Личные данные в интернете

on

Скандалы с утечкой персональных данных следуют один за другим. Сразу после появления в Сети фотографий интимного содержания американских звезд появилось сообщение об открытом доступе к паролям от электронной почты «Яндекса» и Mail.ru. В комментариях обе компании переложили ответственность на пользователей аккаунтов, посетовав на их легкомысленность.

Многие уверены, что злоумышленники в сети Интернет «охотятся» исключительно за данными богатых и знаменитых. Но это не так. Персональные данные обычных пользователей, попадая в руки мошенников, позволяют им извлекать неправомерную выгоду.

Содержание

Персональная информация: что это?

ФЗ «О персональных данных» называет так сведения, позволяющие идентифицировать человека (пользователя Интернета). Это фамилия, имя, отчество, полная дата рождения, место жительства, серия и номер паспорта, место работы. А вот пароль от Интернет-аккаунта к персональным данным не относится, поскольку личность пользователя не идентифицирует.

На обнародование данных (телефона, адреса электронной почты) требуется согласие пользователя. Аналогично по запросу гражданина информация удаляется из общего доступа.

Где и как хранится информация?

Серверы большинства Интернет-компаний расположены в США. Mail.Ru Group – собственник пяти дата-центров на территории РФ и арендатор иностранных серверов. «Яндекс» организовал дата-центр в Рязани, выкупив девять цехов завода «Саста». К 2020 году компания планирует установить на территории данного центра 100 000 серверов. Также «Яндекс» арендует серверы в Америке, Финляндии и Нидерландах.

Изменения, внесенные в ФЗ «О персональных данных», обязали компании обеспечить хранение данных российских пользователей Интернета в пределах страны. Поэтому ожидается увеличение количества российских дата-центров. Остается неясным отношение иностранных Интернет-корпораций к данному требованию. В средствах массовой информации периодически появляются сведения о переговорах властей по данному вопросу с Twitter, Facebook и Google.

Пути передачи личной информации

Личными данными граждане расплачиваются за бесплатное пользование Интернетом. Корпорации «Яндекс» и «Гугл» на основе анализа данных из разных источников определяют нужды пользователей. Их заработок зависит от рекламы. Поэтому от изучения запросов пользователя Сети зависит выбор транслируемых объявлений. Facebook отображает рекламную информацию, исходя из данных профиля пользователя и страниц, отмеченных пометкой «нравится».

Использование кнопок шейринга (репост, Pluso) позволяет компаниям получать больше данных пользователей, продажа которых рекламным компаниям приносит дополнительную прибыль.

При работе с сервисом пользователь соглашается с предложенными условиями использования его персональных данных. Сервисы получают доступ к данным, когда пользователь авторизуется или демонстрирует интерес, переходя по ссылкам и отмечая понравившиеся публикации.

Защиту персональной информации пользователей в Сети каждая Интернет-компания обеспечивает по-разному. «Яндекс» шифрует содержание электронных писем, персональные данные корреспондента и используемый логин и распределяет их по трем точкам, безопасность которых обеспечивается тремя группами системных администраторов. Для получения доступа к данным требуется согласованное участие сразу трех групп, что невозможно без проведения внутренних процедур. Попытка открытия несанкционированного доступа к данным пользователя автоматически логируется и передается в службу безопасности «Яндекса».

Кому и зачем нужна личная информация?

Пользуются персональными данными не только для установления личности, но и для мошенничества. Отсутствие защиты персональных данных провоцирует утечку и попадание информации в руки мошенников. Чаще всего встречаются:

  • подмена данных для выполнения определенных действий. Благодаря известным персональным данным, можно завести фейковый аккаунт в соцсети или провести мошенническую операцию;
  • получение финансовых данных пользователя: номеров кредиток, электронных кошельков, аккаунтов платных онлайн-игр. Для открытия доступа к денежным средствам требуется знание личных данных;
  • удаление персональных данных. Уничтожение личной информации пользователей блокирует работу сервиса, а полученная информация используется в преступных целях.

Пользуются персональными данными не только злоумышленники. Личными данными пользователей активно интересуются специалисты по таргетинговой рекламе. Главный источник получения сведений для данного вида рекламы – файлы cookie, которые передаются браузером пользователя на сервер таргетингового агентства.

Защита личной информации

Проконсультироваться относительно организации индивидуальной защиты личных данных стоит с сотрудниками компаний, специализирующихся на оказании услуг в данной отрасли. Также существует список общих рекомендаций, позволяющих защитить личные сведения самостоятельно.

Двойная аутентификация

Непонятное название, но работает этот механизм просто. Логин и пароль обеспечиваются двойной защитой:

  • стандартной комбинацией букв и цифр, которая охраняется на сервере;
  • специальным кодом, передаваемым на устройство, которым владеет только пользователь.

Например, после введения пароля в Интернет-банкинге на телефон приходит СМС с одноразовым кодом. Данный код вводится на сайте для входа в персональный кабинет.

Безопасная связь

Перед оплатой покупки в Интернете или выполнением других финансовых операций стоит отслеживать значок, появляющийся слева от строки адреса. Данный значок должен информировать пользователя о работе с зашифрованным соединением.

При отсутствии защиты соединения рекомендуется пользоваться дополнительными сервисами, которые перенаправят пользователя на HTTPS-версию сайта.

Генерация паролей

Создать сложный пароль – распространенный совет экспертов по безопасности персональных данных. Однако самостоятельно созданный пароль уступает сгенерированному специализированным сервисом. К тому же запомнить его непросто, а записывать в ежедневник – ненадежно.

Специализированные сервисы, называемые «менеджерами паролей», автоматически создают сложные пароли и сохраняют их на защищенных серверах. Поэтому не требуется запоминать данную комбинацию, сервис автоматически впишет ее в нужном месте. Данную услугу предоставляют приложения Enpass, 1Password, LastPass.

