Статья за нарушение закона о персональных данных

  • автор:

Ответственность за нарушение требований по защите персональных данных

В настоящее время актуальным является вопрос ответственности оператора персональных данных (ПДн) за невыполнение требований законодательства по защите персональных данных. Многие источники приводят большой перечень наказаний. Но какова реальность? Что в действительности ждет оператора персональных данных при полном игнорировании законодательства о персональных данных?Валерий Омаров
Руководитель группы анализа и
защиты информации СОАО «ВСК»

К федеральным законам, раскрывающим ответственность за нарушения в сфере защиты персональных данных, можно отнести:

Виды ответственности

Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Рассмотрим ответственность по перечисленным законам с акцентом на ответственности за нарушения требований по защите персональных данных.

Гражданский кодекс РФ

Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение «тайны страхования». Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.

Уголовный кодекс РФ

Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272.

По ст. 137 наступает ответственность за нарушение неприкосновенности частной жизни, выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. По статье предусмотрен штраф в размере до 200 тысяч рублей или лишение свободы на срок до 2 лет. Те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают штраф в размере от 100 тысяч до лишения свободы на срок до 4 лет. Как следует из диспозиции статьи, правоприменимость статьи не зависит от наличия средств защиты персональных данных.

Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

По ст. 140 ответственность наступает при неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. По статье предусмотрено наказание: штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

По ст. 272 Уголовного кодекса РФ наступает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. По статье предусмотрен штраф в размере от 200 тысяч рублей или лишение свободы на срок до 2 лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, предусматривает штраф в размере от 100 тысяч или лишение свободы на срок до 5 лет.

Как следует из диспозиции статьи, правоприменимость статьи зависит от наличия средств защиты персональных данных как признака охраняемой информации. Но статья относится к лицу, совершившему неправомерный доступ, а не к оператору персональных данных. Кроме того, данная норма содержит условие, которое позволяет отнести данное правонарушение к разряду уголовно наказуемых деяний, «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети».

Кодекс об административных правонарушениях

Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).

Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 «О персональных данных». Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.

Ст. 13.12 «Нарушение правил защиты информации» содержит три обязательных признака, только при их наличии наступает ответственность по ст. 13.12:

  1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения. Санкции по статье – это наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
  2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Санкции в этом случае – наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1 до 2 тысяч рублей; на юридических лиц – от 10 до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. То есть, если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
  3. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).

Это условие рассмотрим более подробно во второй части статьи, которая будет опубликована в журнале «Информационная безопасность» № 4.

Решения для защиты персональных данных в российских компаниях и учреждениях формируются на базе мер организационно-технического характера. Они должны соответствовать нормам правовых актов: Конституции Российской Федерации (статья 24), Федерального закона №152-ФЗ «О персональных данных» и специальным требованиям регуляторов. Функции регуляторов выполняют:

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор;
  • Федеральная служба по техническому и экспортному контролю – ФСТЭК;
  • Федеральная служба безопасности – ФСБ.

Роскомнадзор следит за исполнением законодательства, касающегося персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям защищенности информационных систем обработки персональных данных.

Что входит в понятие «персональные данные»?

Определение персональных данных (ПДн) содержится в законе 152-ФЗ.

Ключевой особенностью трактовки является словосочетание «любая информация», то есть закон позволяет буквально все организации записать в «операторы персональных данных». Логика понятна. Устраиваясь, например, на работу человек передает работодателю всю информацию о себе, а заключая, скажем, договор с физическим лицом – получает и обрабатывает ПДн. Госструктуры, банки, интернет-магазины, социальные сети – это всего лишь несколько примеров из обширного списка операторов ПДн.

Санкции за нарушение норм закона в области обработки и защиты персональных данных варьируются от штрафов (с 1 июля 2017 года размеры штрафов выросли) до административной ответственности, не исключено и уголовное преследование.

Нарушение процедуры обращения с персональными данными угрожает также потерей деловой репутации. Выявление подобных фактов в компания нередко становится поводом для оттока клиентов. Значит, исполнять требования 152-ФЗ и соблюдать предписания регулирующих и контролирующих сферу ПДн структур – жизненная необходимость для каждой компании, которая прямо или опосредованно оперирует персональными данными.

Универсального подхода к исполнению требований всеми организациями, которые подпадают под контроль регуляторов, нет. Согласно законодательству, персональные данные разбиты на четыре категории. Компании формируют систему защиты ПДн в зависимости от категории, соответственно, различаются и требования к оператору.

