1. Когда и почему
невозможно не
нарушить 152-ФЗ…
Емельянников
Михаил Юрьевич,
Управляющий партнер

2. 2

3. Что выросло, то выросло…
3

4. Кто должен организовывать
выполнение закона?
КАЖДЫЙ оператор должен:
• Назначить ответственное
лицо за обработку
персональных данных
• Издать политику
• Принять правовые,
организационные и
технические меры
• Разработать локальные
акты
• Оценить вред субъекту и
соотнести с защитой ОНА?!
• Обучить работников
4

5. Кто должен организовывать
выполнение закона?
КАЖДЫЙ оператор должен:
• Назначить ответственное
лицо за обработку
персональных данных
• Издать политику
• Принять правовые,
организационные и
технические меры
• Разработать локальные
акты
• Оценить вред субъекту и
соотнести с защитой
• Обучить работников ОНА?!
5

6. Кто должен организовывать
выполнение закона?
КАЖДЫЙ оператор должен:
• Назначить ответственное
лицо за обработку
персональных данных
• Издать политику
• Принять правовые,
организационные и
технические меры
• Разработать локальные
акты
• Оценить вред субъекту и
соотнести с защитой
• Обучить работников ОНА?!
6

7. Среднестатистический
законопослушный оператор
Туроператоры
Кредитные учреждения
524
1500 Средние и высшие
учебные заведения
2212
Операторы связи
2880
1
Учреждения ЖКХ (ТСЖ)
6291
12724 Учреждения
здравоохранения и
23665 социального развития
Общеобразовательные
школы
29010
Дошкольные учреждения
0 5000 10000 15000 20000 25000 30000
7

8. А вот не надо нагнетать!
Не надо?
8

9. А вот не надо нагнетать!
Не надо?
9

10. В соответствии с перечнем документов, установленным приказом о
проведении внеплановой документарной проверки ГБУК ККДБ им.
братьев Игнатовых, не было представлено письменное согласие гр.
П. (законного представителя В., 2004 года рождения) на обработку
биометрических персональных данных В., обработка которых
осуществляется ГБУК ККДБ им. братьев Игнатовых путем ее
фотографирования и последующего создания фото базы
читателей для прохода в зал выдачи книг ГБУК ККДБ им. братьев
Игнатовых, что свидетельствует об его отсутствии и является
нарушением требований ч. 1 ст. 11 Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных». 10

11. Уведомление об обработке
11

12. Врача! Помогите!
12

13. Врача! Помогите!
Обработка специальных категорий
персональных данных допускается
в случаях, если … обработка
персональных данных необходима
для защиты жизни, здоровья …
субъекта персональных … и
получение согласия субъекта
персональных данных невозможно
Если персданные получены не от
субъекта персональных данных,
оператор до начала обработки
таких данных обязан предоставить
субъекту следующую информацию:
1) наименование и адрес
оператора;
2) цель обработки персданных и ее
правовое основание;
3) предполагаемые пользователи
персональных данных;
4) установленные настоящим ФЗ
права субъекта;
13
5) источник получения
персданных.

14. Врача! Помогите!
Вправе ли физическое лицо представлять
персональные данные своих близких
родственников?
Предоставление физическим лицом оператору персональных
данных близких родственников возможно только при наличии
письменного согласия указанных лиц либо в случаях,
установленных федеральными законами.
14

15. 2. Обработка персональных данных работников банка
Персональные данные
работника
Статья 86.
4) работодатель не имеет
права получать и
обрабатывать персональные
данные работника о …
частной жизни. В случаях,
непосредственно связанных с
вопросами трудовых
отношений, … работодатель
вправе получать и
обрабатывать данные о
частной жизни работника
только с его письменного
согласия.
15

16. А кто у нас муж?
Предупреждать надо!
16

17. Персональные данные
родственников работника
Унифицированная форма № Т-2
Утверждена
Постановлением
Госкомстата России
от 05.01.2004 № 1
ЛИЧНАЯ КАРТОЧКА РАБОТНИКА
10. Состав семьи:
Степень родства Фамилия, имя, отчество Год
(ближайшие рождения
родственники)
1 2 3
17

18. Персональные данные
родственников работника
Приложение 1
к Инструкции Банка России
от 02.04.2010г. года N 135-И
"О порядке принятия Банком России
решения о государственной регистрации
кредитных организаций и выдаче лицензий
на осуществление банковских операций"
Образец
Анкета кандидата на должность руководителя, главного
бухгалтера, заместителя главного бухгалтера кредитной
организации, руководителя, заместителя руководителя,
главного бухгалтера, заместителя главного бухгалтера
филиала кредитной организации
•Сведения о близких родственниках кандидата (с указанием
фамилий, имен, отчеств (если последние имеются), дат и мест
рождения) (1) ________________
Я, ________________________________________________________________________
(фамилия, имя, отчество кандидата)
заверяю, что мои ответы на вопросы анкеты являются достоверными и полными. С
проверкой Банком России (адрес Банка России: г. Москва, ул.Неглинная, 12,
107016) достоверности анкеты и прилагаемых к ней документов, а также содержащихся
в анкете и документах персональных данных согласен (согласна). 18

