Информация – важнейший производственный фактор. Предприятия, которые ведут активную работу по накоплению и анализу данных, в современной экономической среде чувствуют себя гораздо увереннее. Благодаря анализу своей аудитории компания может повысить сумму среднего чека за счет бонусов, за которые готовы платить потребители.

Вы узнаете:

• Что такое конфиденциальность персональных данных.
• Какие ошибки сбора, хранения и конфиденциальности персональных данных наиболее часто допускаются в бизнесе.
• Как обеспечить безопасность хранения и конфиденциальности данных.
• Что такое политика конфиденциальности сайта и как ее составить.
• Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года.

Сегодня информация является неотъемлемой составляющей эффективной работы предприятия. Однако следует также помнить, что крайне необходимо соблюдать конфиденциальность персональных данных.

Срочно проверьте своих партнеров!

Вы знаете, что налоговики при проверке могут цепляться к любому подозрительному факту о контрагенте ? Поэтому очень важно проверять тех, с кем Вы работаете. Сегодня, Вы можете бесплатно получить информацию о прошедших проверках Вашего партнера, а главное получить перечень выявленных нарушений!

Обработка, хранение и конфиденциальность персональных данных клиентов

Итак, в современных экономических условиях очень важна конфиденциальность персональных данных. Закон, регламентирующий отношения в рамках получения и обработки ПДн, – ФЗ «О персональных данных» №152 от 27.07.2006 г. В нем указана следующая информация:

• ключевые термины, касающиеся обработки ПДн;
• в соответствии с какими принципами и условиями должны обрабатываться персональные сведения;
• какими обязанностями наделен оператор ПДн;
• какими правами наделен субъект ПДн;
• какие типы ответственности предусмотрены за нарушение требований №152-ФЗ;
• какие госорганы контролируют соблюдение требований закона.

Персональные данные – это любые сведения, которые прямо или косвенно относятся к физическому лицу, которое называют субъектом персональных данных.

Оператор – это госорган, орган местного самоуправления, юридическое или физическое лицо, которое в отдельном порядке или вместе с иными лицами организует и (или) проводит обработку персональной информации, определяет, зачем это нужно, из чего должны состоять персональные данные, а также устанавливает, какие действия (операции) по отношению к ПДн необходимы.

Обработкой ПДн называют любую операцию или совокупность операций, которые совершают в отношении персональной информации с применением автоматизированных средств или без них. Если обрабатывают данные, значит, их собирают, записывают, систематизируют, копят, хранят, уточняют (обновляют, изменяют), извлекают, используют, передают (распространяют, предоставляют доступ), обезличивают, блокируют, удаляют, уничтожают.

Что такое конфиденциальность персональных данных, закон четко разъясняет. Однако он не уточняет, какая именно информация является персональной. Но, если отталкиваться непосредственно от названия «персональных данных», то это любые сведения, относящиеся к физическому лицу:

• дата рождения;
• адрес;
• телефон;
• e-mail;
• фотография;
• ссылка на персональный сайт;
• ссылка на аккаунт в соцсетях.

Словом, это любая информация, по которой можно точно определить гражданина. Если вам предоставляют персональные сведения, вы становитесь оператором ПДн.

Субъект ПДн – это физическое лицо, которое можно определить на основе персональной информации. То есть, это человек, сведения о котором должны находиться под защитой.

Какими правами №152-ФЗ наделяет субъекта персональных данных

1. Право на доступ к своим ПДн. Субъект вправе получать сведения об операторе, узнавать, с какой именно информацией он работает; наделен правом прямого доступа к этой информации.
2. Право субъекта при обработке ПДн. Обработку ПДн, необходимую для того, чтобы продвигать на рынке товары, услуги, работы, а также в политических целях, можно проводить только с разрешения субъекта. Она недействительна, если субъект не давал на нее разрешения, только если оператор не доказал обратное. Если субъект требует завершить обработку ПДн, то оператор обязан сразу же выполнить это требование.
3. Права субъекта при вынесении решений на основании исключительно автоматизированной обработки его персональной информации. По закону РФ, недопустимо принимать решения относительно субъекта ПДн лишь на основании автоматизированной обработки, если нет его письменного согласия или же в ситуациях, описанных в федеральных законах.
4. Право субъекта обжаловать действия или бездействие оператора. Если, по мнению носителя персональных данных, оператор некачественно обрабатывает ПДн, чем нарушает его свободы и права, то гражданин всегда может обратиться в инстанцию, специализирующуюся на защите прав субъектов ПДн, или в судебный орган.

Субъект имеет право требовать возместить ему финансовые потери и компенсировать моральный ущерб через суд. Оператор персональных данных должен сообщать в Роскомнадзор об обработке и защищать эту информацию.

В законе также определено, когда оператор может не сообщать в службу об обработке ПДн:

• если оператор и носитель персональных данных состоят в трудовых отношениях;
• если оператор и субъект ранее заключили между собой договор, и ПДн требуются для исполнения обязательств по нему;
• если ПДн относятся к членам религиозных и общественных организаций, и обработка ведется в соответствии с учредительной документацией и законодательством РФ;
• если ПДн находятся в общем доступе;
• если ПДн состоят только из ФИО;
• если ПДн необходимы, чтобы получить однократный пропуск на территорию или для решения подобных задач;
• если ПДн являются частью федеральных автоматизированных информационных систем и государственных информационных систем персональных данных;
• если ПДн обрабатываются без использования автоматизированных средств в соответствии с законодательством РФ.

Статья 7 (конфиденциальность персональных данных) №152-ФЗ гласит, что операторам и иным лицам, которым доступны персональные данные, запрещено распространять эту информацию посторонним людям, если субъекты не давали на это своего согласия, или же это не предусмотрено законодательством.

Но множество компаний неверно полагают, что, если они не обязаны сообщать уполномоченной инстанции об обработке, то и действия, которые по закону должны выполнять операторы ПДн, тоже не обязательны к исполнению. Но это мнение ошибочно. Если операторы нарушают законодательные требования, касающиеся обработки, это расценивается как неисполнение законодательных норм. За подобные действия предусмотрено наказание.

Конфиденциальность персональных данных – это обязательное требование, которое должен соблюдать как оператор, так и любой другой человек, получивший доступ к ПДн. Конфиденциальность не обеспечивается лишь в том в случае, если:

• персональная информация обезличена;
• персональная информация находится в общем доступе.

Персональные данные перестают считаются конфиденциальными, если они обезличиваются, или же если с момента начала их хранения проходит 75 лет, если об ином не сказано в законодательстве РФ.

На основании №152-ФЗ, оператор персональных данных должен:

1. Обеспечивать безопасную обработку ПДн, то есть проводить необходимые мероприятия организационного и технического характера, направленные на конфиденциальность персональных данных и их защиту от взлома, уничтожения, внесения изменений, блокирования, копирования, распространения и иных незаконных действий.
2. Уведомлять уполномоченную инстанцию по защите прав носителей ПДн (Роскомнадзор) о том, что он намерен обработать персональную информацию. Роскомнадзор заносит в реестр операторов данные об операторе. Сведения в этом реестре общедоступны. Исключение составляет лишь информация о средствах обеспечения безопасности ПДн в ходе обработки.
3. Получать у носителей ПДн разрешение в письменном виде на обработку информации. Делать это оператор обязан, когда получает персональные данные (в том числе, от третьих лиц). Лишь после наличия разрешения он может приступить к обработке. Исключение составляют случаи, когда оператор получил ПДн в порядке, предусмотренном ФЗ, или же эта информация общедоступна. Следует подчеркнуть, что носитель данных вправе запретить обработку сведений о себе.
4. Предоставлять носителю ПДн по требованию всю имеющуюся о нем информацию, методах ее защиты, а также сообщать, с какой целью и в каких условиях будет проводиться обработка.

В обязанности оператора также входит уничтожение, блокировка соответствующих персональных данных, внесение в них изменений, которые предоставляет носитель ПДн или его законный представитель в связи с тем, что информация неполная, неверная, неактуальна, получена противозаконным путем или не соответствует обозначенной цели обработки.

Также оператор должен доказать, что субъект не возражает против обработки его ПДн. Если же обрабатываются общедоступные персональные данные, оператор обязан предъявить доказательства в пользу того, что информация открыта для всех.

1. Предоставлять уполномоченной инстанции по защите прав субъектов персональных данных по запросу сведения, необходимые для ее деятельности. В России работу операторов ПДн контролируют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральная служба по техническому и экспортному контролю и Федеральная служба безопасности.