Контроль доступа сервисов к личной информации

Для пользователей мобильных устройств iOS и Android включена функция разрешения или запрета получения приложением персональных данных. Важно только не лениться и периодически проверять, к каким сведениям получает доступ скачанное приложение или игра. При появлении подозрительных запросов рекомендуется отказаться от установки и использования такого приложения.

Использование VPN при работе с общедоступными точками Wi-Fi

Пользуясь Интернетом в гостинице, на вокзале или в кафе через Wi-Fi соединение, рекомендуется включать VPN сервис, перенаправляющий трафик на собственный ресурс, выдавая «чистый» доступ, недоступный для незаконных манипуляций. Поскольку использование пароля не обеспечит полноценную защиту.

Установка лицензионного программного обеспечения

Защиту от вирусов и хакерских атак на домашних и рабочих ПК может обеспечить только лицензионная антивирусная программа, которую нужно своевременно обновлять. Перед установкой программ из Интернета или регистрацией на сервисах с введением персональных данных следует внимательно прочитать пользовательское соглашение, поскольку одним из его условий может быть обработка и использование личной информации.

Правильно доверять организацию защиты личной информации компаниям, предоставляющим такие услуги. Они владеют специальными методами защиты информации и помогут подобрать индивидуальную систему безопасности в зависимости от специфики работы компании-заказчика, типовых угроз. Такие компании организуют защиту сведений в облачном хранилище или на физическом сервере.

О персональных данных

Вопросы, касающиеся предоставления государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»

1. Вопрос: Каким образом для организации можно получить выписку из реестра операторов, осуществляющих обработку персональных данных? Что для этого требуется?

Ответ: Предоставление выписки из Реестра является одним из результатов предоставления государственной услуги — Ведение реестра операторов, осуществляющих обработку персональных данных, предоставление которой регламентировано Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным приказом Минкомсвязи России от 21.12.2011 № 346 (Зарегистрировано в Минюсте России 29.03.2012 № 23650) (далее – Административный регламент).

В соответствии с п.п. 102-103.2 Административного регламента заявители вправе получить выписку из Реестра на основании письменного заявления в Роскомнадзор (соответствующий территориальный орган Роскомнадзора) или заявления в электронной форме с Единого портала.

Выписка из Реестра предоставляется при наличии в заявлении наименования юридического лица, фамилии, имени, отчества (последнее — при наличии) физического лица, почтового адреса юридического лица, физического лица. Образец заявления на предоставление выписки из Реестра приведен в приложении № 4 к Административному регламенту.

Вопросы, касающиеся использования персональных данных на сайтах в сети «Интернет» без согласия субъекта персональных данных:

1. Вопрос : Что делать, если мои персональные данные размещены на сайтах в сети «Интернет» без моего согласия?
Ответ: В данном случае следует предоставить в адрес Управления Роскомнадзора соответствующее обращение. В целях объективного и полного рассмотрения необходимо указать следующую информацию:

1) перечень персональных данных, неправомерно обрабатываемых на сайтах в сети «Интернет»;

2) сведения о документе, удостоверяющем Вашу личность (копии страниц паспорта), для подтверждения принадлежности персональных данных, неправомерно размещенных на сайтах в сети «Интернет», к Вам, как к субъекту персональных данных;

3) точные и доступные адреса страниц сайтов (указатели страниц сайтов в сети «Интернет» — URL), содержащие незаконно обрабатываемые (размещённые) персональные данные, позволяющие осуществить просмотр данных страниц Управлением, а также снимки экрана с данными страницами, содержащие в себе полный адрес страницы сайта (URL) и даты публикации постов/сообщений, содержащих незаконно обрабатываемые (размещённые) персональные данные на текущий момент времени (дата) и другие сведения, подтверждающие нарушения требований законодательства в области персональных данных (видеозапись экрана с действиями, позволяющими зафиксировать нарушения и т.п.);

4) сведения, уполномочивающие Вас представлять интересы физических лиц (копии доверенностей), персональные данные которых размещены на сайтах (в случае нарушения их прав как субъектов персональных данных).

Дополнительно следует представить (при наличии):

— сведения, подтверждающие факт направления Вами в адрес администрации сайта (далее — оператор) требования об уничтожении Ваших персональных данных с указанием на их незаконное получение (без согласия) оператором или с указанием того, что они не являются необходимыми для заявленной цели обработки (представляется при возможности направления указанного требования);

— ответ оператора на Ваше требование об уничтожении Ваших персональных данных (при наличии).

Обращаем внимание на то, что все имеющиеся сведения должны быть представлены в адрес Управления единовременно.

При размещении персональных данных в публичных сообществах социальных сетей следует разграничить вопросы защиты персональных данных и защиты чести, достоинства и деловой репутации.

Вопросы защиты чести, достоинства и деловой репутации решаются в порядке, установленным гражданским судопроизводством. Для чего гражданину необходимо обратиться в суд за защитой своих прав, свобод и интересов.

Вопросы, касающиеся выявленных фактов мошенничества

1. Вопрос: Рассматривает ли Роскомнадзор обращения граждан, в которых сообщается о действиях мошенников/аферистов/субъектах, распространяющих поддельные документы, программное обеспечение и т.д.?

Ответ: Рассмотрение дел, содержащих в себе признаки мошенничества (незаконное списание денежных средств и т.п.), в том числе рассмотрение обращений, относительно деятельности мошеннических интернет-ресурсов, а также дел о продаже поддельных документов и программного обеспечения, не входит в полномочия Управления, так как делами такого рода занимаются правоохранительные органы.

