ПДн для чайников
27 мая 2019
«Антивирусная правДА!» не раз писала о персональных данных, но в связи с появлением нового регулирующего документа Правительства РФ появился повод еще раз обратиться к этой теме.
Напомним, кто по закону должен защищать персональные данные:
Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления, иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств <...>
Федеральный закон от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных»
Закон требует защиты персональных данных и от физических лиц, однако на практике проверки того, насколько хорошо обычные пользователи защищают персональные данные, не проводились (во всяком случае о массовых случаях таких проверок нам неизвестно). И причина понятна: у регуляторов (в первую очередь, конечно, Роскомнадзора, который и проводит основную часть проверок) отсутствуют ресурсы для проверок обычных пользователей, число которых существенно превышает число компаний и организаций. Хотя абсолютно понятно, что физические лица к проверкам совершенно не готовы (покажите нам пользователей, которые подали требуемое уведомление в Роскомнадзор!)
Но всё меняется, и Постановление Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» может усложнить жизнь простых пользователей.
Для начала укажем, какие типы деятельности определяет Постановление № 146. Их четыре:
- плановые проверки,
- внеплановые проверки,
- контроль без взаимодействия с оператором,
- профилактика нарушений.
Добавление двух последних пунктов практически развязывает руки Роскомнадзору.
планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения вносятся приказом надзорного органа легко и просто
На основании чего может быть проведена, например, внеплановая проверка?
- б) по результатам рассмотрения обращений граждан;
- г) на основании требования прокурора об осуществлении внеплановой проверки;
- д) на основании решения руководителя органа по контролю и надзору по итогам рассмотрения докладной записки, содержащей выводы о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.
Фраза «по результатам рассмотрения обращений граждан» говорит о том, что проверка может быть проведена по обычному заявлению или в результате анализа данных системы контроля («выявленных по результатам проведения мероприятий»). То есть проверка может быть инициирована в любой момент.
11. Орган по контролю и надзору уведомляет оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты начала ее проведения посредством направления копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица, по адресу электронной почты оператора, если такой адрес содержится на сайте оператора в сети «Интернет» либо ранее был представлен оператором в орган по контролю и надзору, или иным доступным способом (далее – любой доступный способ).
Фраза «иным доступным способом» говорит о том, что уведомление будет сделано, вопрос только как. Да хоть голубиной почтой. А то, что уведомление пришло на почту, где его благополучно потеряли, – это вообще рядовая ситуация.
15. Проверка проводится в отношении:
б) документов и локальных актов оператора, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных», и принятых оператором мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных»;
Очень сомнительно, что у рядового пользователя или самозанятого найдутся все необходимые документы.
Что же будет, если оператор персональных данных не исправит нарушения?
50. В случае если неисполнение предписания об устранении выявленных нарушений нарушает права и законные интересы субъекта (субъектов) персональных данных, оператору направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушений, указанных в предписании.
51. В случае неисполнения оператором требования о приостановлении деятельности по обработке персональных данных составляется протокол об административном правонарушении в соответствии с Кодексом Российской Федерации об административных правонарушениях и принимаются меры, предусмотренные Федеральным законом «О персональных данных».
Но не всё так плохо. На данный момент Постановление № 146 утверждает следующее:
Внеплановые документарные проверки не проводятся.
Выездная проверка оператора – физического лица, не являющегося индивидуальным предпринимателем, не проводится.
Таким образом, под удар частные лица могут попасть только в случае плановых проверок. Маловероятно, конечно, но это наверняка всего лишь вопрос времени.
Не нужно думать, что обработка персональных данных – это что-то, что вас никак не касается. Студенческий спортзал, в котором необходима регистрация с предоставлением данных, хозяйка квартиры, которая взяла у жильца скан паспорта перед заселением, председатель родительского комитета класса, собравший у родителей номера телефонов (и можно придумать еще массу примеров), — все они ежедневно обрабатывают персональные данные, а значит, потенциально могут стать объектом соответствующей проверки.
Антивирусная правДА! рекомендует
На данный момент частному лицу, не являющемуся индивидуальным предпринимателем, достаточно сложно попасть под проверку, но вышеприведенные цитаты показывают, что в случае небольшой модификации документа (и, естественно, появления необходимого финансирования) это может стать реальностью. Поэтому мы советуем хранить персональные данные не дольше, чем в этом есть действительно насущная необходимость.
А для руководителей компаний мы подготовили краткую брошюру о правилах ПДн-гигиены.
Скачать брошюру |
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Andromeda
22:30:35 2019-07-18
Альфа
22:45:56 2019-07-17
razgen
01:08:21 2019-05-28
-----
А ещё, раньше в крупных городах стояли киоски "СПРАВКА", где можно было получить домашний адрес необходимого человека. Этот вид услуги был платный.
Роза
21:53:41 2019-05-27
robot
20:59:45 2019-05-27
anatol
20:53:21 2019-05-27
orw_mikle
20:26:01 2019-05-27
Шалтай Александр Болтай
18:15:49 2019-05-27
Татьяна
16:59:19 2019-05-27
kozinka.ru
16:48:58 2019-05-27
tigra
15:52:56 2019-05-27
Lia00
15:26:57 2019-05-27
Toma
15:18:40 2019-05-27
vinnetou
13:28:32 2019-05-27
Masha
13:18:33 2019-05-27
sanek-xf
13:13:27 2019-05-27
Sasha50
13:12:47 2019-05-27
Natalya_2017
13:10:31 2019-05-27
dyadya_Sasha
12:23:28 2019-05-27
Serg07
11:38:31 2019-05-27
dyadya_Sasha
11:08:19 2019-05-27
dyadya_Sasha
11:02:10 2019-05-27
Если говорить об председателе родительского комитета класса, собравшей у родителей номера телефонов, то тогда нужно каждого проверять на предмет стоит ли в смартфоне антивор или нет. В каждом телефоне справочник с кучей телефонов знакомых, с фамилиями, именами и тп, т.е. ПД. И здесь совет " хранить персональные данные не дольше, чем в этом есть действительно насущная необходимость" слабо подходит. А вот совет Антивор ставить лишним не будет.
Dmur
10:56:44 2019-05-27
Неуёмный Обыватель
10:44:19 2019-05-27
Денисенко Павел Андреевич
10:29:43 2019-05-27
maestro431
10:24:33 2019-05-27
Shogun
10:24:26 2019-05-27
Александр
10:12:53 2019-05-27
Геральт
10:01:26 2019-05-27
Lenba
09:44:54 2019-05-27
I46
09:40:27 2019-05-27
vkor
08:56:43 2019-05-27
Zserg
08:49:39 2019-05-27
Alexander
08:47:57 2019-05-27
Или ещё расхожие фразы человеческой мудрости: "И многие знания умножат нашу скорбь" (это из Ветхого Завета); много будешь знать - скоро состаришься; и поговорка на многие случаи жизни, - "Слово - серебро, молчание - золото"...
И во всех ситуациях следует помнить, что тем, чего у тебя нет, нельзя злоупотребить, и того чего нет, у тебя не украдут... Хотя, в наш цифровой век имеются "умельцы", которые с разным успехом умудряются продавать то, чего у них и не было в помине... Да, осторожность никогда не помешает, и добрый совет всегда к месту... Спасибо за статью.
Vlad X
08:26:20 2019-05-27
EvgenyZ
08:22:55 2019-05-27
I23
08:10:29 2019-05-27
achemolganskiy
08:10:00 2019-05-27
Пaвeл
07:11:28 2019-05-27
Любитель пляжного футбола
06:59:55 2019-05-27
ka_s
06:51:52 2019-05-27
L1t1um
06:19:43 2019-05-27
SGES
04:34:33 2019-05-27
Korney
04:03:47 2019-05-27