Нарушения закона персональные данные сми практика. Федеральный закон «О персональных данных» и деятельность СМИ: проблемы, проверки, нарушения

Составлять протоколы по нарушениям будет Роскомнадзор

С 1 июля 2017 года в России вступает в силу обновленный закон «О персональных данных». Вместо одного штрафа в 10 тысяч рублей депутаты Государственной думы ввели семь общей суммой до 275 тысяч рублей, соответственно увеличив количество типов нарушении и предоставив Роскомнадзору право выписывать протоколы по ним. Под действие закона попадают любые организации, собирающие и использующие персональные данные, от интернет-магазинов до СМИ. В случае с первыми все относительно прозрачно. Но работу вторых измененный закон может полностью парализовать. Подробности – в материале «ФедералПресс».

Закон не содержит перечня сведений, которые попадают под определение «персональные данные», есть только общая формулировка – «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Эксперты сходятся в том, что такое толкование касается следующих данных в любых комбинациях: ФИО, адрес, электронная почта, телефон, дата рождения, фотография, профессия. За нарушение требований по обезличиванию персональных данных юридическим лицам грозит штраф от трех до шести тысяч рублей.

Чтобы использовать персональные данные без последствий, нужно получить письменное согласие их владельца; опубликовать собственную политику в части обработки этой информации; предоставлять желающим информацию о том, какие именно их данные у вас есть; уточнять, блокировать или уничтожать персональные данные по требованию владельца; защитить данные от утечки и хранить их на территории России.

Сегодня практически каждая публикация российских СМИ нарушает требования по обезличиванию данных, которые вступят в силу завтра. Получить письменное разрешение от каждого героя публикаций (особенно, если речь идет о критическом материале) также не представляется возможным.

«ФедералПресс» предположил, как будут выглядеть новости, полностью соответствующие обновленному закону .

Ольга Ермакова, старший юрисконсульт и комплаенс специалист Linxdatacenter

Прошло почти пять лет с момента принятия поправок в федеральный закон № 152-ФЗ «О персональных данных», повлекших обязанность операторов ПДн обеспечивать обработку личной информации российских граждан на территории Российской Федерации*. Политическая подоплека этой инициативы и жаркие споры вокруг нее давно забылись, осталось главное: исполнение требований закона.

Как один из крупнейших операторов коммерческих дата-центров в России, мы работаем с десятками клиентов, и видим, что далеко не всегда бизнес понимает, что именно необходимо предпринять для исполнения требований Федерального Закона № 152.

Самый распространенный сценарий, который запрашивают клиенты - осуществить перенос данных в облако на территории РФ. Экономическая выгода от использования виртуальных мощностей ЦОД вместо покупки и обслуживания собственных серверов - очевидный факт, но это не все, что требуется от компаний.

Не только перенос данных

Чаще всего компанию Linxdatacenter спрашивают: «Расположен ли ваш ЦОД на территории РФ?». Самые продвинутые заказчики интересуются, есть ли у хостинг-провайдера лицензия ФСТЭК на техническую защиту конфиденциальной информации («ТЗКИ»), зачастую не понимая при этом, зачем может потребоваться такая лицензия и какие дополнительные гарантии клиентам может предоставить ЦОД, обладающий этой лицензией.

Кроме требований 152-ФЗ к хранению данных в России существует множество других требований, стандартов и регламентов, относящихся к техническим и процедурным моментам управления ресурсами дата-центров. Говоря о персональных данных, важно понимать, что один лишь факт наличия лицензий, аттестатов и сертификатов не приближает клиента к обеспечению комплаенса по 152-ФЗ.