В законе также указано, когда разрешение носителя ПДн не требуется. Это ситуации, когда:

• данные обрабатываются в соответствии с иными ФЗ;
• между оператором и субъектом ПДн заключен договор, положения которого предполагают обработку информации об этом субъекте;
• необходимо обработать ПДн, чтобы защитить жизнь, здоровье и иные жизненно важные интересы субъекта, но получить его согласие не представляется возможным, к примеру, из-за того, что физическое лицо госпитализировано;
• необходимо обработать персональные данные, чтобы почтовые предприятия смогли доставить посылку;
• данные нужно обработать журналисту в профессиональных целях, или же в целях научной, литературной или другой творческой деятельности. Но при этом интересы и права носителя ПДн должны быть соблюдены;
• нужно обработать персональные данные для последующей публикации на основании ФЗ.

В иных ситуациях оператор обязан действовать в соответствии с нормами закона РФ по обработке информации и соблюдать конфиденциальность персональных данных. При нарушении законодательных норм в отношении оператора применяют уголовную, административную, гражданскую, дисциплинарную или иную ответственность.

Интересные факты про конфиденциальность персональных данных

1. В российском законодательстве отсутствует четко определенный перечень.

В №152-ФЗ персональные данные трактуются как любые сведения, относящиеся к определенному или определяемому на их основании физическому лицу (субъекту ПДн). Данное определение малоинформативно.

1. Различают три вида персональных данных.

• Общие ПДн – это ФИО, адрес, номер телефона физического лица.
• Специальные ПДн – это информация о расе, национальности субъекта, его политической позиции, философской и религиозной точки зрения, здоровье и половой жизни.
• Биометрические ПДн – это физиологические особенности, анатомические характеристики, отпечатки ладоней, пальцев, сетчатка глаз, анализ ДНК и т. п.

1. Судебная практика по персональным данным.

В соответствии с имеющейся сегодня судебной практикой, к персональным данным относят:

• ФИО физического лица, дату рождения (день, месяц, год), адрес. Речь в данном случае также идет о семейном, социальном, имущественном положении, образовании, профессии, доходах (Постановление по делу № А15-2016/2009 от 05.10.2010 г. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015 г. 19-й ААС).
• Паспортные данные (см., например, Апелляционное определение Мосгорсуда от 22.05.2014 г. № 33-14709).

Некоторые суды придерживаются мнения, что по серии и номеру паспорта можно идентифицировать бланк документа, но не физическое лицо. Соответственно, это не ПДн (более подробно с этой информацией вы можете ознакомиться из определения Мосгорсуда от 29.02.2012 г. № 33-6709; Постановления Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).

Однако сложно признать эту позицию верной и обоснованной, поскольку по номеру и серии паспорта можно легко определить физическое лицо.

• E-mail (это подтверждает, к примеру, Решение по делу № 12-253/2015 от 26.05.2015 г. Калининский районный суд (г. Санкт-Петербург).

Роскомнадзор неоднозначно подходит к вопросу, связанному с отнесением e-mail к персональным данным. На эту тему существуют разъяснения этой службы, где указано, что если в e-mail содержится ФИО, то его можно отнести к персональным данным. Если же адрес электронной почты состоит из набора букв и знаков, то это неправомерно.

• Данные техпаспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 г. № 33-3718).
• Адреса мест проживания индивидуальных предпринимателей, которые в себе содержит план проведения проверок юридических лиц и индивидуальных предпринимателей. План является общедоступным и должен находиться на официальном сайте администрации (см., к примеру, Апелляционное определение Волгоградского облсуда от 24.04.2014 г. № 33-4427/2014).
• Информацию о пересечении госграницы (см., к примеру, Апелляционное определение Мосгорсуда от 10.04.2014 г. № 33-11688).
• Адрес, по которому зарегистрировано должностное лицо, информация о его доходах, собственности, распространяемая в форме, не предусмотренной для официальной процедуры (к примеру, Определение Санкт-Петербургского городского суда от 31.03.2014 г. № 33-4198/14).
• Сведения о работнике, прописанные в трудовом договоре (см., к примеру, Апелляционное определение ВС Республики Саха (Якутия) от 23.10.2013 г. № 33-4172/13).

При отнесении информации к персональной нужно также учитывать и следующие моменты:

• Подтверждение и проверка того, что сведения относятся к определенному физическому лицу, не требуются (в законе о подобных мероприятиях ничего не сказано). В связи с этим оператор фактически не имеет представления о том, реальная это информация или вымышленная. Однако обрабатывать ПДн он в любом случае обязан.
• К персональной относят лишь ту информацию, по которой возможна идентификация физического лица (см., к примеру, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Мосгорсуда от 28.01.2014 г. №33-5461/14).

1. Более сложные категории ПДн.

Простыми персональными данными называют имя, фамилию и т. п. Однако есть и более сложные группы ПДн. К таковым относится IP-адрес, профиль в социальной сети и др.

По поводу данных групп ПДн даже у судов различные позиции.

• Относительно IP-адреса в одном судебном решении есть неплохой правовой анализ, где говорится следующее: "Правовые последствия при идентификации юзера через установление его ПДн по статическому IP-адресу, который назначает оператор связи, постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на предоставление услуг доступа к интернету (если используется статический IP-адрес, то идентификация всех подключений пользователя всегда ведется по этому IP-адресу в сети связи) должны быть аналогичны правовым последствиям в тех случаях, когда оператор связи назначает IP-адрес пользовательскому оборудованию в автоматическом порядке, на время его подключения (период сессии) к интернету (динамический IP-адрес)". (Решение по делу № 2-5354/2015 от 24.09.2015 г. Октябрьский районный суд г. Самары (Самарская область)).

Отметим, по мнению одних судов IP-адрес не относится к ПДн (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015 г. 13-й ААС), а другие, напротив, считают, что относится (Решение по делу № А76-29008/2015 от 11.02.2016 г. АС Челябинской обл.).

Отнесение статичного IP-адреса к персональным данным достаточно логично, поскольку идентификация пользователя по нему очень проста. Однако у оператора может не быть сведений о том, какой IP-адрес является статичным. В подобных ситуациях следует считать все такие адреса персональной информацией. Соответственно, конфиденциальность персональных данных такого характера должна быть сохранена.

• По поводу логина и пароля (от e-mail и социальной сети) разногласий меньше. По мнению Роскомнадзора, считать их ПДн неправомерно. Эту позицию он озвучивал много раз.

Некачественное обеспечение конфиденциальности персональных данных и другие ошибки, за которые штрафуют бизнес

Ошибка 1. Наличие формы обратной связи без политики конфиденциальности.

Сотрудники Роскомнадзора выяснили, что предприятие ТГЮК разместило на своем сайте форму обратной связи. Но документа о политике конфиденциальности, касающегося обработки персональной информации, на сайте не было. В итоге, на основании ст. 13.11 КоАП РФ, фирме выписали штраф, после чего она подала исковое заявление в суд.

Позиция компании заключалась в следующем: идентификация физического лица была невозможной, так как форма обратной связи состояла лишь из 3 элементов: имени, темы и текста сообщения. Соответственно, конфиденциальность персональных данных была соблюдена. При этом графу «имя» пользователи не обязаны были заполнять. Но судебный орган не принял эти аргументы во внимание и все же наложил на ТГЮК штраф (постановление Тамбовского областного суда от 04.10.2016 г. по делу №4А-288).

Как избежать штрафа: Если компания размещает на сайте подобную форму, то это считается сбором данных о физических лицах. Соответственно, фирма обязана действовать так, как оператор ПДн – сообщать в Роскомнадзор, что она намерена заняться сбором и обработкой персональной информации, получить разрешение носителя данных, выработать политику конфиденциальности и позаботиться о неограниченном доступе к ней. Если вы вырабатываете форму обратной связи, то в ней должна присутствовать функция получения согласия. То есть, перед тем как отправить анкету, пользователь обязан проставить галочку, подтвердив тем свое согласие на обработку персональных данных.

Ошибка 2. Передача личной информации третьим лицам.

Как осуществляется конфиденциальность персональных данных в договоре? Рассмотрим следующий пример. У гражданина образовался долг банковскому учреждению по кредиту. Банк заключил с коллекторским предприятием агентский договор «Морган энд Стаут». В соответствии с его условиями, банковская организация передала персональную информацию о должнике, и коллекторы начали звонить ему и его родственникам, обращаясь с требованием о погашении задолженности. Но при этом обрабатывать и передавать свои ПДн сторонним лицам гражданин не разрешал.

Заемщик потребовал прекращения противоправных действий и уничтожения всех персональных данных, но безрезультатно. Тогда он подал в суд иск с целью компенсации морального ущерба. Как отметил должник, у него требовали погасить долг в агрессивной форме, а потому он начал беспокоиться о здоровье, безопасности и жизни себя и своих родных.

Изучив все материалы дела, суд признал, что банк действовал незаконно, не обеспечил конфиденциальность персональных данных и постановил уничтожить всю персональную информацию о гражданине. Оба учреждения суд обязал компенсировать моральный вред (определение Ярославского областного суда от 05.03.2012 г. по делу №33-939/2012).