При поступлении в Управление обращений, содержащих в себе вышеуказанные вопросы, данные обращения перенаправляются в Министерство Внутренних Дел Российской Федерации для рассмотрения поставленных вопросов в пределах установленной законом компетенции.

О создании, распространении и использовании запрещенной информации и других противоправных действиях в сети «Интернет» Вы можете сообщить в общественную приемную МВД России на официальном сайте по адресу: http://mvd.ru/request_main.

2. Вопрос: Рассматривает ли Роскомнадзор обращения граждан, в которых сообщается о деятельности Интернет-казино?

Ответ: Расследование противоправной деятельности входит в компетенцию Министерства внутренних дел Российской Федерации. О создании, распространении и использовании запрещенной информации и других противоправных действиях в сети Интернет Вы можете сообщить в общественную приемную МВД России на официальном сайте по адресу: http://mvd.ru/request_main.

Вопросы, касающиеся использования персональных данных ребенка:

1. Вопрос: Достаточно ли подписи одного родителя в согласии на обработку персональных данных ребенка? Как быть в ситуации, когда родитель категорически отказывается подписывать согласие на обработку персональных данных?

Ответ: В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» допускается обработка персональных данных, в том числе:

— если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций полномочий обязанностей;

— если обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, согласие на обработку персональных данных ребенка требуется только в том случае, если осуществляется обработка персональных данных, не совместимая с образовательными целями, либо не подпадает под действие п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В случае необходимости получения согласия на обработку персональных данных ребенка в письменной форме, достаточно подписи одного из родителей, ввиду того, что в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации, родители имеют равные права и несут равные обязанности в отношении своих детей.

2. Вопрос: Возможно ли размещать на сайте образовательного учреждения персональные данные детей, а также фото с мероприятий?

Ответ: Основополагающим принципом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») является осуществление обработки персональных данных на законной и справедливой основе, ограничиваясь достижением заранее определенных и законных целей. При этом не допускается обработка персональных данных, несовместимая с заранее определенными и заявленными целями сбора.

Таким образом, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем обрабатываемых персональных данных не должны быть избыточными, а строго соответствовать заявленным целям обработки.

Обращаем Ваше внимание на то, что законодательство в области персональных данных определяет два понятия «предоставления» персональных данных и их «распространения».

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Для выполнения образовательных целей достаточно предоставления информации.

В связи с вышеизложенным, в целях недопущения нарушения прав несовершеннолетних и их законных представителей, рекомендуется исключить публикацию их персональных данных (в том числе фотографий) на сайтах образовательных учреждений в открытом доступе.

Для обеспечения предоставления персональных данных в соответствии с заявленными целями обработки, рекомендуем использовать такие сервисы, в которых доступ к определенной информации имеют только зарегистрированные пользователи согласно назначенных прав. Данный функционал возможно реализовать, например, в системе «Электронный дневник».

3. Вопрос: Возможна ли публикация персональных данных педагогов на официальных сайтах образовательных учреждений без их согласия?

Ответ: В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» допускается обработка персональных данных, в том числе:

— если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций полномочий обязанностей;

— если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Статьей 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» предусмотрено, что образовательные организации формируют открытые и общедоступные информационные ресурсы, содержащие информацию об их деятельности, и обеспечивают доступ к таким ресурсам посредством размещения их в информационно-телекоммуникационных сетях, в том числе на официальном сайте образовательной организации в сети «Интернет». Образовательные организации обеспечивают открытость и доступность, в том числе, о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.

Кроме того, Правилами размещения на официальном сайте образовательной организации в информационно – телекоммуникационной сети «Интернет» и обновления информации об образовательной организации», утвержденными Постановлением Правительства Российской Федерации от 10.07.2013 № 582, конкретизирован характер информации, подлежащей размещению на официальном сайте.

Так, образовательное учреждение вправе без согласия на обработку персональных данных размещать на своем официальном сайте следующее: информацию о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе: фамилия, имя, отчество (при наличии) руководителя, его заместителей; должность руководителя, его заместителей; контактные телефоны; адрес электронной почты; о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника; занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при наличии); ученое звание (при наличии); наименование направления подготовки и (или) специальности; данные о повышении квалификации и (или) профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по специальности.

4. Вопрос: Допускается ли размещение на сайте образовательного учреждения размещение благодарностей и поздравлений родителям за активное участие в конкурсах и мероприятиях?

Ответ: Размещение такой информации допускается, на усмотрение родителей, при условии отсутствия в таких благодарностях и поздравлениях персональных данных несовершеннолетних.

Вопросы, касающиеся работы банковких и коллекторских организаций

1. Вопрос: Разъяснения о правомерности телефонных звонков третьим лицам с целью возврата просроченной кредитоской задолженности.

Ответ: В последнее время участились случаи поступления в Роскомнадзор обращений граждан по вопросу осуществления кредиторами (или лицами, действующими по поручению кредитора) телефонных звонков с целью принудить третьи лица выплатить кредиторскую задолженность.

В связи с этим Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных считает необходимым разъяснить следующее.

При осуществлении мер, направленных на взыскание просроченной кредиторской задолженности, кредиторы (а также лица, действующие от их имени)прибегают к различным способам установления информации о должнике, в том числе совершают звонки в адрес третьих лиц. Это могут быть члены семьи должника, родственники, иные проживающие с должником лица, соседи и любые другие физические лица. При этом звонившие не обращают внимание на необходимость одновременного соблюдения условий, которые позволяют считать такие звонки законными. Взаимодействие кредиторов с любыми третьими лицами возможно только в случае:

1. наличия согласия должника на осуществление взаимодействия с третьим лицом, направленного на возврат просроченной задолженности;

2. третьим лицом не выражено несогласие на осуществление с ним взаимодействия.