Только честно: зачем это нужно

В 2017 году статья 13.11 КоАП, устанавливающая ответственность за нарушение законодательства РФ в области персональных данных, претерпела существенные изменения: были конкретизированы составы нарушения (вместо одного состава появилось семь), существенно увеличены штрафы за нарушение требований работы с персональными данными. Вместе с тем, при действующем подходе регулятора компания штрафуется однократно за совокупность аналогичных нарушений, а не за каждое отдельное нарушение (например, если в компании неправильная форма согласия на обработку ПДн, которую заполнили 100 субъектов ПДн, компания будет оштрафована однократно, а не в стократном размере). Очевидно, что в масштабе бизнеса крупных компаний (а с большими объемами персональных данных работают именно такие - банки, страховщики, ритейлеры, агрегаторы по продаже билетов) эти штрафы не представляют серьезную проблему. Вопрос, скорее, в репутационных издержках, которые в случае возникновения утечек намного выше.

По мере развития цифровой экономики риски в области информационной безопасности только растут. По данным Infowatch , объем скомпрометированных данных по всему миру в 2017 году вырос в несколько раз.

Специалисты по безопасности фиксируют все больше случаев, когда данные утекают из облака на стороне самой компании: технические сотрудники забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы. Например, также в 2017 году была зафиксирована утечка персональных данных около 14 млн клиентов с облачного репозитория оператора Verizon из-за неверных действий команды администраторов.

Поделить ответственность

Кто несет ответственность за соблюдение требований и за возможные утечки? Аутсорсинг, при котором персональные данные обрабатываются сторонней компанией, разрешен законом (п. 3 ст. 6 152-ФЗ). Сервис-провайдер, принимая на себя обязанности по обработке данных, разделяет и юридическую ответственность бизнеса клиента.

Бизнесу порой кажется, что распределение ответственности с сервис-провайдером за обработку персональных данных - самая масштабная задача. Вместе с тем, клиенты упускают важный момент в вопросе комплаенса по 152-ФЗ. Перемещение одной (двух, трех) информационных систем в защищенную инфраструктуру ЦОД само по себе не обеспечивает соблюдения клиентом законодательства о персональных данных.

Выбор надежного партнера по обработке и хранению персональных данных - важнейший шаг.

Наибольшую значимость при выборе имеет экспертиза компании в работе с конфиденциальными сведениями. Вместе с тем, это лишь один из аспектов соблюдения требований: для обеспечения безопасности и конфиденциальности персональных данных, на которое и рассчитан 152-ФЗ, оператор данных должен предпринимать организационные, технические и правовые меры.

Без проведения комплексного аудита на соответствие требованиям 152-ФЗ не обойтись. Важнейший момент здесь - осознать, что аудит нужен не Роскомнадзору, а самой компании. Анализ принятых в компании бизнес-процессов и соотнесение их с установленными в законе правилами помогает компании выявить узкие места в схеме работы с конфиденциальной информацией. Вот тут и встает вопрос о привлечении лицензиата ФСТЭК.

Следует упомянуть, что на сегодняшний день у регулятора отсутствуют полномочия проверять бизнес на предмет соблюдения законодательства о персональных данных в части принятия необходимых организационных и технических мер**. Такой подход выводит на первый план правовые меры, предусмотренных 152-ФЗ - разработка локальных актов, назначение лица, ответственного за обработку данных и т.д. Вместе с тем, важно осознать, что усилия по обеспечению комплаенса в области обработки данных представляют собой комплексный процесс: правовые меры обеспечения безопасности данных неразрывно связаны с организационными и техническими мерами, и не существуют в отрыве друг от друга.

У бизнеса должна выработаться привычка осуществлять последовательные непрерывные действия, направленны е на недопущение компрометации данных.

Как проходит аудит?

Это довольно трудоемкая процедура, с которой может успешно справиться только опытный сервис-провайдер, обладающий правовой и технической экспертизой. Сам оператор персональных данных как правило не обладает достаточными знаниями и опытом проведения подобных мероприятий, ввиду чего привлечение профессионалов на этапе построения системы защиты персональных данных является крайне желательным.