19. Методические рекомендации для организации
защиты информации при обработке персональных
данных в учреждениях здравоохранения,
социальной сферы, труда и занятости
(утверждены Директором Департамента
информатизации Минздравсоцразвития 23.12.2009)
Персональные данные сотрудников Учреждения
включают:
• Телефонный номер;
• Семейное положение и состав семьи
(муж/жена, дети);
• Информация о знании иностранных языков;
• Форма допуска;
• Оклад;
• Данные о трудовом договоре;
• Сведения о воинском учете ИНН;
• Данные об аттестации работников.
19

20. А вот не надо нагнетать!
Не надо?
6. «НОЧУ Институт экономики, права и гуманитарных специальностей»,
осуществляя обработку персональных данных близких родственников
сотрудников, в личной карточке работников (ФИО, год рождения, семейное
положение), не предоставило документы, подтверждающие информирование
субъекта персональных данных (близких родственников работника) о
наименовании оператора, цели обработки персональных данных и ее
правовом основании, предполагаемых пользователях персональных данных,
правах субъекта персональных данных, что является нарушением ч. 3 ст. 18
Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
20

21. Вы с внучкой к врачу?
А доверенность у Вас есть?
Бабушка: Я с внучкой пришла в детскую консультацию на прием. Врач мне сказала, что
вышел какой-то новый закон, и вы не имеете права приводить ребенка в больницу, если у
вас на руках нет от родителей разрешения, заверенного нотариусом, что вам доверяют
своего ребенка.
Главврач: Представлять интересы несовершеннолетнего пациента от 0 до 14 лет в
лечебно-профилактическом учреждении могут только законные представители ребенка,
которым допустима передача информации о состоянии здоровья ребенка. Законными
представителями являются родители, усыновители, опекуны или попечители. Бабушка не
является законным представителем, и не имеет права представительства пациента и на
получение информации без документального согласия законного представителя. 21

22. Бронирование авиабилетов как
злостное нарушение закона
22

23. Бронирование авиабилетов как
злостное нарушение закона
Допущенные нарушения:
• Отсутствие подтверждаемого согласия субъекта
персональных данных и/или доказательств
наличия договора с субъектом.
• Отсутствие согласия лиц, чьи персональные
данные представлены не субъектом, а иными
лицами.
• Неуведомление лиц, чьи персональные данные
получены не от них, о начале обработки
персональных данных.
• Трансграничная передача персональных
данных, возможно – в страну с неадекватной
защитой, без письменного согласия субъекта.
23

24. ФЗ-152 и интернет-коммерция
При заполнении вэб-формы заявки на покупку товара на сайте
… сети «Интернет» критерием, свидетельствующим
о получении оператором согласия субъекта персональных
данных на обработку его персональных данных, является
файл электронной цифровой подписи.
Кроме того, оператор вправе ввести в вэб-форму заявки
обязательные для заполнения дополнительные поля,
устанавливающие условие согласия субъекта персональных
данных на обработку его персональных данных, при условии
последующего проведения мероприятий по проверке
достоверности представленных персональных данных.
В остальных случаях согласие на обработку персональных
данных, равно как и его отзыв, может оформляться только
в письменной форме.
24

25. ФЗ-152 и интернет-коммерция
25

26. ФЗ-152 и интернет-коммерция
26

27. Продажа через Интернет как
злостное нарушение закона
Допущенные нарушения:
• Отсутствие подтверждаемого согласия субъекта
персональных данных и/или доказательств
наличия договора с субъектом.
• Отсутствие согласия лиц, чьи персональные
данные представлены не субъектом, а иными
лицами.
• Обработка специальных категорий персональных
данных при отсутствии оснований.
• Неуведомление лиц, чьи персональные данные
получены не от них, о начале обработки
персональных данных.
• Трансграничная передача персональных данных в
страну с неадекватной защитой, без письменного
согласия субъекта. 27

28. Денежные переводы без
открытия счета
28

29. Денежные переводы без
открытия счета
Описание действий
отправителя:
Отправка денежного
перевода сыну,
поиздержавшемуся на
черноморском курорте на
Украине.
В наличии: ФИО и номер
сотового телефона сына
29

30. Денежный перевод как
злостное нарушение закона
Допущенные нарушения:
• Предоставление персональных данных
неопределенному кругу лиц.
• Отсутствие согласия получателя перевода.
• Неуведомление отправителя и получателя
перевода о начале обработки персональных
данных.
• Трансграничная передача персональных данных
в страны с неадекватной защитой без
письменного согласия получателя.
30

