Технический паспорт на компьютер с персональными данными 2021

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

• Ф. И. О. субъекта персональных данных;
• контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
• наименование или Ф. И. О. и адрес оператора, получающего согласие;
• цель обработки персональных данных;
• категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
• условия разрешения и запрета обработки персональных данных;
• срок, в течение которого действует согласие;
• сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

• когда договор заключается непосредственно между банком и работником;
• когда у работодателя есть доверенность на представление интересов работника в банке;
• когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Защита персональных данных: Изменения в 152-ФЗ О персональных данных

Если раньше обработка персональных данных допускалась с согласия субъекта или в ряде других случаях, в т.ч. если персональные данные, сделаны общедоступными самим субъектом персональных данных, то теперь этот пункт, п. 10 ч.1 ст.6 был упразднён. Но взамен этого пункта, появилась целая статья, в которой описываются особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения. Она так и называется.

В случае раскрытия ПДн неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, обязанность предоставить доказательства законности распространения или иной обработки лежит на каждом лице, осуществляющем их распространение или иную обработку.

Т.е. по факту ничего особенного не добавилось, оператор как и раньше должен доказать свое право на обработку ПДн своих субъектов и основания на такую обработку. В новой версии Федерального закона основания должны быть представлены в виде отдельного согласия на распространение . Учитывая, что общедоступные источники никуда не делись, то возможно придется собирать уже два согласия. Одно письменное для включения персональных данных субъекта в общедоступные источники информации, второе же на распространение.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В новом законопроекте субъектам персональных данных дается возможность самим регулировать условия обработки, накладывать запреты на обработку своих ПДн, а также устанавливать запрет на передачу своих данных третьим лицам. Интересный момент, что если сам бланк согласия не подразумевает полей устанавливающих запреты или не указаны перечень ПДн или категории ПДн для которых субъект устанавливает условия и запреты, то такие персональные данные должны обрабатываться оператором без распространения или без предоставления доступа к этим данным. Отказать в установлении запрета или ограничения в отношении распространения своих персональных данных оператор не имеет права. Более того Оператор обязан опубликовать информацию об условиях обработки и о наличии запретов и условий обработки в срок не превышающий 3-х дней с момента получения соответствующего согласия.

Новые правила обработки персональных данных: закон и судебная практика

Мы все хорошо знаем, что сбор персональных данных разного рода операторами происходит довольно часто. Свои данные мы указываем везде: открытие счета, получение посылки по почте, запись на прием к приставу и пр. При этом гарантировать сохранность персональных данных после их обработки очень сложно. Безусловно, ФЗ № 152 обязывает их охранять. Но некоторые данные могут стать публичными из-за злоупотребления полномочиями или банальной неосторожности.

Мировой суд посчитал такие действия со стороны коллекторской компании нарушением ФЗ № 152 «О защите персональных данных». Позже Черемушкинский районный суд г. Москвы, как апелляционная инстанция, поддержал решение мирового суда в полном объеме и согласился с выводами нижестоящего суда в части привлечения организации к административной ответственности и выплате штрафа в размере 30 000 рублей (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу № 12-973/2019).

Соблюдать положения закона обязаны все операторы, в том числе те, которые публично выкладывают персональные данные для общего доступа. Например, таковыми признаются социальные сети. Согласие на использование персональных данных необходимо будет направить через социальную сеть или на юридический адрес компании. Впоследствии предполагается, что предоставить согласие можно будет через специальную систему, которую создаст Роскомнадзор. Таким же способом предполагается передавать требование на прекращение использования персональных данных. С момента получения требования оператор должен прекратить использование персональных данных в течение 3 рабочих дней.

До вступления поправок в силу у третьих лиц оставалась некая «лазейка» в законе. В частности, они также могли осуществлять сбор, хранение и передачу данных. А субъекты, чьи персональные данные были переданы третьим лицам, могли требовать их удаления только при соблюдении обязательных условий: необходимо доказать, что данные получены незаконно, потеряли актуальность, являются неполными и т.п. С принятием поправок в ФЗ данное правило изменилось. Теперь лицо может требовать ограничения пользования и удаления персональных данных у любого оператора, которому стали известные персональные данные. Причину такого решения субъект персональных данных указывать больше не обязан.

Внесение поправок в действующее законодательство имеет своей целью более корректное использование персональных данных, полученных оператором для обработки. В первую очередь, это необходимо для того чтобы операторы понимали серьезность вверенных им данным и последствий своих действий. Поскольку нарушения в хранении и передачи данных третьих лиц так или иначе все еще встречаются, у операторов не сложилось четкого представления о необходимости получения письменного согласия на передачу любых персональных данных.

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

— Постановление Правительства РФ от 01.10.2012 г. №1119
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Согласно новым требованиям субъект получил право ограничить оператора в использовании данных без указания причин (раньше требовались доказательства, что они приобретены незаконно, устарели, недействительны и прочее), и тот должен прекратить действия в течение трех рабочих дней, по истечении которых пользователь может обратиться в суд. Санкция — от 3 000 до 75 000 рублей. Оператор может только обрабатывать, но не распространять информацию. За каждое отдельное нарушение взимается отдельный штраф. Срок ответственности увеличивается до одного года.