Таким образом, все действия кредиторов (или лиц, действующих по поручению кредитора) в отношении третьих лиц, предпринимаемые в отсутствии их волеизъявления, являются незаконными.

В случае выявления подобных фактов граждане вправе обратиться в Роскомнадзор, приложив соответствующие материалы, для принятия, при наличии оснований, мер реагирования.

Время публикации: 08.07.2013 13:20
Последнее изменение: 12.08.2020 14:53

Что такое данные PII?

Как ни старайтесь, но никуда не денешься от предоставления личных данных на сайтах интернет-магазинов, удаленных сервисов или просто оплачивая налоги. Не важно, заказываете ли вы что-либо, делитесь фотографиями или конфиденциальной информацией со своей семьей, вам абсолютно необходимо знать, как защитить ваши личные данные во всех подобных случаях.

Персональные данные, или PII, — это характеристика, присваиваемая любым данным, которые могут идентифицировать конкретного человека. Ваш адрес, адрес электронной почты и номер телефона в традиционном смысле считаются данными PII, но вам нужно помнить и о такой скрытой информации, идентифицирующей вас в Интернете, как IP-адреса, подключенные устройства и страницы социальных сетей. По мере активизации использования идентификаторов лиц и отпечатков пальцев биометрические данные также добавляются в список конфиденциальной информации, которую вы храните в Интернете.

Риски для личной информации в Интернете

Ежегодно 1 из 10 американцев становится жертвой мошенничества в результате использования личных данных. Этот факт говорит о том, что по мере перехода различных сторон нашей жизни онлайн киберпреступность становится все более распространенной. Вот лишь некоторые из угроз, с которыми мы все сталкиваемся онлайн:

Брокеры данных

Брокеры данных — это одна из основных проблем, которая практически не является нарушением закона. В этом случае вы неизменно сталкивались с рекламой в Интернете, которая, как представляется, идеально отражает ваши последние запросы или основные интересы. Это связано с тем, что брокеры данных тщательно просматривали всю информацию о вас в сети и продавали эти данные компаниям. Конечно, рекламные компании больше интересуются вашим возрастом, полом и имеющимся в вашем свободном распоряжении доходом, чем вашим адресом или номером телефона, но они по-прежнему используют эту информацию для таргетинга в отношении конкретных профилей клиентов.

Кража личных данных

Возможны различные варианты использования украденных личных данных: от регистрации кредитной карты на ваше имя до эмоционального шантажа кого-то другого с помощью вашего фото. Последнее называют «кэтфишинг». Звучит шокирующе, но угроза кражи идентификационных данных реальна с момента присвоения вам номера социального страхования, и цифры показывают, что этот тип киберпреступности набирает обороты.

Фишинг

Фишинг — это вид мошенничества, когда с вами связывается человек, притворяющийся представителем законного бизнеса, финансового учреждения или государственного органа. Обычно это попытка получения номера банковских счетов или учетных данных. Классический пример такого случая — иностранный принц или чиновник, нуждающийся в доступе к локальной учетной записи в США для «хранения важных данных». Сейчас такие случаи воспринимаются скорее как шутка, но мошенничество стало более изощренным, и все, что нужно киберпреступнику для начала, это ваш адрес электронной почты или номер мобильного телефона.

Что могут сделать киберпреступники с моей личной информацией?

Помимо вышеизложенного, где указано, что ваша информация может быть продана, использована ложно или против вас, онлайн-хакеры и воры также могут:

  • покупать вещи онлайн, используя номера карт;
  • подавать заявку на займы, создавая вам плохую кредитную историю;
  • обманным путем требовать деньги, используя ваши контакты;
  • завладеть вашими аккаунтами и заблокировать или шантажировать вас.

Как защитить вашу информацию онлайн

В зависимости от платформы, существуют разные способы защиты вашей информации и повышения вашей кибербезопасности:

В электронной почте

Старайтесь не раскрывать важную информацию в адресе своей электронной почты, даже если это стало нормой. Например, о том, что Джон Доу родился в 1990 году, легко догадаться по johndoe90@mail.com. Не отправляйте важную информацию и документы по электронной почте, если вы можете избежать этого. Но если все же пришлось, то после этого удалите все их следы из своей учетной записи (в папках отправленной почты, исходящих сообщений, облачном хранилище и т. д.).

Вы также ни в коем случае не должны открывать электронные письма, если не уверены в отправителе, и, конечно, никогда не загружайте вложения из таких писем. Если официальная организация отправляет вам электронное письмо с просьбой загрузить что-то или поделиться информацией, вам следует позвонить ей напрямую, чтобы подтвердить этот запрос: обычно электронное письмо не отправляют, чтобы инициировать переписку.

В социальных сетях

Социальные сети часто являются небезопасным способом представить себя в Интернете. Бегло просмотрев страничку, можно узнать всевозможную личную информацию, от вашего местоположения и возраста до вашей работы, рабочего времени и даже периодов, когда вы находитесь в отпуске, что может оставить вас беззащитным перед кражей со взломом.

Убедитесь, что вы знакомы со всеми настройками конфиденциальности данных в своей учетной записи, и установите конфиденциальность там, где это возможно. В случаях, когда это невозможно, убедитесь, что вы не слишком много информации представляете в свободном доступе: например, вы можете загрузить отпускные снимки после возвращения из отпуска. Обязательно убедитесь, что в ваших селфи и фотографиях нет конфиденциальной информации. Вы будете удивлены, обнаружив, насколько целеустремленны и изобретательны преступники, когда дело доходит до поиска интересующей их информации о вас.