Наиболее сложный и затратный процесс – внедрение полноценного комплекса обеспечения защищенности информационной системы персональных данных (ИСПДн), в которой обрабатываются сведения о расе и нации субъекта, вере, здоровье, интимной жизни, политических и философских взглядах. Все перечисленные данные входят в группу специальных ПДн. Защищу сведений из этой категории закон требует обеспечивать особенно тщательно.

Высоки требования закона к обеспечению защищенности и биометрических ПДн: биологических и физиологических характеристик, которые позволяют идентифицировать субъекта данных.

Компания, которая получила письменное согласие клиента на обработку ФИО, даты и места рождения, домашнего адреса, данных о профессии, контактных сведений, становится оператором общедоступных ПДн. Подобные сведения используют, например, для составления телефонных справочников. К защите общедоступных персональных данных законодательство предъявляет минимальные в сравнении с другими категориями требования.

К четвертой категории – иных ПДн – причисляют все сведения, которые нельзя отнести к специальным, биометрическими или специальным, но по которым возможно идентифицировать субъекта данных. Защищать иные ПДн проще, чем биометрические или специальные. Однако требования к безопасности выше, чем в случае систем обработки данных из общедоступной категории.

Согласно постановлению правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», операторы при создании механизмов защиты должны учитывать численность субъектов ПДн. Законодательство делит ИСПДн на такие, в которых обрабатывают данные менее 100 тыс. и более 100 тыс. субъектов.

Обеспечение сохранности персональных данных, обрабатываемых в системе, начинается с определения наиболее вероятных угроз. Независимо от категории, целей обработки и численности субъектов ПДн, система должна гарантировать защиту от неправомерных операций, включая:

копирование и распространение уничтожение и блокировку несанкционированное изменение

В инфраструктуре комплексной защиты ИСПДн необходимо учитывать возможность присутствия внутреннего нарушителя. Ущерб персональным данным способен причинить любой сотрудник, намеренно или по неосторожности.

Модули «СёрчИнформ КИБ» перехватывают информацию, переданную на внешние устройства, по почте и через облачные сервисы, а также следят за операциями с файлами – копированием, удалением, изменением имени и содержания.

Меры, которые помогают предотвратить несанкционированный доступ, усилить надежность и отказоустойчивость ИСПДн, сохранить целостность и доступность информации внутри системы, перечислены в 152-ФЗ. Закон предписывает:

1. Определить масштаб информационной системы и категорию ПДн, смоделировать угрозы безопасности.

2. Внедрить организационно-технические механизмы безопасности в соответствии с четырьмя уровнями защищенности. Определение уровней содержится в постановлении правительства №1119.

3. Использовать средства информационной защиты, возможности которых подтверждены сертификатами соответствия ФСТЭК и/или ФСБ.

4. Провести до начала обработки ПДн комплексный аудит безопасности, включая аудит информационной системы, компонентов защиты, исполнения требований внутренних организационных и методических распоряжений.

5. Внедрить систему учета всех видов носителей информации ограниченного использования, в том числе ПДн.

6. Заложить в информационной системе функции резервирования и восстановления ПДн в случае несанкционированных изменений или уничтожения.

7. Установить регламент доступа сотрудников оператора к персональным данным в ИС. Уровни доступа должны сегментироваться в зависимости от должностных обязанностей.

8. Внедрить инструменты аудита и журналирования действий сотрудников с персональными данными.

9. Контролировать исполнение правил безопасности эксплуатации персональных данных и непрерывность работы защитных аппаратно-программных сервисов ИСПДн.

Федеральный закон обозначает общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21. Например:

1. В системе обработки ПДн должна применяться идентификация и аутентификация пользователей, компонентов системы и персональной информации – объектов доступа, защиту которых нужно обеспечивать. Реализация требования предполагает сопоставление уникальных идентификаторов, которые присваиваются объектам и субъектам в ИСПДн. Это значит, необходимо задействовать механизмы авторизации и разграничения прав.

2. Программная среда должна быть ограниченной, что подразумевает наличие фиксированного перечня системного и прикладного ПО. У пользователя должны быть заблокированы полномочия изменять набор системных компонентов и разрешенного ПО. Пользователь вправе запускать и использовать ПО в рамках своей роли. Это обеспечит защиту от случайных действий сотрудников, способных нанести ущерб ИСПДн.