С 27 марта 2021 операторы не получают в качестве санкций предупреждения — они упразднены. Теперь нарушителей сразу штрафуют. Суммы — от 6 000 до 150 рублей; при повторном инциденте, который теперь считается самостоятельным составом нарушения, цифры повысятся до 300-500 тысяч.

С первого марта 2021 года вступили в силу внесенные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который определяет действия работодателя с персональными данными физлиц. Почему нужно обратить пристальное внимание на эти поправки? Теперь за нарушениями последуют более серьезные санкции и штрафы.

Организациям постоянно приходится иметь дело с целыми гигабайтами личных сведений о клиентах и сотрудниках — собирать их, хранить, передавать, проводить по документации, уничтожать и прочее. В связи с цифровизацией развиваются сферы облачных решений, удаленных офисов, онлайн-платежей и сделок, аутсорса. Повышается оперативность и функциональность, но вместе с тем растут киберугрозы. Это заставляет государство совершенствовать правовое поле, особенно по поводу персональных данных граждан. Обновленное законодательство призвано заставить юрлица быть ответственнее в отношении личной информации.

Обработка персональных данных — любые действия с вышеперечисленными фактами, регламентируемые статьей 13.11 КоАП и редакциями от 07.02.2017 № 13-ФЗ и 30.12.2020 N 519-ФЗ. К ним относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Технический паспорт на информационную систему персональных данных образец 2021 года

К ПДн обучающегося относятся сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле обучающегося; сведения, содержащиеся в документах воинского учета (при их наличии); информация об успеваемости и о состоянии здоровья, документ о месте проживания и иные сведения, необходимые для определения отношений обучения и воспитания.

• наименование ИСПДн;
• адрес местонахождения ИСПДн;
• данные об утвержденной частной модели угроз безопасности ПДн в ИСПДн;
• перечень персональных данных, обрабатываемых в ИСПДн;
• перечень технологических процессов обработки ПДн, используемых в ИСПДн;
• перечень основных технических средств и систем, входящих в состав ИСПДн;
• перечень вспомогательных технических средств, входящих в состав ИСПДн;
• перечень средств защиты информации, установленных в ИСПДн.

С первым случаем все понятно, со вторым пока не понятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — не понятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп?

• Журнал учета обращений субъектов ПДн
• Журнал учета мероприятий по контролю над соблюдением режима защиты ПДн
• Уведомления ЗПД
• Уведомление об обработке (о намерении осуществлять обработку) персональных данных
• Документы по ЗПД

1. ПДн обрабатываемые в ИСПДн. Должен быть определен пере­чень ПДн, обработка которых ведется в ИСПДн.
2. Категория ПДн, обрабатываемых в ИСПДн (Х п д). Исходя из особенностей ПДн определяются следующие категории обрабатываемых в информационной системе ПДн:

• категория 1 — ПДн, касающиеся расовой, национальной при­надлежности, политических взглядов, религиозных и философских убеж­дений, состояния здоровья, интимной жизни;
• категория 2 — ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
• категория 3 — ПДн, позволяющие идентифицировать субъекта

• категория 4 — обезличенные и (или) общедоступные ПДн.

• осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
• осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
• осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
• необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
• необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
• осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
• осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Специфика согласия на обработку персданных, разрешенных к распространению, заключается в том, что оно подтверждает наличие разрешения от субъекта персданных на раскрытие его личной информации неопределенному кругу лиц. Начиная с 1 марта 2021 года такое согласие должно отбираться отдельно от иных согласий субъекта персданных.

В 2021 году существенно меняется порядок распространения персональных данных. Вслед за масштабными мартовскими изменениями, с 1 сентября 2021 года начнут действовать обязательные требования к содержанию согласия на обработку персданных, разрешенных к распространению. Разберемся, в чем суть нововведений.

Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

С 1 сентября 2021 г

— сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

— условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);

Распространять персональные данные граждан по-старому больше не получится

2. Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно 6 .

Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.

Пример: гражданин получил на свой e-mail именное предложение оформить кредит. Он обращается письменно в банк (к оператору) с требованием уничтожить ПД как полученные незаконно и ссылается на то, что никогда не передавал свои ПД в этот банк и не заключал с ним договор.

• перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение 11 ;
• запрет на распространение и предоставление ПД неограниченному кругу лиц 12 ;
• запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
• условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.

Компании, которые собирают ПД из открытых источников, считали, что они не должны получать согласие лица на обработку его ПД, поскольку само лицо размещало в интернете информацию о себе. Вместе с тем в 2018 г. Верховный Суд РФ не согласился с доводами одной из таких компаний. Суд признал: размещение гражданином ПД в соцсетях «ВКонтакте», «Одноклассники», «МойМир», Instagram и Twitter или на интернет-порталах «Авито» и «Авто.ру» не означает, что такие ПД можно обрабатывать без оформления согласия 23 . Однако данное решение существенно не изменило ситуацию: компании продолжали обрабатывать ПД по-старому, без получения согласий.