31. Кто они, эти загадочные
люди?
Обработка персональных
данных осуществляется в
медико-профилактических целях,
в целях установления
медицинского диагноза, оказания
медицинских и медико-
социальных услуг при условии,
что обработка персональных
данных осуществляется лицом,
профессионально
занимающимся медицинской
деятельностью и обязанным в
соответствии с
законодательством
Российской Федерации
сохранять врачебную тайну.
31

32. Ответ непрост
При проведении проверки МУ «Междуреченская
центральная районная больница» выявлены нарушения
требований законодательства РФ о персональных
данных
При проведении плановой выездной проверки в отношении МУ
«Междуреченская ЦРБ» сотрудниками Управления Роскомнадзора
по Вологодской области были выявлены нарушения:
- пп.1,4 ст.6, части 1 ст.10 ФЗ «О персональных данных»;
- п.6, 13, 15 Положения «Об особенностях обработки персональных
данных, осуществляемых без использования средств
автоматизации» (Постановление Правительства РФ №687 от
15.09.2008);
- ст.87 Трудового кодекса Российской Федерации.
По фактам выявленных нарушений МУ «Междуреченская ЦРБ»
выдано 7 предписаний об устранении выявленных нарушений.
Материалы проверки направлены в органы прокуратуры для
привлечения виновных лиц к ответственности и принятия мер
прокурорского реагирования.
32

33. Проблемы телемедицины
Трансграничная передача
персональных данных
пациента в страны с
неадекватной защитой
требует получения
письменного согласия
пациента.
33

34. Электронная почта
– это тоже ИСПДн
34

35. Электронная почта
– это тоже ИСПДн
Все системы электронной почты – К1 (пока, УЗ-1 в
перспективе), потому что:
• неизвестно количество субъектов, чьи персональные
данные обрабатываются;
• неизвестна категория обрабатываемых
персональных данных («приболел, гриппую,
насморк, заеду на следующей неделе»).
ИСПДн всегда защищается неправильно:
• осуществляется передача персональных данных по
незащищенным каналам связи без использования
СКЗИ;
• необходимо применение СЗИ, сертифицированных
на отсутствие НДВ (К1!);
• обязательно применение сертифицированных МЭ и
IDS/IPS.
35

36. Фотография и биометрические
данные
Письмо Роскомнадзора от 05.04.2010 №
ПК- 05728 (ответ на запрос ЗАО
«Коммерцбанк»)
Фотография, на которой запечатлен человек, может
являться носителем биометрических персональных
данных при соответствии требованиям, установленным
ГОСТ Р ИСО/МЭК 19794-5-2006.
Указанный стандарт устанавливает требования к формату
записи изображения лица, предназначенному для
хранения изображения лица в записи биометрических
данных (раздел 5.1. «Общие положения»). Такая запись
является биометрическими данными, совместимыми с
Единой структурой форматов обмена биометрическими
данными (ЕСФОБД – предназначена для обмена
биометрическими данными и обеспечивает стандартную
запись любого биометрического образца).
36

37. Фотография и биометрические
данные
Постановление Правительства РФ от 04.03.2010 г. № 125
«О перечне персональных данных, записываемых на
электронные носители информации, содержащиеся в
основных документах, удостоверяющих личность
гражданина Российской Федерации, по которым граждане
Российской Федерации осуществляют выезд из Российской
Федерации и въезд в Российскую Федерацию»
• Номер документа.
• Фамилия и имя владельца документа.
• Гражданство владельца документа.
• Дата рождения владельца документа.
• Пол владельца документа.
• Цветное цифровое фотографическое изображение лица
владельца документа (биометрические персональные
данные владельца документа).
37

38. Биометрические персональные данные
Описанный Вами пример - это не автоматическая идентификация.
Для того, чтобы она таковой стала, на рабочем месте сотрудника банка
нужно поставить систему распознавания лиц, в которую, нужно
загрузить данные биометрии (фотографию), соответствующую ГОСТу.
Тогда система автоматически будет считывать лица клиентов банка,
распознавать и идентифицировать их.
Сотрудником банка веб-камерой делается снимок, изображение
сверяется с владельцем документа (удостоверяющего личность –
паспорта, водительского удостоверения и т.п.), с целью
аутентификации (подтверждения), т.е. всё, что касается собственно
личности.
Идентификации в Вашем случае не происходит.
В данном случае снимок веб-камерой биометрическими данными не
является (снимок не соответствует ГОСТу). 38

39. 3. В соответствии с перечнем документов,
установленным п.10 приказа о проведении
внеплановой документарной проверки от 01.08.2011
№ 875, ОАО «ОТП Банк» не было представлено
письменное согласие гр. А. на обработку его
биометрических персональных данных,
обработка которых осуществляется ОАО «ОТП
Банк» путем предоставления копии паспорта гр. А.
при заполнении заявления на получение
потребительского кредита, что свидетельствует об
его отсутствии и является нарушением требований
ч. 1 ст. 11 ФЗ от 27.07.2006 № 152-ФЗ «О
персональных данных». 39

40. Биометрические персональные данные
Прокуратура г.Йошкар-Олы совместно с Управлением Роскомнадзора
по Республики Марий Эл провела проверку по заявлению одного из
йошкаролинцев в «МПБ Идельбанк» (ЗАО) в г.Йошкар-Ола.
Установлено, что сотрудники банковского учреждения при закрытии
банковского счета заявителя нарушили требования Федерального
закона «О персональных данных». В частности, при снятии
ксерокопии паспорта гражданина они, не получив его согласия,
изготовили с паспорта копию его фотографического изображения.
Обработка этих персональных данных без согласия гражданина
запрещена законом.
В связи с этим прокуратура вынесла постановление о возбуждении
дела об административном правонарушении по ст. 13.11 КоАП РФ
(нарушение установленного законом порядка сбора, хранения,
использования персональных данных о гражданах) в отношении
юридического лица - «МПБ «Идельбанк» (ЗАО).
40

41. Персональные данные,
сделанные общедоступными
41

42. Согласие субъекта в
письменной форме
Согласие в письменной форме должно включать в себя, в
частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных,
номер основного документа, удостоверяющего его личность, сведения
о дате выдачи указанного документа и выдавшем его органе;
3) наименование и адрес оператора, получающего согласие
субъекта;
4) цель обработки персональных данных;
5) перечень персданных, на обработку которых дается согласие;
6) наименование и адрес лица, осуществляющего обработку
персональных данных по поручению оператора, если обработка будет
поручена такому лицу;
7) перечень действий с персональными данными, на совершение
которых дается согласие, общее описание используемых оператором
способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта
персональных данных, а также способ его отзыва, если иное не
установлено федеральным законом;
9) подпись субъекта персональных данных.
42

43. И, наконец, проблемы
технические
Обеспечение
безопасности
персональных данных
достигается, в частности,
обеспечением
регистрации и учета
всех действий,
совершаемых с
персональными данными
в информационной
системе персональных
данных
43

44. Основания для изменений
• Практика реализации ФЗ-152
позволяет сделать вывод о
недостижении цели его
принятия и создает
предпосылки для уточнения
его отдельных положений
• Попытки реализации
требований, определенных
НПА к ИСПДн, выявили
целый ряд трудностей
44

45. Основания для изменений
45

46. Что надо исключить?
Все!
В первую очередь отказаться от:
• Технического и технологического регулирования.
• Обязательности выполнения формальных требований,
не учитывающих особенности деятельности оператора.
• Привлечения к ответственности за невыполнение
требований в случае отсутствия инцидента.
• Института уведомления. Оператор – любое юрлицо.
• Обязательного лицензирования деятельности,
вмененной законом в обязанность.
• Правового обоснования возможности обработки в
случаях, когда без персональных данных деятельность
невозможна (данные работников, обучаемых,
пациентов, пассажиров и т.п.).
• Недопустимых барьеров на пути электронной
коммерции. 46

47. Что надо оставить?
• Обязанность использовать персональные данные не во
вред субъекту.
• Обязанность компенсировать субъекту ущерб в случае
инцидента с персональными данными (но не в случае
формального несоблюдения формальных правил).
• Обязанность соотносить состав и объем
обрабатываемых персональных данных с целями их
обработки.
• Право субъекта на доступ к своим персональным
данным.
• Возможность государства регулировать обработку
персональных данных в государственных и
муниципальных системах.
47

48. Что надо изменить?
1. Обеспечить баланс интересов субъекта, оператора и
государства.
2. Исходить из соотнесения вреда и стоимости защитных
мер.
3. Перейти к инцидентно-ориентированному подходу (нет
инцидента – нет предмета разбирательства).
4. Дать право субъекту оспаривать допустимость
действий с персональными данными.
5. Перенести решение вопроса возможности обработки в
негосударственный орган или суд.
6. Дать право оператору самому определять состав и
содержание мер по защите персональных данных.
7. Перейти от формальных требований к стандартизации.
8. Следовать принципу свободы договора, закрепленному
в Гражданском кодексе.
9. Закрепить возможность оценки конклюдентных 48
действий.

49. http://emeliyannikov.blogspot.com/
49

50. Спасибо!
Вопросы?
Емельянников
Михаил Юрьевич
Управляющий партнер
+7 (916) 659 3474
mezp11@gmail.com