Как избежать штрафа: Передача персональных данных возможна исключительно с согласия физического лица, к которому они относятся. Исключения составляют случаи продажи предприятием долга на основании договора переуступки. В данном случае уже новый кредитор должен сообщать носителю ПДн о том, что личные сведения получены.

Ошибка 3. Обработка персональных данных без согласия.

Внеплановая проверка предприятия, проводимая сотрудниками Роскомнадзора, показала, что в листе кандидата на должность отсутствует поле для отметки о согласии на обработку ПДн. Генеральному директору вынесли предупреждение, с которым он не согласился и обратился в суд для обжалования. По словам руководителя, в компании сформировали комиссию, в обязанности которой вошла обработка данных. Он отметил, что при заполнении своих карточек сотрудники присутствуют лично. Помимо этого, в трудовом договоре указано, что работник согласен на обработку. Но эти аргументы, по мнению суда, явились недостаточными для отмены решения, а потому административное наказание все же было применено (постановление Самарского облсуда от 22.08.2016 г. №4а-907/2016).

Как избежать штрафа: Каждая типовая форма документации, предполагающая включение ПДн, должна содержать в себе поле для согласия на обработку. Вам следует провести аудит кадровой документации, чтобы удостовериться, что в бумагах проставлена соответствующая отметка.

Ошибка 4. Предприятие игнорирует отказы клиента получать рекламные сообщения.

Один из клиентов Сбербанка отменил свое согласие на обработку ПДн через «Почту России». Но прошел месяц, и гражданину на телефон пришло рекламное сообщение из банка с предложением оформить кредит. В ответ гражданин подал исковое заявление в суд о незаконной обработке ПДн. Он счел, что банк не обеспечил конфиденциальность персональных данных.

Позиция ответчика заключалась в том, что сообщение содержало в себе не рекламу, а индивидуальное предложение. Помимо этого, текст сообщения не включал в себя информацию, на основании которой была бы возможна идентификация физического лица. Соответственно, использования личных сведений не было, и конфиденциальность была соблюдена.

Но суд принял сторону истца – банковское учреждение знало его номер телефона и ФИО. В соответствии с решением суда, Сбербанк обязали компенсировать истцу моральный ущерб в размере 100 тыс. руб. (определение Новосибирского облсуда от 02.04.2015 г. по делу №33-2662/2015).

Как избежать штрафа: не следует игнорировать разного рода обращения физических лиц – субъектов ПДн. С 1 июля 2017 г. за это предусмотрен штраф в размере 40 тыс. руб. Физическое лицо имеет право отозвать согласие на обработку своих персональных данных, а также узнать, кто работает с его данными, с какой целью, какими способами, в какие сроки осуществляется обработка, какая именно информация о нем хранится. Назначьте работника, предоставляющего сведения по запросам физических лиц. Его контактная информация должна быть общедоступной.

Ошибка 5. Сбор сведений о физлицах без локализации.

Сотрудники Роскомнадзора в рамках анализа нарушений в интернете определили, что известная социальная сеть LinkedIn не выполняет требований по обеспечению записи, систематизации, накоплению, хранению и извлечению ПДн россиян, то есть, не соблюдает конфиденциальность персональных данных. Специалисты службы обязали компанию устранить нарушение, однако требование выполнено не было. Организация аргументировала свой отказ тем, что персональные данные граждан обрабатываются и хранятся за рубежом. Однако суд заметил, что если сайт имеет русскоязычную версию, он занимается сбором ПДн россиян, и, соответственно, обязан выполнять нормы действующего законодательства, в частности, обеспечивать конфиденциальность персональных данных. В итоге суд признал, что сайт ведет незаконную деятельность, к нему ограничили доступ, а саму организацию занесли в реестр нарушителей прав субъектов ПДн (определение Мосгорсуда от 10.11.2016 г. по делу №33-38783/2016).

Как избежать штрафа: В обязанности оператора при сборе персональной информации входит обеспечение локализации ПДн субъектов. Соответствующий закон действует с 1.09.2015 г. Проверьте информационные системы/базы данных, выявите их месторасположение и сформируйте список. Требование, связанное с локализацией ПДн, является обязательным и действует в отношении первичного сбора данных. Обрабатывать и хранить информацию можно за границей.

Рассказывает практик

Обработка персональных данных – дополнительная зона ответственности

Елена Денисова ,

руководитель коммерческой практики, CLIFF

По мнению многих предпринимателей, их деятельность напрямую не связана с обработкой ПДн, так как они просто собирают такую информацию, чтобы знать свою аудиторию. Также значительная часть бизнесменов полагает, что сайт в интернете – это не инструмент автоматизированной обработки, а потому они не собирают личную информацию о пользователях, соответственно, не должны обеспечивать конфиденциальность персональных данных. Но в соответствии с Законом, оператор ПДн – это любое лицо, как физическое, так и юридическое, организующее и осуществляющее обработку персональных сведений и определяющее цели их сбора.

Чтобы не столкнуться с проблемами хранения и применения ПДн и следовать законодательным требованиям, необходимо:

1. Выявить, в каком порядке, объеме и в какое время вы получаете информацию о своих потребителях. Если сведений, по которым можно точно определить клиента, вы не получаете (а получаете лишь e-mail и при этом не предлагаете пройти регистрацию и оставить контактную информацию, то есть, не получаете никаких данных от клиента и работаете на конфиденциальных условиях), то вы не имеете дела с ПДн. Во всех иных ситуациях вам следует четко соблюдать законодательные требования, касающиеся обеспечения конфиденциальности персональных данных.
2. Определить, как ваша компания будет получать от клиента согласие на обработку его персональной информации. Согласие субъекта необходимо, если вы планируете проводить торговые операции и вести любую деятельность по продвижению товаров, услуг, работ на рынке, используя прямой контакт клиента (посредством SMS-сообщений, телефонных звонков, e-mail и проч.). Отметим, при возникновении спорной ситуации оператор, то есть, ваше предприятие, обязан доказать факт получения от клиента согласия (в любой форме, не обязательно в письменном виде). В связи с этим следует выработать правила, в соответствии с которыми нужно собирать, обрабатывать, хранить и уничтожать ПДн, а также специальную форму согласия на проведение этих мероприятий (см. материал для скачивания). При этом клиент может не давать своего согласия, если данные обрабатываются с целью выполнения условий договора, участником которого он выступает, то есть, если сведения использует лишь ваша фирма, не передает ее посторонним лицам и только для того, чтобы оформить сделку купли-продажи с покупателем.
3. Убедиться, что в будущем удастся доказать факт получения согласия от клиента. Мало просто разместить на сайте правила и форму согласия на обработку ПДн. В случае спора это не поможет вам избежать штрафов контролирующих инстанций. У вас должен быть подписанный клиентом документ, из которого будет ясно прослеживаться его согласие на использование ПДн. Также в нем должно быть упомянуто о видах и целях обработки персональной информации. Если вы не будете располагать таким документом, то вас могут привлечь к ответственности. Безусловно, в качестве доказательства может выступать бумажная анкета с подписью покупателя, однако для торговли в интернете этот вариант не подходит.

Роскомнадзор считает, что в качестве согласия на использование персональной информации на сайте может выступать файл электронной цифровой подписи. Помимо этого, предложения оператора о продаже товара в некоторых ситуациях могут быть рассмотрены в качестве публичной оферты. То есть, когда носитель ПДн соглашается на оферту в момент оформления заказа или регистрации, то одобряет использование своих персональных сведений, оставленных продавцу. Судебные органы считают, что компаниям лучше позаботиться о наличии на своем сайте веб-метки, которая означает, что клиент согласен с правилами и порядком обработки ПДн (постановление ФАС СЗО от 13.12.2010 г. по делу №А56-73636/2009, постановление ФАС УО от 18.03.2010 г. по делу №Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 г. по делу №33-2064).

Конфиденциальность и защита персональных данных: 4 инструмента

Конфиденциальность персональных данных может быть обеспечена исключительно в той информационной среде, в которой злоумышленники не могут вмешаться в работу ее основных элементов, таких как сетевые устройства, операционные системы, приложения и система управления базами данных (СУБД).

1. Антивирусы.

Один из действенных методов борьбы с утечкой конфиденциальных данных – защита от вирусов. Нередко из-за влияния вирусов, червей и иных вредоносных программ происходит утрата информации по скрытым каналам. В современные антивирусы включена не только сигнатурная защита, но и более инновационные методы. Речь идет, в частности, о поведенческом анализе программ, экранах уровня приложений, контроле над целостностью критической для операционной системы информации и иных способах защиты, которые обеспечивают конфиденциальность персональных данных.

1. Межсетевые экраны.