Аудит включает оценку бизнес-процессов компании, касающихся работы с данными, анализ локальных нормативных актов, договоров с контрагентами и тд.

Перед специалистами сервис-провайдера стоит ряд задач:

выявить все недочеты в бизнес-процессах аудируемого клиента,

определить перечень информационных систем, в которых осуществляется обработка персональных данных (ИСПДн),

смоделировать угрозы, актуальные для каждой ИСПДн клиента,

подготовить технический проект для системы защиты персональных данных клиента (СЗПДн).

После это специалисты разрабатывают комплект организационно-распорядительной документации, который может включать в себя около 40 различных документов, пошагово регламентирующих процессы обработки данных внутри компании. На базе этой документации принимаются необходимые организационные, технические и правовые меры для защиты персональных данных.

По сути, результат такой работы представляет собой индивидуальное проектное решение для конкретного бизнеса, которое сочетает в себе элементы правового и технического консалтинга в области информационной безопасности.

Дорогое бездействие

Гарантия надежной защиты персональных данных и любой ценной для бизнеса информации является такой же мерой качества современных ИТ-сервисов, как и их базовые характеристики.

Отсутствие должного понимания важности качественной защиты информации является глобальной проблемой, и не нужно думать, что Россия в этом отношении как-то выделяется.

По общему правилу, в силу ФЗ «О персональных данных», при публикации ПД необходимо получать согласие гражданина. По логике закона, данное требование направлено на обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Каждую ситуацию надо рассматривать персонально, но мы сейчас приведем один любопытный пример, когда ПД гражданина были распространены на сайте без его согласия (речь идет об имени, отчестве, месте работы и занимаемой должности). Интересный момент: данные были о враче стоматологе, признанном виновным в причинении смерти по неосторожности Сегежским городским судом.

Управление Роскомнадзора по республике Карелии направило в редакцию сайта требование об удалении ПД. Не согласившись с контрольным органом, редактор сайта обратился в Петрозаводский городской суд с требованием о признании требования незаконным. Суд исковое требование редактора удовлетворил.

Не желая забегать вперед, мы не стали додумывать за суд и предполагать его аргументацию.

Сегодня мы получили на руки решение суда (судья Лазарева Е.В.) и приводим его доводы.

1.Суд признал врача-стоматолога Манова А.М. публичной фигурой:

Медицинский работник (тем более медицинский работник государственного учреждения здравоохранения) применительно к правовой позиции, сформулированной в п.25 постановления Пленума ВС РФ от 15.06.2010 г. № 16 «О практике применения судами Закона РФ «О средствах массовой информации», а также исходя из определения «публичная фигура», данного в Резолюции № 1165 (1998) Парламентской ассамблеи Совета Европы «О праве на неприкосновенность частной жизни», занимая должность в ГБУЗ, пользуясь государственными ресурсами и, будучи медицинским работником, т.е лицом, априори пользующимся заслуженным уважением в обществе, играет определённую роль в общественной жизни (в социальной сфере), является публичной фигурой.

2.Суд усмотрел общественный интерес в публикации данных о приговоре Манову:

Суд также полагает необходимым отметить, что сведения о факте совершения преступления, обстоятельствах его совершения (в том числе, о специальности и занимаемой должности), а также фамилии и инициалы лица, совершившего преступление в связи с ненадлежащим исполнение своих профессиональных обязанностей на занимаемой им должности, имели значительный общественный резонанс.

3.По мнению суда, обработка ПД возможна без согласия гражданина, если речь идет об информировании общества по общественно-важным темам.

Это давало заявителю, преследующему, в том числе, цель информирования общества о ненадлежащим образом оказанных медицинских услуг, повлёкших причинение смерти, возможность предупреждения неопределенного круга лиц о ненадлежащей квалификации и профессиональных качествах осужденного, право осуществить обработку его ПД для достижения общественно важных целей и защиты жизни, здоровья и иных жизненно важных интересов других лиц. При этом учитывается, что получение согласие у субъекта ПД от него самого, исходя из конкретных обстоятельств, было очевидно невозможно.