Необходимо обратить особое внимание на то, что компьютерная техника и оргтехника, отечественного или зарубежного производства для оценки подтверждения соответствия должна отбираться со склада изготовителя Органом по сертификации официально и передаваться в лабораторию с правильно оформленным актом отбора образца. При пересечении границы образцы декларируются по специальной таможенной процедуре (061) и используются исключительно для испытаний. Допускается отбор образцов Органом по сертификации на таможенном пункте.

• техническое описание продукции (при наличии);
• эксплуатационную документацию (паспорта, инструкцию по монтажу/эксплуатации);
• Коды ТН ВЭД на всю заявляемую продукцию;
• ОГРН Заявителя;
• товаросопроводительную документацию (контракт на поставку, инвойс);
• заявку на сертификацию.

Перечни компьютерных устройств, подлежащих сертификации, приведены в самих технических регламентах Таможенного союза. Кроме того, Коллегия Евразийской экономической комиссии приняла решение № 91 от 24 апреля 2013 г., в котором установлен подробный список оборудования, с указанием кодов ТН ВЭД ТС, которое подлежит обязательной оценке соответствия в рамках требований технического регламента на низковольтное оборудование.

Обязательная сертификация компьютерной техники осуществляется путем выявления соответствия требованиям двух технических регламентов Таможенного союза на низковольтное оборудование и электромагнитную совместимость. При этом, сертификат может выдаваться один, а в поле «Соответствует требованиям» приводятся оба регламента.

Кроме них, декларацию на основании доказательств, полученных с участием аккредитованной испытательной лаборатории (центра), органа по сертификации систем менеджмента качества можно зарегистрировать по схемам 3Д, 4Д и 6Д. Серийно производимая офисная техника проходит процедуру по 1Д, 3Д и 6Д. Остальные схемы для партии товара и единичных экземпляров.

Изменения в законе о персональных данных

Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы.

Еще один случай, когда согласие не требуется ─ если в информации, которую предали огласке, заинтересовано общество. Здесь важно не путать любопытство, например, к жизни известных людей, с общественным интересом ─ когда информация напрямую влияет на жизнь, здоровье, благосостояние граждан. Пример ─ распространение сведений о преступниках, которые находятся в розыске.

• Отзывы ─ пишут, как зовут человека и указывают информацию о нем, например, возраст, должность, город проживания, количество детей и другое.
• Интервью ─ сам формат предполагает, что о человеке будет рассказано достаточно много.
• Информация об экспертах на лендингах онлайн-курсов, конференций и т.п.

• данные субъекта ПД ─ ФИО на русском языке, для иностранцев или лиц без гражданства в русской транскрипции, контакты (телефон, email, почтовый адрес);
• информация об операторе ПД ─ название организации, ФИО ИП или физлица, адрес, ИНН, коды ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС;
• цели обработки ПД в формулировках закона № 152-ФЗ;
• категории ПД, которые субъект разрешает и запрещает распространять;
• срок, в течение которого действует согласие, при этом нельзя автоматически пролонгировать срок действия, устанавливать бессрочный статус и указывать на событие, наступление которого возможно в долгосрочной перспективе;
• информация о ресурсах, где будут распространяться данные, вплоть до адреса страницы сайта.

Это неудобно для отдельных проектов. Например, психолог предлагает бесплатные консультации при условии размещения записи беседы на своем сайте или соцсетях. Перед консультацией получены согласия на обработку и распространение ПД. А после размещения ролика клиент передумывает. Психолог вынужден удалить видео.

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы

• в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
• в охранное предприятие в целях взаимодействия и реагирования;
• в медицинские организации в целях проведения медицинских осмотров;
• в страховые компании по договорам добровольного медицинского страхования;
• в образовательные организации в объеме превышающем требования закона об образовании;
• в целях организации командировок и участия в выставках;
• в других целях, напрямую не связанных с должностными обязанностями сотрудника.

• Распространение вирусов и вредоносного ПО через рассылки спама на почту, мессенджеры, соцсети людей, чьи данные были похищены.
• Кража аккаунтов в социальных сетях в целях шантажа, компрометация публичных личностей.
• Проникновение в сеть организаций для хищения ценной информации (клиентская база, ноу-хау, заявки от клиентов) или же шифрования серверов и ПК сотрудников в целях вымогательства денег.
• Предложения о покупке сомнительных лекарств и непроверенных способов лечения на основе полученных медицинских данных.
• Склонение людей к противоправным действиям, пользуясь их слабостями.
• Деяния уголовных элементов, сексуальных маньяков, продавцов наркотиков в отношении детей.
• Социальная инженерия. Мошенники часто представляются сотрудниками банков и манипулируют людьми с целью получения денежных средств или сообщения информации, которая позволит им получить доступ к банковским счетам и картам.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

• организации мероприятий, маркетинговых акций, рекламы;
• размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
• сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

• Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
• Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
• Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
• Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
• Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
• Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
• Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
• Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
• Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
• Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
• Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

Новые изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ. Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.