Необходимо обеспечить эффективную защиту не только всей корпоративной сети, но и каждому отдельному рабочему месту от массовых вирусных атак, а также от целенаправленных атак в сети. Здесь достаточной будет установка системы блокировки неиспользуемых сетевых протоколов и сервисов. Отметим, что именно эти функции и выполняет межсетевой экран. Нередко к его функциональности добавляют также средства организации виртуальных частных сетей – VPN.

1. Системы предотвращения вторжений.

Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливают в разрыв сети. Такие сети предназначены для того, чтобы выявлять в проходящем трафике признаки нападения и блокировать обнаруженную наиболее популярную атаку. Это обеспечивает в конечном итоге конфиденциальность персональных данных.

IPS отличаются от шлюзовых антивирусов тем, что выполняют анализ не только содержимого IP-пакетов, но и применяемых протоколов и корректности их использования. IPS способны обеспечить защиту от большего числа атак, в отличие от шлюзовых антивирусов. Системы предотвращения вторжений выпускают фирмы, основная специализация которых – сетевая защита, например, Check Point и McAfee (продукт Network Security Platform), так и компании, производящие сетевое оборудование – Juniper и Cisco.

1. Сканеры уязвимостей.

Общие средства защиты – это и сканеры уязвимости, проверяющие операционные системы и программное обеспечение на наличие разного рода «брешей». Обычно это самостоятельные программы или устройства, которые тестируют систему следующим образом: направляют специальные запросы, имитирующие атаку на протокол или приложение. Среди самых популярных продуктов в этой категории можно выделить MaxPatrol, группу продуктов IBM ISS, Symantec и McAfee (Vulnerability Manager). Однако сейчас выпускают и пассивные сканеры, просто сканирующие трафик и выявляющие вероятные уязвимые места.

Вышеперечисленные инструменты – общие для всей сети и напрямую не относятся к защите персональных сведений. Но их наличие обговаривают в отдельном порядке, а потому этими основными средствами должен располагать каждый оператор персональных данных, причем даже для минимального уровня К4, где сам оператор может выбирать средства защиты.

В данный момент комплект инструментов для защиты от утечки персональной информации только формируется. Существует 3 категории таких продуктов:

• Системы контроля периферийных устройств.

Зачастую утечки ПДн происходят через съемные информационные носители и несанкционированные каналы связи, среди которых флэш-память, USB-диски, Bluetooth или Wi-Fi, в связи с чем необходимо контролировать и периферийные устройства. Это позволяет избегать утечек и обеспечить конфиденциальность персональных данных. На рынке есть определенные инструменты, относящиеся к данной категории, к примеру, от производителей SmartLine и SecureIT.

• Системы защиты от утечек (Data Leak Prevention, DLP).

Благодаря системам защиты от утечек можно при помощи особых алгоритмов вычленить из потока информации конфиденциальную и предотвратить ее несанкционированную передачу, поставив блок. В DLP-системах существует ряд механизмов контроля различных каналов передачи данных – e-mail, мгновенных сообщений, web-почты, печати на принтере, сохранения на съемном диске и проч. При этом такие системы ставят блок на утечку только конфиденциальной информации, так как оснащены встроенными механизмами для определения степени секретности данных, благодаря чему достигается высокая конфиденциальность персональных данных.

• Методы шифрования.

Методы шифрования применяются в процессе передачи персональной информации по сети в распределенной системе. Вы можете пользоваться продуктами класса VPN, основой которых обычно является шифрование. Но системы данного типа должны быть сертифицированными и тесно интегрированными с базами данных, в которых хранится персональная информация.

Благодаря инструментам, перечисленным выше, можно избежать утечек информации, в том числе персональной, то есть, обеспечить конфиденциальность персональных данных. При этом методы могут быть использованы и для того, чтобы защищать иную, критическую для организации, информацию. Но стоит учитывать, что для исполнения требований закона «О персональных данных» необходимо использовать сертифицированные средства защиты, одобренные ФСТЭК.

Политика о конфиденциальности персональных данных на сайте : пошаговая инструкция

Политика конфиденциальности – это тоже оферта (соглашение), но только касающаяся вопросов использования персональной информации пользователей. Если юзер принял (акцептовал) предложенные ему условия и правила, значит, дал согласие на обработку персональных данных.

То есть, пользователь может:

• зарегистрироваться/авторизоваться;
• проставить в полях соответствующие отметки;
• выполнить действия в определенной последовательности;
• использовать функционал сайта.

Все эти действия будут свидетельствовать о том, что пользователь принял правила обработки его ПДн.

Лучше применять описание не одной формы акцепта, а их совокупность, указывая, к примеру, что пользователь согласился с правилами Политики конфиденциальности, нажав соответствующую кнопку или проставив отметку в поле для Регистрации на любой стадии регистрации или в любой момент пользования интернет-ресурсом.

Универсальный шаблон Политики конфиденциальности пока не выработан. Когда вы ее разрабатываете, то так или иначе должны принимать во внимание особенности работы ресурса, его назначение, функциональные особенности, численность целевой аудитории, то, в каких объемах клиенты оставляют сведения о себе.

На основе анализа существующего законодательства в области обработки персональной информации появилась возможность сформулировать ряд рекомендаций для владельцев сайтов по содержанию Политики конфиденциальности:

Шаг 1. Если хотите, в Политику конфиденциальности можете включать главу с терминами и определениями. Однако это необязательно. Чтобы обеспечить удобство юзеров и унифицировать документацию на сайте, вы можете включить соответствующую главу с терминами и их расшифровкой – едиными как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «сайт», «владелец сайта», «пользователь», «личный кабинет» и проч.).

Если даже у вас на сайте отсутствует такой раздел в Политике конфиденциальности, вы, как владелец, никаких рисков из-за этого не несете.

Шаг 2. Выделите общие положения и опишите у них:

• Предмет регулирования Политики.
• Формы акцепта юзера с правилами Политики и обработкой ПДн.
• Место разрешения спорных ситуаций, которые вытекают из Политики, с оговоркой (к примеру, вы можете указать, что все возможные споры по поводу Политики конфиденциальности и отношений между гражданином и владельцем интернет-ресурса будут разрешаться через суд по месту пребывания владельца сайта в соответствии с нормативами РФ, если об ином не сказано в федеральном законе). Оговорка требуется в целях соблюдения действующих норм законодательства. Если же в Политике указано, что споры должны разрешаться по месту пребывания Администрации сайта, пользователь заблаговременно будет знать об этом.
• Порядок внесения изменений в Политику и обновления данного документа (к примеру, «Администрация сайта вправе менять и (или) вносить дополнения в Политику конфиденциальности, при этом специально не уведомляя пользователя об этом. Политика конфиденциальности в новой редакции вступает в силу с того момента, как размещается на странице сайта, если об ином не сказано в новой редакции Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу…»). Если пользователь никак не реагирует, это означает, что он согласен с изменениями и (или) дополнениями в Политике конфиденциальности.
• Отсутствие доступа к информации, которую гражданин оставляет на сайтах третьих лиц. Это может быть связано с тем, что пользователь оплачивает услуги и предоставляет свои платежные данные.

Здесь следует четко прописать, к примеру, следующее: «пользователь признает и подтверждает, что любую информацию, включая, например, данные банковских карточек, напрямую или косвенно связанные с оплатой услуг или сервисов, он размещает на страницах сайтов третьих лиц, которые не имеют отношения к владельцу сайта; Администрации сайта такая информация недоступна, она не собирает, не систематизирует, не хранит, не уточняет, не обновляет и не изменяет, не использует, не распространяет (в том числе, не передает), не обезличивает, не блокирует, не уничтожает такие данные, не осуществляет трансграничную передачу – словом, не проводит в их отношении никаких операций.

Шаг 3. Вам следует зафиксировать тот факт, что вы предоставили согласие пользователю на использование его ПДн. Это крайне необходимо в любой политике конфиденциальности. Укажите, что когда пользователь соглашается на обработку своих данных, то руководствуется собственными интересами и делает это по собственной воле. Пользователь соглашается на обработку информации с того момента, как регистрируется на сайте и (или) совершает иные действия, связанные с пользованием сервисами или возможностями интернет-ресурса.

Шаг 4. Необходимо обозначить, с какой целью вы предоставляете согласие, например, чтобы:

• заключать с Администрацией интернет-ресурса соглашения, договоры, которые напрямую предусматривает Политика, а также иные соглашения, размещенные на сайте, и их последующее исполнение;
• участвовать в организуемых акциях, а также принимать решения и выполнять иные мероприятия с разного рода юридическими последствиями в отношении пользователя или иных лиц;
• принимать и обрабатывать запросы;
• информировать клиентов о состоянии запроса и услугах, к примеру, при помощи сообщений по e-mail или по SMS;
• улучшать качество работы интернет-ресурса;
• проводить статистические и иные исследования на основании обезличенной информации.

Вполне могут иметь место любые варианты, причем одновременно. Но основная в данном случае цель – первая в данном списке. То есть она заключается в использовании персональных данных, чтобы заключать соглашения, договоры с владельцем интернет-ресурса и исполнять их. Благодаря этому варианту можно будет объяснить отсутствие согласия на обработку персональной информации «на бумаге» в случае проблем с Роскомнадзором, и разъяснить, почему владелец не направил в данную инстанцию уведомления.

Шаг 5. Следует описать, из чего состоят персональные данные.

К персональной относится далеко не вся информация о пользователе. Персональные данные, как уже было отмечено, позволяют точно определить гражданина. К ним относятся, к примеру, ФИО, адрес места проживания, а также паспортные данные. Конфиденциальность персональных данных клиентов – обязательное к соблюдению условие для всех организаций.

В Политике конфиденциальности вы можете указать, что согласие пользователя распространяется на ФИО, адрес места проживания, телефонный номер и любые другие данные, относящиеся к личности человека, которыми сейчас располагает Администрация сайта.

Шаг 6. Обозначьте период, в течение которого действует согласие.

Вы можете указать, что согласие гражданина действует до тех пор, пока не истекут сроки хранения соответствующих сведений или документации, в которых содержится обозначенная выше информация. Эти сроки определяет законодательство РФ. По истечении указанного периода пользователь может отозвать свое согласие, направив соответствующее уведомление (в письменном виде) владельцу сайта. Сделать это он обязан не менее чем за 3 месяца до момента отзыва согласия.

Шаг 7. Зафиксируйте объем возможных действий по обработке.

Помните, что чем больше возможных действий с персональной информацией вы опишете, тем лучше. Вы можете указать, что согласие предоставляется на проведение любых операций без ограничений персональными данными, необходимыми или желаемыми для решения обозначенных выше задач. То есть, вы, как владелец сайта, получая персональные данные пользователя, с его согласия можете собирать, систематизировать, копить, хранить, уточнять (обновлять, изменять), использовать, распространять (в том числе, передавать), обезличивать, блокировать, уничтожать, осуществлять трансграничную передачу ПДн, а также выполнять иные процедуры с личной информацией гражданина в соответствии с действующими законодательными нормами РФ.

Шаг 8. Обозначьте методы обработки ПДн.

Укажите, как вы собираетесь использовать персональные данные пользователя – хранить, записывать на электронные носители с их последующим хранением, формировать перечни или как-то иначе.

Шаг 9. Обозначьте, что у вас есть право раскрытия персональных данных третьим лицам.

Зафиксируйте свое право, как владельца сайта, передавать данные третьим лицам, если необходимо достичь той или иной цели, обозначенной в Политике. Также вам следует обозначить, что пользователь не возражает против передачи его данных.

Шаг 10. Установите, в каком порядке будут отправляться юридически значимые сообщения.

Чтобы урегулировать поток обращений от пользователей, связанных с обработкой информации, необходимо усложнить процесс взаимодействия с Администрацией интернет-ресурса. Как? Например, определить письменную форму подобных обращений и способ их отправки – по e-mail или через курьера. В дополнительном порядке укажите, что если формат обращений не будет соблюден, обращения и уведомления пользователя останутся нерассмотренными.

Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года

С 1.07.2017 г. в силу вступил ФЗ от 07.02.2017 г. № 13-ФЗ, вносящий поправки в ст. 13.11 Кодекса об административных правонарушениях. Так, на основании данного ФЗ предусмотрено расширение списка оснований, по которым на нарушителей могут наложить административное взыскание за незаконную обработку персональной информации и существенно повысить штрафы.

Основание	Размер штрафа
	Физические лица	Должностные лица	Юридические лица
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн	предупреждение или штраф - от 1000 до 3000 руб.	предупреждение или штраф - от 5000 до 10 000 руб.	предупреждение или штраф - от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта	от 3000 до 5000 руб.	от 10 000 до 20 000 руб.	от 15 000 до 75 000 руб.
	от 700 до 1500 руб.	от 3000 до 6000 руб.	от 15 000 до 30 000 руб.	от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке	предупреждение или штраф - от 1000 до 2000 руб.	предупреждение или штраф - от 4000 до 6000 руб.	предупреждение или штраф - от 20 000 до 40 000 руб.	предупреждение или штраф - от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	предупреждение или наложение штрафа в размере от 1000 до 2000 руб.	предупреждение или штраф - от 4000 до 10 000 руб.	предупреждение или штраф - от 25 000 до 45 000 руб.	предупреждение или штраф - от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования	от 700 до 2000 руб.	от 4000 до 10 000 руб.	от 25 000 до 50 000 руб.	от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн		предупреждение или наложение административного штрафа - от 3000 до 6000 руб.

Конфиденциальность персональных данных за рубежом

• США.

В Штатах намеренно не принимают федеральный закон о защите ПДн, отдавая предпочтение законам, касающимся отдельных областей жизни. В 1988 г. видеопрокатам в США запретили публичное разглашение информации о том, какие видеокассеты берут клиенты. Такой запрет на прокаты наложили после утечки в СМИ списка видеокассет, арендованных кандидатом в судьи ВС РФ Робертом Броком. Отметим, в списке значились вполне приличные фильмы.

Очень важное значение в США имеет конфиденциальность персональных данных, передаваемых за границу. В Штатах в этом отношении действует то же правило, что и в Европе – принимающее государство должно защищать персональную информацию на должном уровне.

Непринятие общего закона о защите персональных данных в США связано со специфической экономической и политической культурой, где власти способствуют саморегуляции бизнеса. Например, свободу слова в конституции гарантирует первая поправка. Что же касается права на неприкосновенность частной жизни, то она в ней прямо не прописана и лишь подразумевается. Однако все это не мешает отдельным штатам выдвигать инициативы. С 2014 г. в Калифорнии действует закон, обязывающий сайты оповещать пользователей, отслеживаются их действия или нет. С 2015 г. поведение несовершеннолетних граждан в США не отслеживают, как и в Европе.

• Азия.

Сегодня в странах Азии действует закон о защите персональной информации в интернете. Исключение составляет лишь Китай и большая часть государств Ближнего Востока. В Индии закон о соблюдении конфиденциальности персональных данных не имеет силы за пределами страны. И, заметим, он не очень жесткий. Большую часть граждан Индии не волнует конфиденциальность персональных данных. Из информации на сайтах знакомств можно легко узнать, какую группу крови имеет тот или иной пользователь, кто ВИЧ-инфицирован. При этом правительство наделено обширными полномочиями доступа к персональной информации, а для поиска номера мобильного телефона нередко достаточно вбить имя гражданина в строку поиска.

Закон о защите персональных данных, в том числе, в интернете, приняли в 2005 году. Иностранные организации с офисом в Японии должны детально разъяснять, с какой целью они хранят ПДн, если эти сведения касаются хотя бы 5 тыс. клиентов и работников.

Отметим, японцы очень осторожно относятся к распространению своих персональных данных, даже если случаются природные катаклизмы – землетрясения или госпитализации человека. Конфиденциальность персональных данных крайне важна для них. При этом время от времени происходят крупные утечки информации и незаконные сделки по их продаже. В последние годы развитие интернета опережает закон. Нормы, выработанные лет десять назад, не учитывают существования облачных сервисов и социальных сетей.

В Сингапуре в 2013 г. приняли закон, подобный тому, что в данный момент рассматривает Совет Европы. Сегодня законодательство именно этого государства наиболее прогрессивно во всей Азии в отношении хранения ПДн.

• Южная Америка.

В Южной Америке был громкий скандал с Эдвардом Сноуденом, отчасти приведшим к принятию закона Marco Civil da Internet. Значительное место в законе отведено вопросу защиты персональной информации. Жители Бразилии относятся к конфиденциальности ПДн практически так же, как в Европе, но с некоторыми нюансами.

Совместно с Германией Бразилия продвинула в ООН первую резолюцию о защите ПДн в сети. В резолюции было сказано о том, что право на конфиденциальность персональных данных должно быть обеспечено и в реальной жизни, и в интернете. Отметим, в Бразилии электронная переписка защищается в таком же порядке, что и обычная.

Что же касается остальной Южной Америки, там законопроекты о конфиденциальности персональных данных обычно рассматривают в течение нескольких месяцев, а то и лет.

Единственная страна, где требования о защите персональной информации в интернете выполняются в полном объеме? – это Аргентина.

Информация об экспертах

Елена Денисова , руководитель коммерческой практики, CLIFF. Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцией, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области. CLIFF - группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат - более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции - от разработки платежных систем до создания с нуля интернет-проектов разных направлений. Официальный сайт - www.cliff.ru

Конфиденциальность персональной информации

Положение о конфиденциальности персональных данных

ИНТЕРНЕТ САЙТА сайт

1. Общие положения

1.1 Настоящая Политика обработки персональных данных (далее - Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает общество с ограниченной ответственностью «ИнфоХит» (ИНН 6617023200, ОГРНИП 1136617001366) (далее - Оператор).

1.2 Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»).

1.3 Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом, размещенным на интернет-сайте Оператора – (далее - Сайт).

1.4 Оператор ведет свою деятельность по адресу: 624441, Свердловская обл., г. Краснотурьинск,ул. Пушкина, д. 4, офис 309.

1.5 Ответственным за организацию обработки персональных данных назначен Нигматулин Ринат Мансурович.

1.6 Контактные данные оператора:

1.7 Настоящая Политика действует в отношении всей информации, размещенной на Сайте Оператора, информации о Пользователе, а также в отношении персональных данных работников Оператора, его контрагентов и иных субъектов персональных данных, информация о которых обрабатывается Оператором.

1.8 Использование Сайта любым способом (чтение материалов, использование сервисов и иное) означает безоговорочное согласие Пользователя с Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с этими условиями, Пользователь должен воздержаться от использования Сайта и ни в коем случае не предоставлять Оператору свои персональные данные.

2. Используемые термины и определения

2.1 персональные данные - любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

2.2 оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3 обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.4 предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.5 уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.6 блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.7. пользователь – любое физическое лицо, которое находится на Сайте и использует Сайт любым образом, в том числе читает материалы, использует сервисы, либо иным образом вступающее в отношения с Оператором (направление писем по электронной почте и т.д.). Пользователь является субъектом персональных данных.

3. Цели обработки персональных данных

3.1 Оператор осуществляет обработку персональных данных для следующих целей:

3.1.1 для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

3.1.2 для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

3.1.3 для функционирования Сайта;

3.1.4 для ведения статистики посещения Сайта, поддержания работоспособности и улучшения сервисов и разделов Сайта, а также разработки новых сервисов и разделов Сайта;

3.1.5 для получения Пользователем персонализированной (таргетированной) рекламы;

3.1.7 для обработки и отправки Заказов Пользователя по электронной почте или доставкой физической версии продуктов на адрес Пользователя и для выполнения своих обязательств перед Пользователем;

3.1.8 для информирования клиента об акциях, скидках и специальных предложениях посредством электронных рассылок;

3.1.9 для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

4. Правовое основание обработки персональных данных

4.1 Правовым основанием обработки персональных данных является:

4.1.1 Законодательство Российской Федерации в области персональных данных основанное на Конституции Российской Федерации и международных договорах Российской Федерации и состоящем из ФЗ «О персональных данных» и других определяющих случаи и особенности обработки персональных данных федеральных законов;

4.1.2 Настоящая Политика.

4.1.3 Пользовательское соглашение, расположенное по адресу: .

5. Категории субъектов персональных данных и состав персональных данных

5.1.1 физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;

5.1.2 физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;

5.1.3 субъекты персональных данных, использующие Сайт любым способом.

5.2 По всем категориям субъектов персональных данных, персональные данные обрабатываются Оператором в рамках правоотношений с Оператором, урегулированных Гражданским Кодексом Российской Федерации и Трудовым Кодексом Российской Федерации

5.3 По всем категориям субъектов персональных данных, персональные данные обрабатываются Оператором, с согласия субъектов персональных данных, предоставляемого, либо в письменной форме, либо при совершении конклюдентных действий на Сайте.

5.4 Оператор обрабатывает следующие персональные данные субъектов персональных данных:

Фамилия, имя, отчество;

Номер контактного телефона;

Адрес электронной почты;

Страна проживания;

Город проживания;

Улица, дом проживания

Фотография;

Информация о наличии у Пользователя аккаунта (страницы) в социальных сетях, таких как Вконтакте, Facebook, Instagram и другие;

Информация о наличии у Пользователя аккаунта (страницы) в интернет-мессенжерах, таких как Whatsapp и Viber и другие;

Данные, автоматически передающиеся Оператору в процессе посещения и использования Сайта Оператора с помощью установленного на устройстве Пользователя программного обеспечения, в том числе: IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сайту), время доступа, адрес запрашиваемой страницы и иные.

5.5 Оператором могут обрабатываться иные персональные данные, непосредственно необходимые для выполнения целей обработки персональных данных.

6. Сроки обработки и хранения персональных данных

6.1 Оператор обрабатывает и хранит персональные данные до достижения оператором целей обработки персональных данных или до утраты необходимости в достижении этих целей.

6.2. Пользователь предоставляет Оператору право обработки, хранения и иных действий с его персональными данными, в том числе и после расторжения договора, заключенного с Оператором до момента отзыва Пользователем своего согласия. Такое заявление Пользователя должно быть направлено через нотариуса или по почте заказным письмом с уведомлением о вручении либо путем вручения заявления под расписку.

7. Информация об обработке персональных данных

7.1 Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.

7.2 Оператор в своей деятельности исходит из того, что Пользователь предоставляет свои персональные данные лично и по своей воле, во время взаимодействия с Оператором предоставляет точную и достоверную информацию, извещает Оператора об изменении своих персональных данных, либо самостоятельно контролирует их актуальность.

7.3 Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

7.4 Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

7.5 Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

7.6 Пользователь дает свое согласие, что его персональные данные будут включены в общедоступный источник персональных данных.

7.7 Обработка Оператором персональных данных Пользователя осуществляется в целях, установленных в Политике, и сама по себе не может повлечь каких-либо негативных последствий для Пользователя. При этом Оператор не несет ответственности за использование персональных данных Пользователя (как правомерное, так и неправомерное), размещенных в общедоступных разделах Сайта, третьими лицами и возможный причиненный в результате таких действий вред.

8. Сведения об обеспечении безопасности персональных данных

8.1 Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

8.2 Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

8.2.1 обеспечивает неограниченный доступ к Политике, копия которого размещена на Сайте Оператора по адресу - ;

8.2.2 во исполнение Политики разрабатывает локальные акты;

8.2.3 производит ознакомление своих работников с положениями законодательства о персональных данных, а также с Политикой и иными локальными актами, которые принимаются для ее исполнения;

8.2.4 осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;

8.2.5 устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;

8.2.6 производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным федеральным законом;

8.2.7 производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;

8.2.8 применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

8.2.9 осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8.2.10 производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;

8.2.11 осуществляет внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных», принятыми в соответствии с ними нормативными правовыми актами, требованиям к защите персональных данных, Политике и иным локальным актам, включающим контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.

9. Права субъектов персональных данных

9.1 Субъект персональных данных имеет право:

9.1.1 на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

9.1.2 на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

9.1.3 на отзыв данного им согласия на обработку персональных данных;

9.1.4 на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

9.1.5 на обжалование действий или бездействий Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

9.2 Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя, в том числе по электронной почте.

9.3 Запрос должен содержать сведения, указанные в ч. 3, 7 ст. 14 ФЗ «О персональных данных» и должен быть направлен по адресу, указанному в пункте 1.4 Политики, либо по адресу электронной почты, указанному в п.1.6. Политики.

10. Заключительные положения

10.1. Оператор вправе вносить изменения в настоящую Политику без согласия Пользователя.

10.2. Новая редакция Политики вступает в силу с момента ее опубликования на Сайте, если иное не предусмотрено новой редакцией Положения.

10.3. Все предложения или вопросы по настоящей Политике следует направлять по адресу электронной почты, указанному в п.1.6. Положения.

10.4. Действующая редакция Политики размещена на странице Сайта по адресу: .

Дата публикации 22.05.2017 г.

Администрация Интернет Сайта: ООО «ИнфоХит»

ИНН: 6617023200

Адрес: 624441, Свердловская обл., г. Краснотурьинск,ул. Пушкина, д. 4, офис 309.

Общество с ограниченной ответственностью «Аймрайт» признает важность конфиденциальности персональной информации своих клиентов. Как юридическая компания мы несем профессиональную обязанность по обеспечению режима конфиденциальности в отношении всей информации, получаемой в связи с оказанием услуг своим клиентам. Реализация данной обязанности регулируется Политикой конфиденциальности персональной информации (далее – «Политика конфиденциальности ») и законодательством Российской Федерации.

1.Общие принципы и дефиниции.

1.1 Политика конфиденциальности направлена на обеспечение неприкосновенности персональной информации лиц, обратившихся за юридическими услугами (далее – «Клиент » или «Клиенты ») к Обществу с ограниченной ответственностью «Аймрайт», ОГРН 1107847152962 (далее – «Компания »). Компания, все её сотрудники, привлеченные консультанты и адвокаты обязаны к обеспечению конфиденциальности персональной информации Клиентов Компании в соответствии с настоящей Политикой конфиденциальности, а также законодательством Российской Федерации. Компания обязуется не разглашать персональную информацию Клиентов, полученную в связи с оказанием юридических услуг, без письменного, устного или конклюдентного согласия последних. Обязанность по неразгалшению продолжает действовать и по завершении договорных отношений с Клиентом, в течение неопределенного периода времени. Режим конфиденциальности распространяется на бывших, нынешних и будущих Клиентов Компании, в том числе тех, кому было отказано в предоставлении услуг.

1.2 Персональная информация включает в себя информацию о Клиенте устно или письменно переданную Компании Клиентом или третьим лицом по поручению или без поручения Клиента, в связи с оказанием юридических услуг последнему. К персональной информации, среди прочего, относится следующая информация о Клиентах:

1.2.3. Имена и наименования, местожительства и местонахождение, контактная информация (включая адреса электронной почты, номера телефонов и факсов), реквизиты паспортов, включая семейное положение.

1.2.6. Факт визитов в офис Компании и обращения к услугам Компании.

1.3 Клиентом является любое лицо, которое обратилось к Компании за юридическими услугами в собственных интересах или в интересах третьего лица, независимо от того, каким образом оказывались услуги: по телефону, посредством факса, через электронную почту, лично или иным способом.

2.1 Компания обязуется не раскрывать персональную информацию своих Клиентов третьим лицам, включая информацию, которая сама по себе или в совокупности с общедоступной информацией может привести к идентификации Клиента. Данная обязанность также распространяется на лиц, которые вступили в контакт с Компанией, однако не обратились за оказанием услуг.

2.2. Компания обязуется не разглашать информацию о том, искал ли Клиент соответствующие юридические услуги, обращался ли за их получением, получает ли их в настоящее время.

2.3. Компания обязуется обеспечить неприкосновенность документов и иных материалов, полученных от Клиента, от третьих лиц. По завершении договорных отношений оригиналы соответствующих документов и материалов возвращаются Клиенту или остаются на хранении в Компании, а бумажные копии уничтожаются.

2.4. Компания принимает необходимые и достаточные организационные и технические меры для защиты персональной информации Клиента от неправомерного или случайного доступа, уничтожения, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

3. Использование персональной информации.

3.1. Компания обязуется использовать персональную информацию своих Клиентов только в целях оказания испрашиваемых юридических услуг. Компания не вправе использовать персональную информацию своих Клиентов в целях извлечения прибыли вне связи с оказанием юридических услуг соответствующему Клиенту, в том числе посредством использования инсайдерской информации на рынке ценных бумаг.

4. Раскрытие персональной информации.

4.1 Запрет на раскрытие персональной информации Клиентов третьим лицам не распространяется на следующие случаи:

4.1.1. Дача Клиентом устного, письменного или конклюдентного согласия на раскрытие информации. Под конклюдентным согласием понимается согласие, которое очевидно следует из действий Клиента, хотя и не выражено вербально.

4.1.2. Соответствующая информация является или стала общедоступной, в том числе посредством размещения в сети Интернет, либо соответствующая информация, хотя и не является общедоступной, но известна третьему лицу. В последней ситуации запрет на разглашение не распространяется только на такое третье лицо.

4.1.3. Компания обязана к раскрытию персональной информации Клиента в соответствии с нормативно- или индивидуально-правовым актом государственного или муниципального органа.

4.1.4. Раскрытие информации необходимо для исполнения Компанией своих обязанностей по оказанию юридических услуг Клиенту.

4.2. Компания обращает внимание на то, что в соответствии со ст. 11 Арбитражного процессуального кодекса РФ и ст. 10 Гражданского процессуального кодекса РФ судебное разбирательство в Российской Федерации является гласным и открытым, поэтому Компания не может гарантировать и не гарантирует конфиденциальность любых документов и сведений, имеющихся в материалах судебного дела. Это обстоятельство должно быть учтено Клиентом при обращении к государственным судебным механизмам защиты.

5. Изменение Политики конфиденциальности.

5.1. Компания имеет право вносить изменения в настоящую Политику конфиденциальности с уведомлением Клиентов посредством размещения действующей редакции Политики конфиденциальности в сети Интернет на сайте Компании — .

Все предложения или вопросы по поводу настоящей Политики конфиденциальности вы можете направить по электронной почте –

Конфиденциальность информации - понятие объемное. Оно охватывает разные отрасли экономики и сферы общественной жизни, для каждой из которых есть свои особенности правового регулирования. Предлагаем вашему вниманию обзор российского законодательства, который поможет разобраться в том, какие данные следует отнести к конфиденциальной информации и какие законы определяют сохранность конфиденциальности.

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Закон об информации), в широком понимании информация подразделяется на общедоступную информацию и информацию ограниченного доступа. В зависимости от порядка ее предоставления или распространения она подразделяется на:

• информацию, свободно распространяемую;
• информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
• информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
• информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Говоря о нормативном регулировании работы с информацией ограниченного доступа, важно помнить, что ограничения на доступ к такой информации устанавливаются только федеральными законами (ст. 5, п. 2 Закона об информации). Законодательно установлено, что информация ограниченного доступа может составлять государственную тайну или относиться к конфиденциальной информации.

Законодательство РФ в области государственной тайны и конфиденциальной информации

Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации регулируются Законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне». К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В Законе об информации дается определение конфиденциальности информации , под которым понимается обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Виды конфиденциальной информации

Виды конфиденциальной информации установлены Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». К ней относятся:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Секрет производства (ноу-хау), то есть сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности.

Персональные данные

Нормативно-правовые акты:

• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
• Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
• Трудовой кодекс Российской Федерации
• Федеральный закон от 15 ноября 1997 г. № 143-ФЗ «Об актах гражданского состояния»
• Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63- ФЗ

В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Законом об информации (ст. 11) установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Порядок обработки персональных данных в рамках трудовых отношений установлен Трудовым кодексом Российской Федерации (глава 14), где, в частности, говорится, что работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Положение о неразглашении персональных данных содержится и в Федеральном законе «Об актах гражданского состояния» от 15 ноября 1997 г. № 143-ФЗ, где говорится о том, что сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, в том числе персональные данные, являются информацией, доступ к которой ограничен в соответствии с федеральными законами, и разглашению не подлежат (ст. 12).

Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ (ст. 137) предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Сведения, составляющие тайну следствия и судопроизводства

Нормативно-правовые акты:

• Уголовно-процессуальный кодекс Российской Федерации от 18.12.2001 г. № 174-ФЗ

Положения о недопустимости разглашения следственных данных установлены, в частности, Уголовно-процессуальным кодексом Российской Федерации от 18.12.2001 г. № 174-ФЗ. Так, в ст. 161-162 определено, что данные предварительного расследования не подлежат разглашению . Они могут быть преданы огласке лишь с разрешения прокурора, следователя, дознавателя и только в том объеме, в каком ими будет признано это допустимым, если разглашение не противоречит интересам предварительного расследования и не связано с нарушением прав и законных интересов участников уголовного судопроизводства.

Разглашение данных о частной жизни участников уголовного судопроизводства без их согласия не допускается. Разглашение данных предварительного расследования лицом, предупрежденным в установленном законом порядке о недопустимости их разглашения, если оно совершено без согласия прокурора, следователя или лица, производящего дознание, влечет уголовную ответственность.

Служебная тайна

Нормативно-правовые акты:

• Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
• Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»

Служебные сведения ограниченного доступа (служебная тайна) составляют один из видов конфиденциальной информации. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 определяет служебную тайну как служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

Постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» установлен порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии, а также на подведомственных им предприятиях, в учреждениях и организациях.

Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, утвержденное указанным документом, относит к служебной информации ограниченного распространения несекретную информацию, касающуюся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. Положение также устанавливает порядок организации документооборота документов ограниченного распространения.

Важно! На документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования».

Сведения, связанные с профессиональной деятельностью

Нормативно-правовые акты:

• Федеральный закон от 31 мая 2002 г. № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»
• Основы законодательства Российской Федерации о нотариате от 11 февраля 1993 г. № 4462-1
• Федеральный закон от 21ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
• Федеральный закон от 17 июля 1999 г. № 176-ФЗ «О почтовой связи»
• Уголовный кодекс Российской Федерации

К конфиденциальной информации относятся сведения, связанные с профессиональной деятельностью: врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др.

Порядок обращения и порядок доступа к информации, составляющей различные виды профессиональной тайны, регламентируется рядом законодательных актов Российской Федерации. Как правило, это законодательные акты, регулирующие отношения в определенных сферах деятельности.

Адвокатская тайна. Например, Федеральный закон от 31 мая 2002 г. № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» содержит ст. 8 «Адвокатская тайна», в которой установлено, что адвокатской тайной являются любые сведения, связанные с оказанием адвокатом юридической помощи своему доверителю. В связи с этим адвокат не может быть вызван и допрошен в качестве свидетеля об обстоятельствах, ставших ему известными в связи с обращением к нему за юридической помощью или в связи с ее оказанием.