3. Хранение и обработка ПДн на съемных носителях возможна только при отлаженном учете устройстве.

4. Оператор должен обеспечить непрерывный мониторинг безопасности: вести журнал аудита событий, чтобы отследить, что произошло и какие меры были предприняты. Одновременно следует надежно защитить сам журнал аудита от модификации и удаления.

5. Система защиты ПДн должна включать антивирусные программные комплексы. Вредоносное ПО нередко становится причиной утечек конфиденциальной информации и частичного (реже – полного) выхода из строя информационной инфраструктуры.

6. Наряду с антивирусом рекомендуется применять системы обнаружения и предотвращения вторжений. Это позволяет анализировать и выявлять факты неавторизованного доступа на уровне сети или компьютерной системы, попытки превышения полномочий или внедрения вредоносного ПО и предпринимать меры по устранению угроз: информирование офицера безопасности, сброс соединения, блокирование трафика и т.д.

7. Несанкционированное изменение, повреждение информационной системы и ПДн фиксируют также системы обеспечения целостности, которые при использовании в ИСПДн должны иметь функции восстановления поврежденных компонентов и информации.

8. Уровень защищенности ИСПДн подлежит регулярному контролю. Развернутые программные компоненты, аппаратный инструментарий и установленные настройки должны обеспечивать непрерывную и полную защиту процедур обработки и хранения информации, исходя из экспертного класса информационной системы.

Перечень мер, устанавливаемых ФСТЭК для реализации системы безопасности ИСПДн, не исчерпывается несколькими пунктами. В приказе № 21 приводятся требования к инструментам виртуализации, каналам связи, конфигурации ИСПДн, классы средств вычислительной техники, антивирусных систем и другие параметры защиты. Кроме приказа ФСТЭК, при внедрении комплекса защиты ПДн организация – обработчик данных должна руководствоваться приказом ФСБ России от 10.07.2014 № 378.

«СёрчИнформ КИБ» сертифицирована ФСТЭК России. Система соответствует четвертому уровня контроля недекларированных возможностей, которые могут навредить обрабатываемой информации. Это значит, что данные в системе защищены не только от утечек, но и от нарушения целостности, доступности и конфиденциальности.

Разработать и внедрить полный комплекс мероприятий по защите ПДн невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно. Единственная ошибка на любом уровне рискует обернуться штрафами от регуляторов и потерей лояльности клиентов.

Сотруднику без ИБ-компетенций под силу разобраться в законодательстве и определить категорию ПДн. Пошаговые инструкции, доступные в Сети, помогут разработать регламент информирования субъектов ПДн о сборе информации и составить уведомление в Роскомнадзор о деятельности компании в качестве оператора ПДн – это стандартные документы. Определить роли, разграничить доступ и зафиксировать, какие сотрудники имеют доступ и какие операции вправе совершать с ПДн – несложная задача для специализированного ПО.

Без привлечения специалиста с профильными знаниями не обойтись на этапе при составлении политики безопасности и определении актуальных угроз. Цикл внедрения программно-технических комплексов от подбора до «боевого» использования ПО и оборудования требует понимания документации ФСТЭК и ФСБ. Специалист должен не только ориентироваться в классах СВТ, антивирусах и межсетевых экранах, но и знать, как гарантировать конфиденциальность и обеспечить безотказность связи для сегментов ИСПДн.

Проблема заключается в том, что даже обладающий нужной квалификацией ИТ- или ИБ-специалист не сможет внедрить и поддерживать в ИСПДн подсистему информационной безопасности без соблюдения ряда условий. Работа со средствами технической защиты – деятельность, лицензируемая ФСТЭК. Значит, перед оператором ПДн встанет задача получить лицензию регулятора.

Крупным организациям целесообразно нанять штат специалистов по информационной безопасности, выполнить условия, чтобы получить лицензию ФСТЭК, а затем самостоятельно создать и поддерживать систему обеспечения защиты персональных данных.

Небольшим организациям – обработчикам ПДн содержать ИБ-штат экономически невыгодно. Менее затратным, более разумным и быстрым будет вариант привлечь лицензиатов ФСТЭК. Это организации, которые профессионально занимаются защитой информации. Специалисты лицензиатов уже обладают всеми знаниями нормативной и технической базы, имеют опыт создания комплексных систем безопасности, в том числе информационной.