В интернет-магазинах

У каждого из нас есть любимый интернет-магазин, которым мы пользуемся регулярно, и каждый раз вводить свои данные может быть утомительно, но это того стоит. Если вы сохраняете данные своей карты в Интернете, тогда все, что нужно для преступников, — это ваш адрес и пароль электронной почты для свободного управления вашими финансами. Это относится и к вашему веб-браузеру: если вы сохраните данные своей карты в браузере, любой, кто сможет получить доступ к вашему профилю пользователя браузера, получит доступ и к ним.

В случае использования кредитных карт и онлайн-банкинга

Принимая во внимание вышесказанное, выясните: если вам нужно использовать свою карту онлайн для покупки или бронирования, не может ли ваш банк предложить дополнительные меры безопасности. Важная подсказка по безопасности: ваш банк, вероятно, предложит многофакторную аутентификацию. Это когда простого ввода пароля недостаточно, требуется еще один шаг, например уникальный номер пользователя или вход в систему с нескольких устройств. Таким образом, даже если злоумышленник узнает ваш пароль, номер телефона, дату рождения и т. д., он не сможет достичь цели, если у него не будет вашего телефона.

При использовании паролей

Как бы трудно это ни казалось, постарайтесь не использовать один и тот же пароль для всех ваших учетных записей. Человек не хочет или даже не может запомнить дюжину различных надежных паролей, но вы должны по крайней мере хранить отдельные пароли для своего аккаунта электронной почты и любого сайта, который использует данные вашей кредитной карты. Используйте онлайн-проверку паролей, чтобы убедиться, что пароль максимально надежный, или, что еще лучше, используйте менеджер паролей для безопасного входа на все ваши устройства и платформы.

Делайте резервное копирование данных

Возможно, вы случайно загрузили сомнительное вложение или допустили оплошность в соблюдении безопасности, и на ваш компьютер попала программа-шантажист или вредоносная программа. Программа-шантажист — это вирус, который блокирует доступ к вашим файлам. Он будет восстановлен только в том случае, если вы заплатите выкуп, — это категорически не рекомендует ФБР.

Хотя существуют программы, которые могут стереть исходный вирус с вашего компьютера, есть вероятность, что вы не сможете восстановить свои файлы. Но пока у вас есть резервная копия в автономном режиме на внешнем жестком диске или в Интернете в надежном облачном хранилище, таком как Dropbox, ваши файлы будут по-прежнему доступны и в безопасности.

Защита детей онлайн

Вопрос безопасности вдвойне важен, если у вас есть дети. Вот несколько советов, чтобы вы могли убедиться, что ваши дети в безопасности в Интернете:

Отслеживайте их контакты в социальных сетях

Киберпреступники очень хорошо обладают умением манипулировать и будут изображать из себя ребенка такого же возраста, чтобы завоевать доверие другого ребенка. При наличии достаточного времени эта фальшивая дружба может дойти до того, что ребенок с удовольствием расскажет о себе ключевую информацию. Создайте обстановку в своем доме, позволяющую часто и открыто говорить о том, что ваш ребенок делает в Интернете.

Создайте отдельную учетную запись или заведите другой компьютер

Возможно, вы делаете все возможное, чтобы защитить ваш компьютер от угроз, но несколько минут в руках неопытного подростка могут все это свести на нет. Если вы хотите сохранить свои файлы и настройки в безопасности, вам следует иметь семейный ПК и свой отдельный рабочий компьютер или, по крайней мере, отдельные учетные записи для вас и вашего ребенка.

Следите за своим подходом

Как уже упоминалось, общение является ключевым в вопросах безопасности, когда речь заходит о детях. Не судите слишком резко о чем-либо и не объявляйте определенные идеи запрещенными: таким образом вы провоцируете протестное поведение ребенка. Будьте откровенны, естественны и убедитесь, что ваш ребенок чувствует себя достаточно уверенно чтобы прийти к вам, если к нему обращается кто-то, кому он не доверяет в Интернете, или если он получил странное электронное письмо.

Дети рождаются в мире информационных технологий, поэтому не сводите меры онлайн-безопасности к разговорам в момент, когда дарите своему ребенку его первый смартфон. Убедитесь, что дети воспринимают этот вопрос настолько же серьезно, как и правила дорожного движения или взаимодействия с подозрительными незнакомцами, и никогда не забывайте об онлайн-безопасности вашей семьи и жилища.

Определения

1.1 Положение — настоящее «Положение о защите персональных данных в АО «БАЙЕР»»;
1.2 Директива / Корпоративная директива — Директива концерна «Байер» «Защита информации и персональных данных в Концерне «Байер»»;
1.3 Закон / Федеральный закон — Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
1.4 Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.5 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках Директивы, оператором является АО «БАЙЕР»;
1.6 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.7 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.8 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.9 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.10 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);
1.11 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.12 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.13 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.14 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.15 Специальные категории персональных данных – особые категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, членства в профсоюзах, состояния здоровья и интимной жизни.
1.16 Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
1.17 Общедоступные источники персональных данных – общедоступные источники данных, в которые с письменного согласия субъекта персональных данных могут включаться персональные данные, сообщаемые субъектом персональных данных.
1.18 Ответственный за организацию обработки персональных данных – физическое или юридическое лицо, назначаемое АО «БАЙЕР» ответственным за организацию обработки персональных данных.
1.19 Подразделение-инициатор — подразделение Оператора, принимающее решение об обработке персональных данных и организующее обработку персональных данных в рамках подразделения.