Нотариальная тайна. Основами законодательства Российской Федерации о нотариате от 11 февраля 1993 г. № 4462-1 (ст. 5) установлено, что при исполнении служебных обязанностей нотариусу, а также лицам, работающим в нотариальной конторе, запрещается разглашать сведения, оглашать документы, которые стали им известны в связи с совершением нотариальных действий, в том числе и после сложения полномочий, или увольнения, за исключением случаев, предусмотренных в документе. Сведения (документы) о совершенных нотариальных действиях могут выдаваться только лицам, от имени или по поручению которых совершены эти действия.

Врачебная тайна. В Федеральном законе от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» в ст. 13 «Соблюдение врачебной тайны» установлено, что информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных законом.

Тайна переписки. Федеральный закон от 17 июля 1999 г. № 176-ФЗ «О почтовой связи» (ст. 15) содержит положения, направленные на защиту тайны связи: тайны переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи. Тайна связи не подлежит разглашению без согласия пользователя услуг почтовой связи. Все операторы почтовой связи обязаны обеспечивать соблюдение тайны связи. Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях, почтовых переводах денежных средств, телеграфных и иных сообщениях, входящих в сферу деятельности операторов почтовой связи, а также сами эти почтовые отправления, переводимые денежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений в соответствии с Уголовным кодексом Российской Федерации (ст. 138) влечет уголовную ответственность.

Сведения, связанные с коммерческой деятельностью

Нормативно-правовые акты:

Сведения, связанные с коммерческой деятельностью, доступ к которым ограничивается, составляет коммерческую тайну. Определение коммерческой тайны дает Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне». Под коммерческой тайной понимается конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Закон «О коммерческой тайне» устанавливает виды информации, которая не может составлять коммерческую тайну . Это информация, содержащаяся:

• в учредительных документах юридического лица;
• документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
• в документах, дающих право на осуществление предпринимательской деятельности;
• в документах о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
• в документах о загрязнении окружающей среды;
• в документах о состоянии противопожарной безопасности;
• в документах о санитарно-эпидемиологической и радиационной обстановке;
• в документах о безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов;
• в документах о безопасности каждого гражданина и безопасности населения в целом;
• в документах о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест и др.

Закон устанавливает меры организационного характера, обеспечивающие защиту документов, содержащих коммерческую тайну, от несанкционированного доступа. В том числе законом установлен гриф ограничения доступа к документам, содержащим коммерческую тайну: «Коммерческая тайна».

Секрет производства (ноу-хау)

Нормативно-правовые акты:

• Гражданский кодекс Российской Федерации
• Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»

Последним видом рассматриваемой нами конфиденциальной информации является секрет производства (ноу-хау). Статья 1465 ГК определяет секрет производства (ноу-хау) как сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

В настоящее время проводится реформа гражданского законодательства. Проектом ГК РФ предлагается изменить содержание понятия секрета производства. В связи с поправками к Гражданскому кодексу РФ о секрете производства соответствующие изменения будут вноситься и в Федеральный закон от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне». В результате этого применение режима коммерческой тайны станет возможным не только в отношении секретов производства, но и тех сведений, которые не являются оборотоспособными, но обладают коммерческой ценностью вследствие их неизвестности третьим лицам.

В.Ф. Янковая

заместитель директора ВНИИДАД

//www.сайт/howto/konfidetntsialnost_personalnoy_informatsii/

Конфиденциальность персональной информации.

Конфиденциальность персональной информации.

1. Предоставление информации Клиентом:

1.1. При регистрации на сайте сайт (далее - "Сайт") Клиент предоставляет следующую информацию:

Фамилия, Имя, адрес электронной почты. При оформлении Заказа Клиент может предоставить следующую информацию: фамилия, имя, отчество получателя Заказа, адрес для доставки Заказа, номер контактного телефона.

1.2. Предоставляя свои персональные данные Клиент соглашается на их обработку (вплоть до отзыва Клиентом своего согласия на обработку его персональных данных) компанией ООО "Евразийский торговый дом (далее - "Продавец"), в целях исполнения Продавцом и/или его партнерами своих обязательств перед клиентом, продажи товаров и предоставления услуг, предоставления справочной информации, а также в целях продвижения товаров, работ и услуг, а также соглашается на получение сообщений рекламно-информационного характера и сервисных сообщений. При обработке персональных данных Клиента Продавец руководствуется Федеральным законом "О персональных данных", Федеральным законом "О рекламе" и локальными нормативными документами.

1.2.1. Если Клиент желает уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, либо в случае желания клиента отозвать свое согласие на обработку персональных данных или устранения неправомерных действий ООО "Евразийский торговый дом в отношении его персональных данных то он должен направить официальный запрос Продавцу в порядке, предусмотренном Политикой ООО "Евразийский торговый дом в отношении обработки персональных данных.

Если Клиент желает удалить свою учетную запись на Сайте, Клиент обращается к нам удобным способом - по телефону или пишет в контактную форму - https://www.. просьбу. Данное действие не подразумевает отзыв согласия Клиента на обработку его персональных данных, который согласно действующему законодательству происходит в порядке, предусмотренном абзацем 1 настоящего пункта.

1.3. Использование информации предоставленной Клиентом и получаемой Продавцом.

1.3.1 Продавец использует предоставленные Клиентом данные в течение всего срока регистрации Клиента на Сайте в целях:

- регистрации/авторизации Клиента на Сайте;
- обработки Заказов Клиента и для выполнения своих обязательств перед Клиентом;
для осуществления деятельности по продвижению товаров и услуг;
- оценки и анализа работы Сайта;
- определения победителя в акциях, проводимых Продавцом;
- анализа покупательских особенностей Клиента и предоставления персональных рекомендаций;
- информирования клиента об акциях, скидках и специальных предложениях посредством электронных и СМС-рассылок.
1.3.2. Продавец вправе направлять Клиенту сообщения рекламно-информационного характера. Если Клиент не желает получать сообщения рекламно-информационного характера от Продавца, он должен изменить соответствующие настройки подписки в соответствующем разделе Личного кабинета. С момента изменения указанных настроек получение рассылок Продавца возможно в течение 3 дней, что обусловлено особенностями работы и взаимодействия информационных систем, а так же условиями договоров с контрагентами, осуществляющими в интересах Продавца рассылки сообщений рекламно-информационного характера. Отказ Клиента от получения сервисных сообщений невозможен по техническим причинам. Сервисными сообщениями являются направляемые на адрес электронной почты, указанный при регистрации на Сайте, а также посредством смс-сообщений и/или push-уведомлений и через Службу по работе с клиентами на номер телефона, указанный при регистрации и/или при оформлении Заказа, о состоянии Заказа, товарах в корзине Клиента и/или добавленных Клиентом в "Избранное".

2. Предоставление и передача информации, полученной Продавцом:

2.1. Продавец обязуется не передавать полученную от Клиента информацию третьим лицам. Не считается нарушением предоставление Продавцом информации агентам и третьим лицам, действующим на основании договора с Продавцом, для исполнения обязательств перед Клиентом и только в рамках договоров. Не считается нарушением настоящего пункта передача Продавцом третьим лицам данных о Клиенте в обезличенной форме в целях оценки и анализа работы Сайта, анализа покупательских особенностей Клиента и предоставления персональных рекомендаций.

2.2. Не считается нарушением обязательств передача информации в соответствии с обоснованными и применимыми требованиями законодательства Российской Федерации.

2.3. Продавец вправе использовать технологию "cookies". "Cookies" не содержат конфиденциальную информацию и не передаются третьим лицам.

2.4. Продавец получает информацию об ip-адресе посетителя Сайта www.сайт и сведения о том, по ссылке с какого интернет-сайта посетитель пришел. Данная информация не используется для установления личности посетителя.

2.5. Продавец не несет ответственности за сведения, предоставленные Клиентом на Сайте в общедоступной форме.

2.6. Продавец при обработке персональных данных принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, а также от иных неправомерных действий в отношении персональных данных.

2.7. Более полная информация о политике ООО "Евразийский торговый дом в отношении обработки .

3. Хранение и использование информации Клиентом

3.1..

3.2. Клиент обязуется обеспечить должную осмотрительность при хранении и использовании логина и пароля (в том числе, но не ограничиваясь: использовать лицензионные антивирусные программы, использовать сложные буквенно-цифровые сочетания при создании пароля, не предоставлять в распоряжение третьих лиц компьютер или иное оборудование с введенными на нем логином и паролем Клиента и т.п.)

3.3. В случае возникновения у Продавца подозрений относительно использования учетной записи Клиента третьим лицом или вредоносным программным обеспечением Продавец вправе в одностороннем порядке изменить пароль Клиента.