Еще одна возможность защитить ПДн для небольших компаний – отдать ИБ-задачи на аутсорсинг внештатным специалистам по безопасности «СёрчИнформ».

Приказ СК России от 11.01.2017 N 10 (ред. от 04.04.2019) «Об обработке персональных данных сотрудников, федеральных государственных гражданских служащих, работников Следственного комитета Российской Федерации, кандидатов на государственную службу (работу) в системе Следственного комитета Российской Федерации» (вместе с «Правилами обработки персональных данных сотрудников, федеральных государственных гражданских служащих, работников Следственного комитета Российской Федерации, кандидатов на государственную службу (работу) в системе Следственного комитета Российской Федерации») (Зарегистрировано в Минюсте России 10.05.2017 N 46646)

1) осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных» (далее — требования к защите персональных данных), в том числе в части обеспечения необходимого уровня защищенности (конфиденциальности) персональных данных при их обработке; организация и проведение периодических проверок условий обработки персональных данных; определение по результатам указанных проверок мер, необходимых для устранения выявленных нарушений;

Приказ Россвязи от 22.11.2016 N 255 «Об обработке персональных данных в Федеральном агентстве связи» (вместе с «Правилами обработки персональных данных в Федеральном агентстве связи», «Правилами рассмотрения запросов субъектов персональных данных или их представителей в Федеральном агентстве связи», «Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом от 27 июля 2006 г. N 152 «О персональных данных», «Правилами работы с обезличенными данными в случае обезличивания персональных данных в Федеральном агентстве связи», «Порядком доступа государственных гражданских служащих федерального агентства связи в помещения, в которых ведется обработка персональных данных») (Зарегистрировано в Минюсте России 08.02.2017 N 45565)

10.4.1.6. описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

10.4.1.7. дату начала обработки персональных данных;

Приказ Минкомсвязи России от 06.10.2016 N 484 «О персональных данных в Министерстве связи и массовых коммуникаций Российской Федерации» (вместе с «Правилами обработки персональных данных в Министерстве связи и массовых коммуникаций Российской Федерации», «Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных») (Зарегистрировано в Минюсте России 16.12.2016 N 44781)

26. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, осуществляется Департаментом организационного развития, и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных согласно статье 19 Федерального закона «О персональных данных».

Приказ ФАС России от 11.08.2016 N 1128/16 Об утверждении Правил Федеральной антимонопольной службы об обработке персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций

8.2. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на гражданского служащего ФАС России, ответственного за организацию обработки персональных данных в ФАС России, в порядке установленном статьями 19, 22.1 и 24 Федерального закона «О персональных данных».

Приказ Роспотребнадзора от 28.11.2016 N 1172 О внесении изменений в Положение об обработке и защите персональных данных в Роспотребнадзоре, утвержденное приказом Роспотребнадзора от 23.12.2013 N 964

Руководствуясь статьями 18.1 и 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716, N 52, ст. 6439; 2010, N 27, ст. 3407, N 31, ст. 4173, N 31, ст. 4196, N 49, ст. 6409; 2011, N 23, ст. 3263, N 31, ст. 4701; 2013, N 14, ст. 1651, N 30, ст. 4038, N 51, ст. 6683; 2014, N 23, ст. 2927, N 30, ст. 4217, N 30, ст. 4243), Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31.05.2013, регистрационный номер 28608), Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21 (зарегистрирован Минюстом России 14.05.2013, регистрационный номер 28375), приказываю:

Определение Конституционного Суда РФ от 07.07.2016 N 1423-О «Об отказе в принятии к рассмотрению жалобы религиозной организации «Церковь евангельских христиан «Назарет» на нарушение конституционных прав и свобод подпунктом 2 пункта 4 статьи 181.2 Гражданского кодекса Российской Федерации»

Помимо этого статьи 19, 21, 23 и 24 Федерального закона «О персональных данных» закрепляют меры, направленные на обеспечение безопасности персональных данных при их обработке (защита от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и пр.), обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, а также устанавливают ответственность за нарушение требований данного Федерального закона и полномочия органа, осуществляющего защиту прав субъектов персональных данных.

