Защита данных банковских карт
Узнать больше
Права оператора персональных данных носят широкий перечень и ряд из них трактуется неоднозначно. В этом вопросе лучше всего руководствоваться 152-ФЗ от 27.07.2006, где присутствует подробный перечень возможных действий. Важно действовать в рамках законодательства, потому что ужесточились наказания за нарушения в области защиты личной информация, и оператору может грозить существенный штраф за превышение прав при хранении, обработке данных.
Нормативно-правовая база, регулирующая права операторов
Права оператора ПДн во многом определяются его обязанностями, обозначенными в четвертой главе 152-ФЗ от 27.07.2006. На основании изложенных пунктов статей 18-22 этого закона становится понятным перечень прав оператора:
-
Заниматься сборкой сведений личного характера согласно государственным, уставным, коммерческим целям в рамках действующего законодательства.
-
Требовать от владельца персональные данные при вступлении с ним в гражданские или трудовые взаимоотношения если это разрешено законом и необходимо для выполнения услуг. Например, образовательные и медицинские услуги, решение вопросов, связанных с ЖКХ.
-
Получать в распоряжение личную информацию не только от самого субъекта, но и третьей стороны без уведомления первого при условии, что они получены из открытого общедоступного источника и переданы согласно требованиям законодателя.
-
Разрешено хранить персональные данные граждан РФ на серверах, находящихся вне страны в случаях, предусмотренных шестой статьей 152-ФЗ от 27.07.2006 если это предполагает выполнение международных обязательств.
-
Оператор вправе самостоятельно выбрать и назначить сотрудника для работы с личными сведениями граждан без какой-либо привязки к его должности, квалификации, опыту.
-
Разрешено самостоятельно контролировать и поддерживать защитные меры по сохранению конфиденциальности вверенных сведений. Например, посредством организации службы внутреннего контроля персонала.
-
Выбор способов защиты персональных данных и бюджет на реализацию защитных мер могут быть любые. Оператор сам определяет, что и в каком количестве использовать для достижения результата.
-
Информирование оператором регуляторов в лице ФСТЭК и Роскомнадзора происходит только в случае предъявленных требований с их стороны. Регулярная отчётность отсутствует.
-
Допускается передача личной информации граждан оператором третьей стороне при оформленном изначально согласии без уведомления владельца.
-
Разрешено хранить вверенные сведения персонального характера в облачных хранилищах если провайдер предоставляет условия, соответствующие техническим и программным требованиям по информационной защите.
Кто контролирует правомерность действий операторов ПДн?
-
Роскомнадзор. Служба, которая отвечает за правоотношения, имеющие отношение к информационным технологиям, сети Интернет. Занимается регулярными проверками организаций на соответствие требованиям по хранению и обработке данных, защитой прав и интересов субъектов информации. Располагает правом безвозмездно требовать у граждан и организаций персональную информацию, проверять ее для исполнения возложенных на ведомство задач.
-
ФСТЭК. Организация ответственная за техническое обеспечение информационной защиты. Также занимается регулярными проверками операторов как по согласованности сторон, так и в случайном порядке. В число полномочий ведомства входят запрос у оператора отчета по контролируемым видам деятельности с последующей проверкой. Запрос документов или их копий, подтверждающих соответствие техники и ПО стандартам сертификации. Запрос на получение документации подтверждающей соответствие стандартам безопасности помещения, где хранятся персональные данные. Также проводит документальную проверку деятельности оператора согласно запрошенным документам и сведениям изложенных в них или выездную проверку на территории оператора.
-
ФСБ. Служба, занимающаяся проведением контрольных мероприятий необходимых для соблюдения точности и правильности исполнения действующего законодательства при работе с персональной информацией. Для осуществления контрольных мероприятий ФСБ запрашивает у операторов отчеты по его деятельности и аспектам выполнения лицензионных условий. Производит проверку документов, отражающих соответствие нормативным актам и требованиям безопасности выбранных оператором СКЗИ. Также проверяет точность и правильность исполнения оператором мер по обеспечению информационной безопасности на объектах, где ведётся непосредственная деятельность.
Права оператора персональных данных охватывают широкую группу действий. Не исключены спорные ситуации, когда регулирующие организации указывают оператору на превышение прав, назначают штраф. Для исключения подобных ситуаций оператор должен быть хорошо осведомлен о нормативно-правовой базе в этом вопросе и быть готовым отстаивать вою правоту в суде в случае необходимости.