Что относится к персональным данным в интернете
Сейчас уже никто не спорит, что настал век Интернета. Каждый день тысячи людей регистрируются на сайтах и форумах, тысячи компаний создают свой бизнес в Интернете. К сожалению, законодательство не успевает за подобными темпами развития. В нашей стране практически нет нормативной базы регулирующей взаимоотношения субъектов в сети Интернет.
Именно поэтому возникает столько вопросов. Одним из них, безусловно, является вопрос защиты персональных данных в сети Интернет. Каким образом компания должна обрабатывать такие данные, как вес это оформить и не нарушить закон? На все эти вопросы мы ответим в настоящей статье.
Итак, под персональными данными согласно ФЗ № 152-ФЗ «О персональных данных» мы понимаем любую информацию, относящуюся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Многие компании предоставляют свои данные в Интернете через API, веб-сервисы и стандарты открытых данных.[13] Данные, предоставляемые таким образом, структурированы, чтобы их можно было связывать и повторно использовать третьими сторонами.[14] Доступ к данным, доступным в личном социальном графе пользователя, может осуществляться сторонним прикладным программным обеспечением, подходящим для персонализированной веб-страницы или информационного устройства.
Веб-страницы могут быть персонализированы на основе характеристик пользователей (интересов, социальной категории, контекста и др.), действий, намерений совершить покупку, проверить статус объекта или т.д.
Что относится к персональным данным в интернете
Хотя концепция персональных данных довольно стара, развитие сетей связи и автоматизированного анализа данных позволило красть, централизованно собирать и массово продавать данные о человеке. Эти данные помогают выследить человека, спланировать преступление против него или постороннему выдать себя за другого. Более мирное применение персональным данным — реклама.
Хотя современные технологии анализа данных позволяют отличить одного человека от другого по очень косвенным признакам, персональные данные — это юридическое, а не техническое понятие.
Нормативная база[править|править код]
Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты.
Реализация и внедрение системы защиты персональных данных; 8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 9) Аттестация (сертификация) по требованиям безопасности информации; 10) Повышение квалификации сотрудников в области защиты персональных данных; 11) Сопровождение (аутсорсинг) системы защиты персональных данных.Когда аттестация и сертификация обязательна?Аттестация информационных систем по требованиям безопасности информации обязательна: — для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ; — в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Что относится к личным данным в интернете
ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.
ДОПОЛНЕНИЕ :Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ).
Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г.
ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путём организации криптографической защиты данных, перестали носить обязательный характер.
Приказ трех ведомств[править|править код]
13 февраля 2008 г. был подписан так называемый «приказ трех»:
Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет собой методическую рекомендацию по классификации информационных систем.
Проводить классификацию информационных систем персональных данных должны все операторы персональных данных, осуществляющие обработку с использованием средств автоматизации.
Отменен совместным приказом ФСТЭК России, ФСБ России и Минкомсвязи России от 31 декабря 2013 г.
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).Примечание: 1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3).
Пользователь, как правило, лишь проставляет галочку в необходимом окне принимая тем самым условия соглашения. В этом случае нужно обратится к еще одному закону, а именно ФЗ «Об электронной подписи» № 63-ФЗ от 6.04.2011. ст. 5 среди видов электронной подписи называет простую электронную подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Следовательно, регистрация на сайте с помощью паролей (кодов) и принятие условий соглашения можно считать надлежащим образом подписанным документом.
В соглашении обязательно следует указать, что оно подписывается именно таким образом.
Что такое персональные данные?Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе: — его фамилия, имя, отчество, — год, месяц, дата и место рождения, — адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, — другая информация (см.ФЗ-152, ст.3).Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см.
ФЗ «О персональных данных» данные могут обрабатываться без согласия лица, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Так как в большинстве случаев компании заключают с пользователем Пользовательское соглашение, то можно признать, что они имеют право обрабатывать данные без специального согласия, только на основании этого соглашения. Встает вопрос а можно ли считать пользовательское соглашение подписанным в надлежащем вид в т.ч. и для целей обработки персональных данных?
Ведь никакой бумажной формы такого документа не существует.