4.Суд отметил, что обязывающая часть требований, сформулирована нечетко, неконкретно, не содержала указание на то, в отношении каких именно ПД Манова должно быть обеспечено прекращение неправомерной обработки.

Отсутствие конкретных указаний очевидно не позволяло лицу, которому оно адресовано, правильно исполнить его, не ограничивая себя в правах, установленных ч.4 ст.29 Конституции РФ, п.1 ст.3 ФЗ «О персональных данных» , нарушает установленный ч.5 ст.29 Конституции РФ запрет на цензуру (выделено автором).

Роскомнадзор является контрольно-надзорным органом за СМИ и интернет сайтами. Основанная его задача – контролировать исполнение законов и в случае их несоблюдения привлекать к ответственности. Но контроль не должен быть формальным, не должен вести к замалчиванию общественно-важной информации, не должен ограничивать сайты и СМИ в праве на получение и на распространение информации. Инициируя данный судебный спор, мы именно эту позицию и хотели довести до Роскомнадзора.

Суд выступил в нашем споре независимым арбитром и усмотрел, что требование РКН о прекращении неправомерной обработки ПД вынесено в отсутствие фактических оснований и его содержание не соответствует нормативным правовым актам, регулирующих спорные правоотношения.

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.
Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

• с какой целью вы собираете персональные данные;
• не собираете ли вы их больше, чем нужно для ваших целей;
• сколько храните персональные данные;
• есть ли политика обработки персональных данных;
• собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

• Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
• Политика оператора в отношении обработки ПДн ( есть рекомендации по оформлению).
• Приказ о назначении ответственного за организацию обработки ПДн.
• Должностная инструкция ответственного за организацию обработки ПДн.
• Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
• Перечень информационных систем персональных данных (ИСПДн).
• Регламент предоставления доступа субъекта к его ПДн.
• Регламент расследования инцидентов.
• Приказ о допуске работников к обработке ПДн.
• Регламент взаимодействия с регуляторами.
• Уведомление РКН и пр.
• Форма поручения обработки ПДн.
• Модель угроз ИСПДн.

После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.

Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
Призовем на помощь определение из закона:

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ

Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.

Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.

Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.

Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.

Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.

Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:

За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:

В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ .

В поручении также важно прописать обязанность обеспечения защиты персональных данных:

Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.
УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.
На уровень защищенности влияют следующие моменты:

• тип персональных данных (специальные, биометрические, общедоступные и иные);
• кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
• количество субъектов персональных данных – более или менее 100 тыс.
• типы актуальных угроз.

Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119 . Вот описание каждого с моим вольным переводом на человеческий язык.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 .

Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.

Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.

Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).

Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком "+" обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

• заинтересован продать побольше сертифицированных СЗИ;
• будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

Пункт 12 Приказа № 21 ФСТЭК России .

Реальность: закон не требует обязательного использования сертифицированных средств защиты.

Миф 6. Мне нужна криптозащита

Тут несколько нюансов:

1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ .

Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов.

KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.

Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.

Имена, фамилии, должности, фотографии – неотъемлемые элементы публикаций СМИ. Они же – персональные данные граждан, защищаемые законом. На публикацию каких личных сведений в СМИ обращает внимание Роскомнадзор, какие данные относятся к персональным, в каких случаях журналист может использовать их без разрешения, а в каких нет – рассказываем в Карточках АНРИ.

* Карточки подготовлены по материалам вебинаров, проведенных юристами Михаилом Хохолковым и Светланой Кузевановой в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

1. ​​​Что такое персональные данные?

Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован. Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека важны скорее не сами данные, а их совокупность.

​​2. При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о первом случае использования персональных данных.

3.Какой закон регулирует защиту персональных данных?