Приказ Министра обороны РФ от 16.06.2012 N 1500 (ред. от 02.03.2016) Об утверждении Положения об обработке персональных данных в центральном аппарате Министерства обороны Российской Федерации

42. В поручении Министерства обороны (правовом акте, контракте, договоре, соглашении) должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

Приказ ФАНО России от 30.11.2015 N 42н (ред. от 12.12.2016) «Об обработке персональных данных в Федеральном агентстве научных организаций» (вместе с «Правилами обработки персональных данных в Федеральном агентстве научных организаций») (Зарегистрировано в Минюсте России 29.01.2016 N 40899)

25. Обеспечение безопасности персональных данных в АИС Агентства осуществляется структурным подразделением Агентства, на которое возложены функции по обеспечению в Агентстве информационных технологий и защиты информации (далее — подразделение информационных технологий), и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных, согласно статье 19 Федерального закона «О персональных данных», вследствие принятия следующих мер по обеспечению безопасности:

«Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» (утв. Роскомнадзором 29.01.2016)

10. Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:

а) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

Приказ Минкомсвязи России от 21.12.2011 N 346 (ред. от 28.08.2015) Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных

46.10. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

46.11. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.

×

Правила поведения пользователей на сайте

Правила использования сервисов и информации

пользователями системы электронных сервисов «Онлайнинспекция.рф»

Правила использования сервисов и информации пользователями (далее – Правила) системы электронных сервисов «Онлайнинспекция.рф» (далее – Система) относятся ко всем без исключения электронным сервисам Системы, доступ к которым осуществляется через разделы и страницы Интернет-портала http://онлайнинспекция.рф (далее – Портал). Настоящие Правила регулируют поведение всех без исключения зарегистрированных в Системе пользователей и не зарегистрированных посетителей Портала.

1. Термины и понятия, используемые в настоящих Правилах

1.1 В настоящих Правилах используются следующие термины и понятия:

Система – система электронных сервисов «Онлайнинспекция.рф».

Сервисы – основные и дополнительные инструменты, предлагаемые Пользователю для взаимодействия с органами власти.

Портал – информационный ресурс, созданный с целью взаимодействия граждан с Системой, находящийся в сети Интернет по адресу: http://онлайнинспекция.рф.

Администрация портала – должностные лица Федеральной службы по труду и занятости и представители исполнителя работ по государственному контракту на осуществление технического сопровождения Портала, осуществляющие оперативное управление Порталом.

Пользователь – лицо, зарегистрированное на Портале, которому предлагается использовать услуги и сервисы, предоставляемые Порталом.

Модератор – представитель Администрации портала, обрабатывающий сообщения пользователей.

Модерация – процесс обработки и анализа соответствия сообщения Пользователя положениям настоящих Правил использования сервисов и информации пользователями системы электронных сервисов «Онлайнинспекция.рф» и Пользовательского соглашения.

2. Общие правила

2.1. Для доступа к публикации сообщений на Портале (обсуждения, комментарии, вопросы и использование любых других способов взаимодействия Пользователя с Системой), каждый Пользователь Портала обязан ознакомиться и согласиться с настоящими Правилами.

2.2. После ознакомления с текстами Правил пользования и Пользовательского соглашения, подтвердив согласие с ними на странице регистрации или отправки сообщения, каждый Пользователь указанными действиями заключает с Администрацией Портала соглашение о регулировании их взаимоотношений.

2.3. Администрация Портала обладает правом осуществлять модерацию через представителей Администрации Портала – модераторов.

2.4. Настоящие Правила могут быть изменены путем внесения изменений соответствующим приказом Федеральной службы по труду и занятости.

3. Регистрация пользователей

3.1. На Портале существует система регистрации пользователей. Только зарегистрированные пользователи имеют возможность интерактивного взаимодействия с сервисами Системы.

3.2. Для регистрации на Портале Пользователь указывает действующий адрес электронной почты – на него будут направляться уведомления о текущем статусе опубликованных сообщений (обращений), выбирает условное имя Пользователя («ник»).

3.3. При регистрации Пользователя Система запрашивает пароль к регистрируемому логину. Этот пароль должен быть известен только Пользователю и не должен сообщаться третьим лицам. Используемый пароль может быть изменён Пользователем в специальном разделе Портала – Профиле Пользователя.

3.4. При регистрации Пользователя Система инициирует процесс авторизации посредством отправки смс-сообщения с кодом активации на телефон Пользователя, указанный при регистрации. Полученный пароль необходимо ввести в специальное поле в открывшемся окне. Только после ввода пароля учётная запись активируется.