Общие принципы обработки персональных данных

2.1 Ограничения обработки данных
Обработка персональных данных разрешена только с согласия Субъекта персональных данных или если такая обработка разрешена применимым законодательством по месту обработки информации без согласия субъекта.
Согласие должно быть получено в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом.
В соответствии с Федеральным законом письменная форма согласия субъекта персональных данных, должна включать в себя, в частности:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. при получении согласия от представителя субъекта персональных данных: фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
  3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  4. цель обработки персональных данных;
  5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом;
  9. подпись субъекта персональных данных.
    Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом файлом уникальной электронной подписи.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии предусмотренных законом оснований. Заключение о наличии оснований для продолжения обработки персональных данных после отзыва согласия дается юридическим отделом АО «БАЙЕР» ответственному за организацию обработки персональных данных компании.
Если персональные данные получены АО «БАЙЕР» не от субъекта персональных данных, Подразделение-инициатор до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

  1. наименование и адрес АО «БАЙЕР» или фамилию, имя, отчество его представителя;
  2. цель обработки персональных данных и её правовое основание;
  3. предполагаемые пользователи персональных данных;
  4. установленные Федеральным законом права субъекта персональных данных;
  5. источник получения персональных данных.

В соответствии с Федеральным законом компания освобождается от обязанности предоставлять субъекту персональных данных вышеперечисленные сведения, в частности, в следующих случаях:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных АО «БАЙЕР»;
  • персональные данные получены АО «БАЙЕР» на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
  • предоставление субъекту персональных данных вышеперечисленных сведений нарушает права и законные интересы третьих лиц.

Получение персональных данных не от субъектов персональных данных предварительно согласовывается руководителем подразделения инициатора с ответственным за организацию обработки персональных данных и юридическим отделом АО «БАЙЕР».

2.2 Цель сбора персональных данных

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Субъект персональных данных, давая согласие на обработку своих персональных данных, должен быть проинформирован о целях их обработки. Цели обработки должны быть включены в форму согласия субъекта персональных данных. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
Обработке подлежат персональные данные, которые отвечают целям их обработки.
В случаях получения данных от третьей стороны или другого подразделения концерна / АО «БАЙЕР» целевое назначение данных должно учитываться получателем при дальнейшей обработке и хранении. Целевое назначение персональных данных может быть изменено только в случае получения согласия субъекта персональных данных или допустимости такого изменения согласно местному законодательству соответствующей страны, из которой получены персональные данные.
2.3 Принцип минимальной достаточности обрабатываемых данных
Согласно требованиям Федерального законодательства РФ и Корпоративной Директивы персональные данные могут обрабатываться только в случае существования необходимости. Их содержание и объём должны соответствовать заявленным целям обработки, при этом объём не должен быть избыточным по отношению к заявленным целям. В случае возможности обезличивания данных, соответствующие меры должны быть приняты на самых ранних стадиях (например: проведения риск-анализа проекта или на стадии согласования и проверки контракта). Настоящее правило применяется, в частности, в отношении персональных данных исследуемых и пациентов при проведении клинических исследований.

2.4 Принцип актуальности и достоверности данных
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В случае необходимости, обеспечено удаление или уточнение неполных или неточных данных.
2.5 Сбор и обработка биометрических и персональных данных специальных категорий
С учётом правила преимущественной силы более строгих ограничений, АО «БАЙЕР», дополнительно к определенному законодательством РФ списку персональных данных специальных категорий, относит сведения о членстве в профсоюзах.
Обработка специальных категорий персональных данных запрещена за исключением, в частности, следующих случаев, помимо прочих:

  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных с соблюдением требований применимого законодательства;
  • персональные данные сделаны общедоступными субъектом персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медикосоциальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской федерации сохранять врачебную тайну.

Обработка персональных данных специальных категорий должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено Федеральным законом.
Обработка биометрических персональных данных может осуществляться только при наличии письменного согласия субъекта персональных данных.
Обработка биометрических и персональных данных специальных категорий может осуществляться только после согласования с ответственным за организацию обработки персональных данных АО «БАЙЕР», юридическим отделом и менеджером по информационной безопасности компании и / или руководителем отдела Информационных Технологий). Данная обработка влечёт принятие специальных мер защиты согласно требованиям Федерального законодательства и корпоративной политики (например, использование выделенных каналов связи или установка средств шифрования, ограничения физического доступа и т.п.).
2.6 Сроки обработки персональных данных
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, или если иное не установлено законодательством РФ или договором, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в такой обработке, если иное не предусмотрено законодательством РФ.
2.7 Передача, трансграничная передача персональных данных
Передача (распространение, предоставление, доступ) персональных данных возможна только в случаях, предусмотренных действующим законодательством Российской Федерации.
Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с действующим законодательством Российской Федерации.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • исполнения договора, стороной которого является субъект персональных данных.

Любая передача персональных данных возможна только при условии дополнительного соблюдения пункта 2.1 настоящего Положения и если это не противоречит требованиям Корпоративной Директивы.
2.8 Принятие решений, порождающих юридические последствия для субъектов персональных данных, на основании автоматизированной обработки персональных данных
Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, запрещено, за исключением случаев:

  • наличия согласия в письменной форме субъекта персональных данных на принятие решения на основании автоматизированной обработки данных;
  • предусмотренных Федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, разъяснить порядок защиты субъектом своих прав и законных интересов.
Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта о результатах рассмотрения такого возражения.

2.9 Защита персональных данных
Инициатор обработки персональных данных должен внедрить соответствующие технические и организационные меры для обеспечения надлежащего уровня защиты данных. Данное требование в наибольшей мере относится к компьютерному оборудованию (серверам и рабочим станциям), сетям и каналам коммуникаций, а также приложениям; меры должны быть внедрены в качестве элемента системы управления информационной безопасностью концерна «Байер». Обязательные меры, внедряемые для предотвращения неавторизованной обработки персональных данных, помимо прочего включают в себя средства контроля:

  • физического доступа к системам обработки данных;
  • логического доступа к системам обработки данных;
  • логического доступа к приложениям обработки данных;
  • ввода данных в системы обработки данных;
  • передачи данных с помощью средств передачи.

Помимо этого должны быть приняты соответствующие меры для защиты данных от случайного или неавторизованного удаления или потери. Полностью данные меры описаны во внедрённой в АО «БАЙЕР» Директиве «Информационная безопасность».
Разработка и внедрение новых локальных информационных систем, решений и баз данных, содержащих персональные данные, должны быть согласованы с менеджером по информационной безопасности, ответственным за обработку персональных данных и юридическим отделом АО «БАЙЕР» на самой ранней стадии (например: проведения риск-анализа проекта или на стадии согласования и проверки контракта).
2.10 Соблюдение конфиденциальности при обработке данных
В процессе обработки персональных данных могут участвовать только уполномоченные сотрудники, принявшие на себя обязательство соблюдать требования в отношении конфиденциальности данных. Запрещено использовать такие данные в личных целях или разглашать их неуполномоченным лицам. В контексте настоящей Инструкции «неуполномоченные лица» также включают в себя сотрудников, которым не требуется доступ к таким данным для выполнения служебных обязанностей. Обязательства по соблюдению конфиденциальности продолжают действовать после прекращения трудового договора.
2.11 Обработка персональных данных по договору
АО «БАЙЕР» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению АО «БАЙЕР», обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.
В поручении оператора (договоре) должны быть определены:

  • перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
  • цели обработки;
  • должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями Федерального закона и ответственность за несоблюдение таких требований.

Все поручения (договоры) на обработку персональных данных должны проходить экспертизу юридического отдела АО «БАЙЕР» на предмет соблюдения требований законодательства по обработке персональных данных.
АО «БАЙЕР» сохраняет контроль над обрабатываемыми по его поручению персональными данными и является контактным лицом для субъектов персональных данных.

Права субъекта персональных данных

3.1 Право на получение информации
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждения факта обработки персональных данных АО «БАЙЕР»;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников АО «БАЙЕР»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «БАЙЕР» или на основании Федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом N 152ФЗ или другими Федеральными законами.

Сведения предоставляются субъекту персональных данных или его представителю по его запросу либо обращении к Оператору или в иных случаях, установленных Законом,
Запрос должен содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных АО «БАЙЕР»;
  • подпись субъекта персональных данных или его представителя.

Субъект персональных данных вправе обратиться повторно к АО «БАЙЕР» или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Законом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. АО «БАЙЕР» вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям Закона.
Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, ограничено случаями, предусмотренными ч.8 ст.14 Закона.
3.2 Право требовать уточнения или исправления данных
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.3 Отказ в праве уведомления или исправления данных
Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, ограничено случаями, предусмотренными ч.8 ст.14 Федерального закона N 152ФЗ, в частности, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
В случае если в представлении сведений или внесении в них изменений по запросу субъекта данных отказано, субъект уведомляется о причинах отказа.
3.4 Порядок получения информации субъектами персональных данных
В целях соблюдения предусмотренных Законом прав субъектов персональных данных, АО «БАЙЕР» организован приём:

  • письменных запросов и требований, электронных запросов и требований;
  • личных обращений субъектов к ответственному за организацию обработки персональных данных.

3.5 Уничтожение данных
Если субъект данных предоставляет подтверждение того, что в сложившейся ситуации цель обработки данных исчерпана, необоснованна или более не правомерна, соответствующие персональные данные уничтожаются (за исключением случаев, когда законодательством предусмотрено обратное).
Уничтожение персональных данных либо носителей персональных данных осуществляется согласно принятой в АО «БАЙЕР» процедуре уполномоченными на это лицами.
3.6 Право на обжалование
Субъект персональных данных вправе обжаловать действия или бездействие оператора в соответствии с Федеральным законом.

Ответственный за организацию обработки персональных данных АО «БАЙЕР»

Оператор назначает лицо, ответственное за организацию обработки персональных данных. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственного за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты направляются АО «БАЙЕР» в уполномоченный орган по защите прав субъектов персональных данных.
Подразделения и сотрудники АО «БАЙЕР» в соответствии с Федеральным законом обязаны предоставлять лицу, ответственному за организацию обработки персональных данных, следующую информацию:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе, сведения о наличии шифровальных (криптографических) средств;
  • дата начала обработки персональных данных;
  • срок и условия прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Директивой и Правительством Российской Федерации.
  • Иную информацию, необходимую для организации обработки персональных данных, если её передача не противоречит требованиям Федерального закона и Директивы.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

  • Осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе, требований к защите персональных данных;
  • Доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • Организовывать приём и обработку обращений и запросов субъектов персональных данных или их представителей. При этом, приём и обработка обращений и запросов субъектов персональных данных или их представителей иными сотрудниками не допускается. В случаях подобного рода обращений, сотрудники компании должны проинформировать субъектов и их представителей о предусмотренных компанией способах осуществления обработки персональных данных (пункт 7.4 Положения).

В соответствии с политикой концерна корпорацией назначено корпоративное лицо по защите данных и введен институт локальных представителей, на которых распространяются права и обязанности согласно Директиве концерна.
Если региональные должностные лица, ответственные за защиту данных, также выполняют обязанности лиц, ответственных за защиту данных в юридическом лице, то они работают в тесном сотрудничестве с Корпоративным должностным лицом по защите данных, однако не обязаны выполнять его распоряжения.

Запросы, претензии и корректирующие меры

В случаях:

  • выявления неправомерной обработки персональных данных оператором или лицом, действующим по поручению оператора;
  • выявления неточных персональных данных;
  • достижения целей обработки;
  • отзыва субъектом персональных данных согласия на обработку
    АО «БАЙЕР» обязано предпринять требуемые Законом меры, включая блокирование, уточнение, удаление данных в установленные Федеральным законом сроки, если иное не предусмотрено законодательством РФ.