С 2006 года в России действует закон «О персональных данных». В 2017 году внесены поправки в статью 13.11 КоАП РФ , предусматривающую ответственность за нарушение законодательства о персональных данных: выделены семь видов таких нарушений и увеличен размер штрафов до 75,000 рублей по отдельным составам.

Контроль защиты ПД осуществляет Роскомнадзор, который имеет довольно широкие полномочия и может составлять протоколы об административных правонарушениях. Ведомство самостоятельно определяет, являются ли распространяемые сведения персональными данными. В случае выявления нарушения РКН выносит редакции предупреждение. После двух предупреждений в течение года Роскомнадзор имеет право обратиться в суд с иском о прекращении деятельности СМИ.

​​4. Что такое «обработка персональных данных» применительно к журналистике?

Абсолютно любые действия, совершаемые с персональными данными, называются их обработкой (сбор, хранение, распространение).

Закон закрепляет принципы обработки:

Законное и справедливое основание обработки ПД.

Подразумевается, что работать с данными можно либо с согласия субъекта ПД, либо без согласия – в случаях, предусмотренных законом.

Соответствие цели и объема данных.

Подразумевается, что содержание и объем публикуемых данных должны соответствовать цели публикации. Например, если журналист готовит материал о пропавшем человеке, не нужно давать о нем избыточную информацию (скажем, об отношениях с родственниками). В расследовании не всегда нужно публиковать сканы документов – часто достаточно упоминания о том, что документ имеется. Публикуемые личные данные должны «работать» на конкретные факты и отвечать общей идее материала.

Роскомнадзор в своей практике не относит к персональным данным ФИО или фото сами по себе, поэтому их можно публиковать без получения разрешения (при соблюдении требований ст. 152.2. Гражданского кодекса РФ). А вот фото вкупе с именем и/или должностью уже считаются персональными данными.

Срок хранения данных.

Требование удалять данные после того, как достигнута «цель обработки» трудно применимо к журналистике. Но иногда применимо: если речь идет, например, о распространении ориентировок о розыске несовершеннолетнего. После того, как ребенок нашелся, онлайн-медиа следует удалить с сайта информацию, содержащую персональные данные.

5. Когда можно публиковать ПД без согласия человека?

Понятно, что получить у героя публикации согласие на публикацию ПД невозможно, если статья носит разоблачительный характер.

В законе есть оговорки, позволяющие публиковать данные без согласия человека:

1. При распространении общественно-значимой информации.
2. При осуществлении профессиональной деятельности журналиста.
3. Если персональные данные общедоступны (картотеки судебных дел, государственные реестры) либо сам субъект ранее сделал их общедоступными. Подпадают ли под это условие сведения из соцсетей – спорный вопрос.
4. Если персональные данные содержатся в документах, подлежащих обязательному опубликованию в соответствии с федеральным законом: например, декларации чиновников о доходах.

Однако в законе указано, что перечисленные случаи не должны нарушать «права и свободы субъекта персональных данных». Из-за отсутствия четкого определения, какие права и свободы можно нарушить, Роскомнадзор очень широко трактует данную оговорку.

6. ​Общественно значимые цели публикации

Закон допускает обработку ПД без согласия субъекта ПД для достижения общественно значимых целей (п. 7 ст. 6 152-ФЗ «О персональных данных»). Постановление Пленума Верховного Суда РФ от 15.06.2010 г. №16 «О практике применения судами закона «О СМИ » относит к общественным интересам не любой интерес, а потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

Роскомнадзор самостоятельно не определяет наличие или отсутствие в публикации общественно значимых целей, поэтому журналисту стоит позаботиться о собственном обосновании общественного интереса и корреляции с этим интересом публикуемых личных данных, взятых, например, из Instagram конкретного чиновника.

7. Как должно выглядеть согласие героя публикации на распространение его персональных данных?

Согласие на обработку ПД может быть получено в письменной либо иной форме, позволяющей подтвердить факт его получения. Такие формы согласия, как электронные письма, переписка в мессенджере, видео, аудиозапись, допустимы, но ненадежны.