3.5. Для пользователей, имеющих учётную запись на Портале государственных услуг (http://www.gosuslugi.ru/), предоставлена возможность авторизации посредством логина и пароля от данной учётной записи. В случае осуществления регистрации данным способом верификация посредством смс-сообщения исключена.

4. Публикация обращений

4.1. Каждый зарегистрированный Пользователь может публиковать обращение.

4.2. Обращения публикуются в соответствии с предложенным классификатором категорий проблем.

4.3. Для создания обращения необходимо заполнить форму обращения. В форме обращения Пользователь должен указать свои настоящие данные.

4.4. Пользователю необходимо заполнить следующие поля о себе, как о заявителе:

— адрес проживания заявителя;

— фамилия, имя, отчество (при наличии) заявителя;

— номер мобильного телефона заявителя (в случае отсутствия мобильного телефона, необходимого при регистрации в Системе, заявитель вправе подать обращение напрямую на адрес электронной почты территориального органа Роструда. Перечень территориальных органов Роструда размещён на едином информационном портале Федеральной службы по труду и занятости в сети «Интернет» (http://rostrud.ru/). В случае если Пользователь не был зарегистрирован ранее на Портале, на данный указанный номер телефона поступит код активации, который необходимо ввести в специальное поле в появившемся окне с целью активации учётной записи Пользователя и его обращения;

— электронный адрес, на который будут поступать уведомления о ходе решения проблемы.

Администрация Портала обеспечивает неразглашение третьим лицам всех введённых в процессе регистрации пользовательских данных, за исключением случаев, оговоренных Пользовательским соглашением.

4.5. Пользователю необходимо заполнить следующие поля о месте работы:

— регион, город и точный фактический адрес организации, сотрудником которой он является (-лся);

— данные об организации: название, организационно-правовая форма, юридический адрес, данные о руководителе;

— сведения о своей должности и периоде работы;

— сведения о третьих лицах, упоминание которых требуется для полного описания проблемы.

4.6. Пользователю необходимо заполнить следующие поля о своей проблеме:

— пояснения к сложившейся ситуации;

— фотоматериалы.

Информация, внесённая в поле «Пояснения к сложившейся ситуации», становится публичной и должна носить общий характер. В данном поле запрещается упоминание персональных данных третьих лиц. В случае если заявитель нарушает данный пункт правил, за публикацию информации несёт ответственность сам Пользователь.

Фотоматериалы являются закрытой информацией по умолчанию и могут быть опубликованы в публичном доступе по решению Пользователя.

4.7. Перед отправкой заявления Пользователь соглашается с настоящими Правилами использования сервисов и информации пользователями Системы и принимает соглашение об обработке персональных данных. В случае несогласия с данными условиями каждый Пользователь вправе отказаться от использования ресурса и воспользоваться другими предложенными на официальных ресурсах ведомства видами связи.

4.8. На Портале применяется пост-модерация сообщений. Сообщения публикуются сразу после размещения пользователями и, если они нарушают настоящие Правила, удаляются, или модератором направляется письмо Пользователю с просьбой устранить нарушение.

4.9. Причины отказа в публикации сообщения или предложения внести коррективы:

— игнорирование правил правописания и ненормативная лексика, сообщение написано не на государственном языке Российской Федерации или содержит большое количество орфографических и синтаксических ошибок, написан заглавными буквами, содержит ненормативную лексику, в том числе в завуалированной форме;

— отсутствие логической связи между предложениями в обращении, которое не позволяет понять общий смысл описываемого случая;

— коммерческие цели и реклама – если, по мнению модератора, публикуемые сведения прямо или косвенно нацелены на извлечение прибыли;

— недостаточность описания либо безосновательные обвинения – модератор оставляет за собой право отклонить случай, если сведения, указанные в нём, не позволяют сделать вывод об имеющемся правонарушении;

— не проходят модерацию случаи, в которых нет конкретного указания на проблему, присутствуют вопросы риторического характера;

— не проходят модерацию случаи, которые не соответствуют выбранной Пользователем категории;

— не проходят модерацию сообщения, которые дублируют ранее опубликованные сообщения (текст сообщения полностью повторяет текст предыдущего сообщения, то есть не несёт новой информации).

4.10. Пользователь может ознакомиться с ответом по опубликованному обращению в своем личном кабинете, предварительно пройдя авторизацию на Портале.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *