как критическая для бизнеса; нельзя исключать массивное ухудшение регулярных операций. Однако в настоящее время для немецких компаний не предполагается никаких изменений в угрозе.
10
Кроме того, в настоящее время BSI предостерегает от использования программного обеспечения для защиты от вирусов российского производителя Kaspersky. BSI рекомендует заменить приложения из портфолио антивирусного программного обеспечения «Лаборатории Касперского» альтернативными продуктами. 11
BSI сообщает по этому поводу: «Действия вооруженных сил и/или разведки в России, а также угрозы российской стороны против ЕС, НАТО и Федеративной Республики Германии в ходе Текущий вооруженный конфликт связан со значительным риском успешной ИТ-атаки. Российский производитель ИТ может сам проводить наступательные операции, быть вынужден атаковать целевые системы против своей воли, стать жертвой кибероперации без его ведома или быть использован в качестве инструмента для атак против собственных клиентов». 12
В целом это означает, что личные данные могут оказаться под угрозой из-за кибератак.
Положения о защите данных в Китае 13 Закон о безопасности данных (DSL, 2021 г.
) является первым в Китае комплексным положением о безопасности данных. Еще одним нововведением является Закон о защите личной информации (PIPL, 2021). Как следует из названий, их общими целями являются безопасность данных и защита личной информации, но они также регулируют трансграничную передачу данных. Законы являются новыми столпами правил безопасности данных Китая, многие положения которых аналогичны положениям GDPR. Всякий раз, когда компания работает в Китае, она должна быть сертифицирована в соответствии с его законодательством и иметь прочную структуру управления. PIPL охватывает обработку персональных данных в пределах границ Китая. Однако это не относится к деятельности по обработке, которая происходит в Гонконге, Тайване и Сямэне (статья 3 PIPL).
Хотя Китайская Народная Республика установила режим защиты данных, реальных ограничений, препятствующих доступу государства к персональным данным, практически нет. защитить себя от сбора данных провайдерами, особенно крупными корпорациями.
В этом отношении китайский закон о защите данных, безусловно, сопоставим с европейским GDPR. Тем не менее, это новое законодательство ни в коем случае не означает конец «прозрачного гражданина» в Китае.
Что касается персональных данных иностранцев, EDPS указывает, что в правовой системе Китая также отсутствуют достаточные гарантии, сопоставимые с теми, что приняты в ЕС. 14 Например, поскольку Закон Китая о кибербезопасности предусматривает меры только «в соответствии с законом», само законодательство Китая не содержит каких-либо ограничений на доступ правительства к данным. 15 В целом правовая система Китая узаконивает широкий и неограниченный доступ государственных органов к персональным данным. 16 Кроме того, принцип пропорциональности не соблюдается, поскольку не упоминается независимый надзор и существуют лишь ограниченные гарантии прав субъектов данных. 17
Закон направлен против (или, возможно, против) делового мира, в частности крупных интернет-компаний и их неправомерного использования данных.
Однако это ничего не меняет в узаконенной государством слежке, которая осуществляется с помощью бесчисленных камер в общественных местах. И это, конечно же, не означает отказ от запланированной китайской системы социального кредита. Несмотря на задержку с внедрением, эта система введет вознаграждения или санкции на основе данных для собственных граждан страны.
Передача данных в небезопасные третьи страны не всегда очевидна на первый взгляд. Многие компании используют поставщиков услуг и сервисов, которые, в свою очередь, используют поставщиков в соответствующих странах, вызывая проблемы с передачей данных, за которые в конечном счете отвечает контролер в конце цепочки в соответствии с GDPR. Только в прошлом году приложение Clubhouse подверглось критике из-за серьезных нарушений закона о защите данных и несоблюдения GDPR, 18 можно было даже подслушивать пользователей. Clubhouse использует функции китайского стартапа Agora.
io, с помощью которых можно специально записывать разговоры пользователей.
Незашифрованная передача персональных данных в Россию и Китай представляет большую проблему как с точки зрения GDPR, так и с точки зрения прав человека. Ни в одном штате нет надлежащего уровня защиты данных или гарантий основных прав, и в обоих штатах государственные органы имеют широкий доступ к персональным данным, обрабатываемым внутри страны.
сноски:
1 https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2022/overforing-av-data-til-russland-og-ukraina/
2 https://www.roedl. de/themen/russland/datenschutzrecht-personenbezogene-daten-speicherung; https://www.roedl.de/themen/datenschutzgrundverordnung-dsgvo-datenschutzrecht-russland; https://cms.law/de/deu/publication/neue-datenschutzregelungen-in-russland-lassen-viele-fragen-offen; https://cms.law/en/int/expert-guides/the-impact-of-gdpr-in-non-eu-countries/russia; https://www.projekt29.de/die-neuen-russischen-datenschutzregelungen-wer-wie-was/
3 Доступ правительств к данным в третьих странах – Заключительный отчет, Европейский совет по защите данных (EDPB), ноябрь 2021 г.
(EPDS/2019/02-13) , п. 45.
4 EPDS/2019/02-13, с. 52.
5 EPDS/2019/02-13, с. 52.
6 EPDS/2019/02-13, с. 56.
7 https://www.datenschutz-notizen.de/aktuelle-entwicklungen-zur-ukraine-krise-bsi-warnt-vor-cyberattacken-2033918/;
8 Вторжение в Украину – какие последствия в киберпространстве? – SEKOIA.IO
9 https://www.heise.de/news/Cyberattacken-auf-Ukraine-6524405.html; https://www.zeit.de/digital/2022-02/cyberattacke-ukraine-regierung-russland-angriff
10 https://www.datenschutz-notizen.de/aktuelle-entwicklungen-zur-ukraine-krise- bsi-warnt-vor-cyberattacken-2033918/
11 https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html
12 https://www. .bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html
13 Такая Теракава, Китайский закон о защите личной информации – краткий обзор, DPOblog.eu, 12 июля 2021 г.; Йоханнес: Datenschutz und Datensicherheit in China ZD 2022, 90; Йоханнес: Китай: Zweiter Entwurf eines Datenschutzgesetzes veröffentlicht, ZD-Aktuell 2021, 05219; https://www.
dr-datenschutz.de/chinas-neues-datenschutzgesetz/; https://www.roedl.de/themen/china-datenschutzgesetz-datensicherheit-personenbezogene-daten;
14 EPDS/2019/02-13, с. 55; Haqmal/Schindler: Der staatliche Zugriff auf personenbezogene Daten in China, Indien und Russland ZD-Aktuell 2022, 01078.
15 EPDS/2019/02-13, с. 24; Haqmal/Schindler: Der staatliche Zugriff auf personenbezogene Daten in China, Indien und Russland ZD-Aktuell 2022, 01078.
16 EPDS/2019/02-13, с. 24 ф.
17 EPDS/2019/02-13, с. 24.
18 https://onlinemarketing.de/technologie/heimlicher-datentransfer-china-clubhouse
Политика конфиденциальности
Сайт ИНТОСАИ РОССИЯ 2019-2022 (ИНТОСАИ РОССИЯ) в лице Счетной палаты Российской Федерации предоставляет онлайн-платформа для всего сообщества ИНТОСАИ. Для ИНТОСАИ РОССИЯ конфиденциальность и безопасность посетителей, членов и респондентов нашего веб-сайта имеют первостепенное значение. Мы принимаем политику защиты данных, установленную общим положением о защите данных, установленным законодательством Российской Федерации и международным правом.
Мы соблюдаем «Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директива 95/46/ЕС (Общий регламент по защите данных)» или GDPR и с Федеральным законом Российской Федерации «О персональных данных» от 27.07.2006 N 152-ФЗ.
ИНТОСАИ РОССИЯ обязуется защищать данные, которыми вы делитесь с нами.
Любая информация, размещенная на сайте ИНТОСАИ РОССИЯ или в списках (электронная почта, регистрация, онлайн-встречи), считается конфиденциальной.
Вся информация надежно хранится и доступна только уполномоченному персоналу.
Мы внедряем и поддерживаем соответствующие технические меры безопасности для защиты персональных данных от несанкционированной или незаконной обработки и использования, а также от случайной потери, уничтожения, повреждения, кражи или раскрытия.
Все материалы, размещенные на сайте ИНТОСАИ РОССИЯ, в том числе видеоматериалы (которые размещаются на YouTube-канале Счетной палаты Российской Федерации), публикуются с согласия их авторов.
Эти материалы не предназначены для коммерческого использования, а публикуются только в образовательных целях. Мы добросовестно придерживаемся принципов авторского права и готовы удалить материал по первому требованию автора.
Согласие
Пожалуйста, примите следующие правила
Вся информация, полученная от респондентов в режиме онлайн, передается в ИНТОСАИ РОССИЯ (тексты, контакты, медиафайлы и т.д.), действующую при Счетной палате Российской Федерации, и не подлежит разглашению с третьей стороной.
Респонденты, отвечающие на опросы, анкеты или онлайн-формы регистрации, должны знать, что только они несут ответственность за содержание своих ответов.
Формы регистрации или анкеты собирают такую информацию, как имя, название организации, адрес электронной почты, адрес, телефон и другие соответствующие данные. Эта информация используется строго ИНТОСАИ РОССИЯ для предоставления поддержки, услуг, рассылок, информации.
Файлы cookie
Файлы cookie — это небольшие фрагменты информации, отправляемые веб-сайтом на жесткий диск посетителя.
Файлы cookie нельзя использовать для запуска программ или доставки вирусов на ваш компьютер. При следующем посещении это позволит нашим информационным ресурсам распознать ваше устройство для более удобного взаимодействия с пользователем.
Продолжая посещать сайт, вы соглашаетесь на размещение файлов cookie на вашем устройстве. Если вы решите не принимать наши файлы cookie, мы не можем гарантировать, что ваш опыт будет таким же полезным, каким он был бы в противном случае.
Посещая только веб-сайт, вы соглашаетесь на сбор и использование ваших личных данных, как описано здесь.
Если вы не согласны с изложенными здесь условиями Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. Пожалуйста, не посещайте этот сайт.
ИНТОСАИ РОССИЯ может собирать и вести учет посетителей своего веб-сайта в целях отчетности и статистики, используемых в качестве основы для маркетинга и развития веб-сайта.
Мы можем записывать ваш IP-адрес и использовать файлы cookie.
ИНТОСАИ РОССИЯ может добавлять информацию, полученную в результате просмотра страниц. Кроме того, он может собирать и обрабатывать любые личные данные, которые вы добровольно предоставляете нам в формах на нашем веб-сайте, например, когда вы регистрируетесь на мероприятия или подписываетесь на информацию и информационные бюллетени. Такие личные данные могут включать ваш IP-адрес, имя и фамилию, ваш почтовый адрес и адрес электронной почты, ваш номер телефона, вашу должность.
Также мы можем собирать данные о посещениях веб-сайта, включая количество посетителей и посещений, данные о геолокации, продолжительность времени, проведенного на сайте, страницы, на которые нажимали, или куда заходили посетители. Мы используем собранные данные, чтобы общаться с посетителями и улучшать свой веб-сайт, анализируя, как посетители перемещаются по его веб-сайту.
Передача персональных данных
ИНТОСАИ РОССИЯ гарантирует, что никакие персональные данные не будут переданы поставщикам услуг или подрядчикам, а также кому-либо, кто не участвует в нашей совместной работе.
Ссылки на другие сайты
Обращаем ваше внимание, что при посещении нашего сайта посетители могут переходить по ссылкам на другие сайты, которые находятся за пределами наших ресурсов. ИНТОСАИ РОССИЯ не несет ответственности за содержание или политику конфиденциальности этих других сайтов.
Хранение и удаление данных
Мы не будем хранить данные дольше, чем это необходимо для достижения целей, для которых они были собраны, или в соответствии с применимыми законами или правилами.
Принятие настоящих Условий
Мы предполагаем, что все пользователи веб-сайта внимательно прочитали этот документ и согласны с его содержанием. Если кто-то не согласен с этой политикой конфиденциальности, ему следует воздержаться от использования нашего веб-сайта.
Юридическое обязательство раскрывать личную информацию
Мы будем раскрывать личную информацию пользователя без его/ее предварительного разрешения только тогда, когда у нас есть основания полагать, что раскрытие этой информации необходимо для установления личности, связи или инициирования судебного производство в отношении лица или лиц, подозреваемых в нарушении прав или имущества, принадлежащих ИНТОСАИ РОССИЯ, или других лиц, которым может быть причинен вред в результате действий пользователя, или лиц, которые могли (умышленно или иным образом) нарушить эти права и имущество.