Закон «О персональных данных» устанавливает случаи, когда письменное согласие является обязательным:

Создание общедоступных источников информации (справочников, адресных книг и т.д.);

Использование специальных категорий данных (раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь);

Использование биометрических данных (фото- и видеоизображения, отпечатки пальцев, ДНК);

Трансграничная передача ПД в некоторые страны (те, которые не обеспечивают «адекватную» защиту персональных данных, по мнению Роскомнадзора);

Если обработка данных порождает юридические последствия.

Требования к письменной форме согласия установлена законом и должна обязательно содержать (ч. 4 ст. 9 ФЗ «О персональных данных): ФИО, адрес субъекта или его представителя, данные паспорта; наименование или ФИО и адрес оператора, получающего согласие субъекта ПД; цель обработки ПД; перечень ПД, на обработку которых соглашается человек; наименование или ФИО, адрес третьего лица, которому передают ПД; перечень действий с ПД, на совершение которых дается согласие; срок, в течение которого действует согласие, а также способ его отзыва; подпись субъекта ПД.

8.​​​Являются ли фотографии персональными данными?

Среди персональных данных выделяют «чувствительные» категории – специальные данные и биометрические данные. Для них предусмотрен еще более строгий порядок обработки.

Специальные ПД – это указание на расу, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь, судимость. Обработка таких сведений допускается только при наличии письменного согласия человека – кроме случаев, когда «чувствительные» данные общедоступны, и случаев, предусмотренных трудовым, пенсионным или страховым законодательством.

Биометрические ПД – это сведения, характеризующие физиологические и биологические особенности человека, с помощью которых можно установить его личность. Роскомнадзор к таким данным относит отпечатки пальцев, радужную оболочку глаза, анализы ДНК, рост, вес, а также фото и видеоизображение человека.

Фотография сама по себе не является ПД, однако если рядом с ней есть указание на имя и фамилию и/или должность, и вкупе эти сведения позволяют идентифицировать человека, то фото в данном случае будет «биометрическим ПД».

Кроме того, публикуя портретное фото, журналисту нужно помнить о праве на изображение. Об этом мы писали в серии Карточек об авторском праве .

Если хотите узнать, где можно и нельзя фотографировать, тот вам .

9.Существуют ли ограничения при работе с открытыми реестрами данных?

Журналисты много работают с государственными общедоступными реестрами: картотеками судебных решений, ЕГРЮЛ, декларациями чиновников и т.п., часто совмещая в одной публикации сведения из разных источников.

Тут нужно помнить о возможных рисках – пока, к счастью, теоретических. В п. 3 ст. 5 ФЗ «О персональных данных» говорится, что «не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой». Непонятно, насколько такая позиция может быть применима к профессиональной деятельности журналиста, чья прямая обязанность – использовать разные источники при поиске информации на общественно значимую тему.

10.​​​Относятся ли сведения из соцсетей к общедоступной информации?

Юристы расходятся во мнениях, являются ли соцсети общедоступными источниками информации.

Во-первых, трудно сказать, относятся ли соцсети к общедоступным источникам персональных данных по смыслу статьи 8 152-ФЗ «О персональных данных», в которой говорится: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)». Вряд ли соцсети можно отнести по аналогии к справочникам.

Во-вторых, в законе ничего не говорится о том, можно ли свободно обрабатывать данные, которые человек сам опубликовал в соцсетях. По этому поводу нет ни разъяснений Роскомнадзора, ни судебной практики.

ПОЗИЦИИ ЮРИСТОВ:

Светлана Кузеванова: публикация данных человеком о самом себе в социальных сетях или блоге делает их доступными для неограниченного круга лиц. Соответственно, журналисты вправе их распространять без письменного согласия субъекта на основании п. 10 ст. 6 152-ФЗ.

