Сделай Сам Свою Работу на 5

Неприкосновенность частной жизни и охрана данных





В сфере информационных технологий объективно мы общаемся с использованием технологических решений, о которых мы имеем минимальное представление. В этих условиях общество стало обращать внимание на те вызовы, которые стали формироваться с вовлечением ИТ во все сферы интеллектуальной деятельности. Государство стало обрабатывать много информации о гражданах. Тогда решили развить институт законодательства, развивающий идею защиты личных прав с учетом специфики современных информационных отношений.

Если смотреть на российские реалии:

Ст. 23 КРФ – неприкосновенность частной жизни и тайна переписки.

Ст. 10 ФЗ «об информации» – запрет анонимного распространения информации, но ответственность не установлена.

В ЕС стала развиваться отдельная отрасль (конец 70-начало 80) о персональных данных. Это связано с тем, что внедрение технологий обеспечило новые условия обработки информации и когда поняли, что легко передавать и модифицировать данные, института неприкосновенности личности не хватает. Одно дело, когда ОИВ собирают информацию и сшивают ее в папочку, но другое дело, когда к этой информации получает доступ неограниченный круг лиц. После этого стали рассматривать технологии как нечто, которое может создать угрозу гражданину. Поэтому и стали говорит о защите персональных данных.



Анонимность (в сети Интернет)

У нас есть 23 статья Конституции про неприкосновенность частной жизни и в развитие тайна переписки (мб ограничена на основании судебного решения).

И ст.10 Закона «Об информации, информационных технологий…» распространяемая информация должна включать в себя достоверные сведения о ее обладателе или распространителе.Анонимные коммуникации запрещены, но ответственности нет за распространение сведений анонимно.

Персональные данные

Эволюция понятия персональных данных:

1. Ст. 11 ФЗ об информации в редакции 1995 года: необходимо защищать информацию которая идентифицирует конкретное лицо.

2. ТК РФ, появилась глава 14 Защита ПД работника, 2001 год.

3. Конвенция СЕ о защите ФЛ при автоматизированной обработке ПД 1981 г. В 2001 г мы ее подписали, 2005 г – ратифицировали. Если нет автоматизированной обработки – уровень угрозы иной, потому и говорят об автоматизированной обработке.



4. ФЗ «О персональных данных», 2006 год. № 152-ФЗ. Его много раз меняли. Потому что многократно менялась концепция. И от банально технических вещей. Ставили сроки приведения в соответствие, но нифига не привели. Кроме того, пересматривались те или иные вопросы, связанные с уведомлением, формой согласия и т.д.

ПД - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение очень широкое, закон фактически трансформируется в понятие защиты частной жизни в сфере ИТ. Когда совокупность сведений создает возможность идентифицировать лицо – это ПД. А у нас очень широко.

Кстати говоря, По данным исследования, проведенного в Великобритании 70% всех случаев утечек информации – халатность персонала. Лишь 30% - кражи злоумышленников. Причины утечки ПД:

- Утеря или кража носителей информации (ноутбуки, карты памяти и т.п.). Примеры: 29.10.2009 Старбакс, кража ноутбука с данными 97 тыс. сотрудников.,

 

Условия законной обработки ПД

- согласие субъекта (общее правило);

- уведомление в Роскомнадзора;

- Обеспечение конфиденциальности ПД

 

Режимы охраны ПД

§ Общий режим

§ Более строгий режим:

- Специальные категории ПД – ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни

- Биометрические ПД – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность



§ Менее строгий режим:

- Общедоступные ПД

- Обезличенные ПД

 

Если субъект ПД не предупреждается о цели обработки до дачи согласия, это все считается незаконным. Цель обработки – центральное понятие.

 

§ Понятие целей обработки ПД:

Цель должна быть определена Оператором до начала обработки ПД

„ виды данных и способы их обработки должны соответствовать Цели

„ не допускается объединение баз данных, созданных для несовместимых между собой Целей

„ хранение ПД допускается не дольше, чем этого требует Цель.

§ Нужно:

„ идентифицировать случаи сбора технической информации и ПД в бизнес процессах Компании

„ сформулировать Цель обработки ПД

„ исключить сбор данных, не соответствующих Цели

„ исключить способы обработки ПД, не соответствующие Цели

„ установить Срок хранения ПД и обосновать его с позиции Цели

„ определить условия доступа к ПД и субъектов доступа - круг лиц и сотрудников, использующих информацию, обязав их хранить ее в тайне

„ обеспечить автоматическое удаление ПД по истечении Срока.

 

 

Обработка ПД без согласия

Список меняется очень часто:

„ Цели выполнения международного договора;

„ осуществление правосудия;

„ гос.услуги;

„ необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

„ защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;

„ для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

„ в статистических или иных исследовательских целях;

„ обязательное раскрытие в соответствии с федеральным законом.

 

Адвокатский запрос? А говна им на лопате, а не персональных данных.

 

Согласие субъекта ПД

Письменное и обычное. В законе может быть прямо сказано, что нужно письменное

К письменному есть требования в законе: полное имя, адрес, паспортные данные, наименование, адрес оператора, цель обработки ПД, перечень ПД, на обработку которых дается согласие, срок действия согласия, перечень действий.

 

  • Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения
  • Бремя доказывания наличия согласия – на операторе ПД

Возможные практические решения:

„ организация электронного документооборота

„ специальные защищенные web-формы

„ запись телефонного разговора

 

В некоторых случаях согласие должно быть письменным, что означает использование только:

„ собственноручной подписи или

„ ЭЦП

Серьезное ограничение для интернет-индустрии (!)

Передача ПД третьим лицам.

Что получившее лицо делает? Может передать третьим лицам. Но вопросы передачи третьим лицам – направление деятельности, на которое так же нужно согласие ПД.

Глобальная проблема для транснациональных компаний, холдингов, корпорцаий и т.д. – формально данные циркулируют между юр лицами. В зарубежном правопорядке в холдингах для передвижения ПД не нужно согласие субъекта. А у нас такого исключения нет,и создаются изощренные схемы универсального согласия. Получают формочки и там пишут, что согласны в отношении новых ЮЛ.

Еще проблема:трансграничная передача. Тоже требует письменного согласия. Вот, банковские карточки, например. Эта проблема, которая по факту не разрешается.

А в законе написано, что письменное согласие не требуется, когда в стране обеспечена адекватная защита ПД. Так, Роскомнадзор, считает сейчас, что в США, Японии не обеспечена.

 

Есть момент, когда ПД поручаются к обработке третьим лицам по договору. Например, складирование информации. Это лицо не обязано получать согласие ПД, но должна быть обязанность обеспечения конфиденциальности и прямо прописан перечень допустимых действий.

 

Получение ПД не от субъекта: необходимость письменно уведомить лицо об обработке его ПД (в ряде случаев уведомление не требуется).

 

 

Уведомление регулятора

Pd.rsoc.ru (Сайт роскомнадзора)

Там есть возможность предварительно до выражения согласия проверить наличие той или иной организации в реестре операторов ПД. Государственный орган не проверяет, кстати, эту деятельность, это просто декларация. Но зато потом можно сравнить декларацию с тем, что по факту осуществлялось.

До начала обработки надо уведомить Роскомнадзор. При этом необходимо указать цель.А если цель изменилась? Это другое уведомление, старым уведомлением ничего не прикрыть.

Для ряда действий уведомления не требуется: трудовые отношения. Ибо так делают все юрлица; для операторов связи тоже не надо; общедоступные ПД.

 

Сейчас 250000 организаций в Реестре.

 

 








Не нашли, что искали? Воспользуйтесь поиском по сайту:



©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.