11. ​​​Что можно, а чего нельзя писать о детях?

При публикации информации о детях, их фотографий всегда необходимо письменное согласие родителей (опекуна).

Писать о детях-жертвах преступлений нужно особенно осторожно. Согласно ст. 4 закона «О СМИ», запрещается публиковать в СМИ и Интернете информацию о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), включая ФИО, фото- и видеоизображения такого несовершеннолетнего, его родителей и иных законных представителей, дату рождения, аудиозапись голоса, место жительства или место временного пребывания, место учебы или работы, иную информацию, позволяющую прямо или косвенно установить личность несовершеннолетнего.

Исключения составляют случаи, когда распространение такой информации происходит в целях нужно для защиты прав и интересов несовершеннолетнего. Условия использования ПД в такой ситуации указаны в ст. 41 закона «О СМИ» - их можно распространять только с письменного согласия родителя (опекуна) ребенка. Если несовершеннолетнему исполнилось 14 лет, нужно получить два согласия: подростка и его родителей (опекуна). Если получить согласие невозможно, либо если законный представитель является подозреваемым или обвиняемым в совершении противоправных действий, допустимо использовать данные без согласия.

Те же условия действуют в ситуации, когда речь идет о несовершеннолетнем, совершившим преступление (административное правонарушение или антиобщественное действие) либо подозреваемым в его совершении.

Публикации о детях-жертвах сексуальных преступлений допускаются только в целях расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних. И только в объеме, необходимом для достижения указанных целей (ст. 41 закона «О СМИ»).

Подробно о правилах публикации информации о детях можно прочитать .

12. ​​​Как публиковать объявления о розыске ребенка?

Публиковать такую информацию нужно в том объеме, в каком ее предоставляют правоохранительные органы. Не нужно публиковать избыточную информацию, например, писать о жизни ребенка с родителями или отношениях с одноклассниками. Кроме того, распространять эту информацию можно лишь в период проведения оперативно-розыскных мероприятий. Как только ребенок найден, следует ограничиться информацией, что «пропавший мальчик нашелся», и удалить информацию о розыске с сайта и из соцсетей.

Постарайтесь сохранять скриншоты ориентировок и писем правоохранительных органов – они страхуют СМИ от возможных претензий.

13. ​​​Как публиковать информацию об обвиняемом в преступлении?

СМИ могут публиковать данные о подозреваемом или обвиняемом в преступлении (имя, фамилия, возраст, место преступления) в том объеме, в котором ее предоставляют официальные источники – следственные органы, прокуратура или МВД. Не забывайте про скриншоты пресс-релизов, поскольку правоохранительные органы часто меняют или удаляют ранее распространенную информацию.

Редакция СМИ не несет ответственности за распространение ПД из официальных сообщений госорганов, информационных агентств, официальных ответах на журналистский запрос, материалах пресс-служб, правоохранительных органов и других организаций, интервью и публичных выступлений должностных лиц, а также если сведения являются дословным воспроизведением информации из другого СМИ.

Однако всегда следует проводить «тест на избыточность» распространяемых персональных данных и соответствие их целям публикации.

Возможно вам будет интересно ознакомиться с правовыми для работы журналиста в суде.

14. ​​​Так как сделать журналистский материал и не нарушить закон о персональных данных?

Итого, журналисту необходимо заручиться согласием субъекта данных либо соблюсти одно из четырех условий свободного использования ПД:

Распространение общественно-значимой информации,

Осуществление законной профессиональной деятельности журналиста,

Использование общедоступных данных,

Использование данных, обязательных к раскрытию.

Причем эти условия не должны нарушать «права и свободы субъекта персональных данных». Каждую публикацию нужно проверять на «избыточность», то есть следить, чтобы содержание и объем персональных данных соответствовали цели материала.

Вы ознакомились с теорией, предлагаем проверить знания на практике, пройдя наш по персональным данным.