В соответствии с законодательством Российской Федерации о защите персональных данных Вы имеете право получить информацию об обработке Ваших персональных данных, направить запрос или требования по следующим адресам:

  • Для электронных обращений: pdff51f8e2f0d242dfaedb4ede3828dda0.bayru@cecd668cc2114087b12bafd0f0eddc63bayer.com
  • Для обращений к ответственному по защите персональных данных в письменной форме на адрес: 107113, г. Москва, Сокольнический Вал, д. 24 корп. 3, а/я 19

«Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки ин­формации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также ис­пользуемые в информационной системе информационные технологии».

Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором УБПДн (модели угроз) и в зависимости от класса ИСПДн.

Выбранные и реализованные методы и способы защиты информации в ИСПДн должны обеспечивать нейтрализацию предполагаемых УБПДн при их обработке в ИСПДн в составе создаваемой оператором СЗПДн.

Для выбора и реализации методов и способов защиты информации в ИСПДн может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

В СЗПДн ИСПДн в зависимости от класса ИСПДн и исходя из УБПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режи­мов обработки ПДн с использованием соответствующих методов и способов защиты информации от НСД реализуются функции управления досту­пом, регистрации и учета, обеспечения целостности, анализа защищенно­сти, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Поскольку применение СЗИ не является обязательным для всех ти­пов ИСПДн, то выбор СЗИ необходимо осуществлять с учетом того, что итоговый набор реализуемых мер защиты должен удовлетворять требова­ниям, предъявляемым к ИСПДн соответствующего класса, концентриро­ванное выражение которых приведено в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 г. № 58 (см. таблицы 1 — 3).

Методы и способы защиты информации от НСД для обеспечения безопасности ПДн в ИСПДн 4 класса и целесообразность их применения определяются оператором.

В ИСПДн, имеющих подключение к информационно телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, исполь­зуются средства антивирусной защиты.

Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федера­ции от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно телекоммуникационных сетей международного информационного обмена».

Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

Подключение ИСПДн к ИСПДн другого класса или к информационно телекоммуникационной сети международного информационного обме­на (сети связи общего пользования) осуществляется с использованием МЭ.

Программное обеспечение СЗИ, применяемых в ИСПДн 1 класса, проходит контроль отсутствия недекларированных возможностей.

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения СЗИ, применяемых в ИСПДн 2 и 3 классов, определяется оператором.

Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществля­ется в случаях, когда при определении УБПДн и формировании модели уг­роз применительно к ИСПДн являются актуальными угрозы утечки аку­стической речевой информации, угрозы утечки видовой информации и уг­розы утечки информации по каналам ПЭМИН.

Для исключения утечки ПДн за счет ПЭМИН в ИСПДн 1 класса мо­гут применяться следующие методы и способы защиты информации:

  • использование технических средств в защищенном исполнении;
  • использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия;
  • размещение объектов защиты в соответствии с предписанием на эксплуатацию;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
  • обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • обеспечение электромагнитной развязки между линиями связи и другими цепями ВТСС, выходящими за пределы охраняемой террито­рии, и информационными цепями, по которым циркулирует защищаемая информация.

В ИСПДн 2 класса для обработки информации используются СВТ, удовлетворяющие требованиям национальных стандартов по электромагнит­ной совместимости, по безопасности и эргономическим требованиям к сред­ствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам СВТ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

При применении в ИСПДн функции голосового ввода ПДн в ИСПДн или функции воспроизведения информации акустическими средствами ИСПДн для ИСПДн 1 класса реализуются организационные и технические меры для обеспечения звукоизоляции ограждающих конструкций помеще­ний, в которых расположена ИСПДн, их систем вентиляции и кондициони­рования, не позволяющей вести прослушивание акустической (речевой) ин­формации при голосовом вводе ПДн в ИСПДн или воспроизведении ин­формации акустическими средствами.

Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки ПДн в ИСПДн.

Размещение устройств вывода информации СВТ, информационно вычислительных комплексов, технических средств обработки графиче­ской, видео и буквенно-цифровой информации, входящих в состав ИСПДн, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.

Анализ защищенности проводится для распределенных ИСПДн и ИСПДн, подключенных к сетям международного информационного обме­на, путем использования в составе ИСПДн программных или программно аппаратных средств (систем) анализа защищенности.

Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигура­ции программного обеспечения ИСПДн, которые могут быть использова­ны нарушителем для реализации атаки на систему.

Обнаружение вторжений проводится для ИСПДн, подключенных к сетям международного информационного обмена, путем использования в составе ИСПДн программных или программно-аппаратных средств (сис­тем) обнаружения вторжений.

Для ИСПДн 1 класса применяется программное обеспечение СЗИ, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.

Требования к защите, определенные для специальной ИСПДн со­гласно построенной модели угроз, сопоставляются и суммируются с тре­бованиями, определенными для нее согласно ее классу (К1, К2, КЗ или К4). При сопоставлении однотипных требований в качестве окончатель­ного требования выбирается более жесткое.

Следует обратить особое внимание на то, что все используемые оператором СЗИ должны быть сертифицированы ФСТЭК России, СКЗИ сертифицированы ФСБ России и должны входить в государственный реестр сертифицированных СЗИ.

Принципиально возможен такой вариант, когда в ИСПДн изначально используются несертифицированные СЗИ и организовывается сертификация ИСПДн в целом. Однако, это является длительным и дорогостоящим процессом. Кроме того при внесении в ИСПДн любых изменений — от перенастройки до установки обновлений программного обеспечения — потребуется ее повторная сертификация.

Таблица 1 — Требования к системе защиты персональных данных для ИСПДн З класса

№ п/п

Требования к системе защиты персо­нальных данных

ИСПДн К31

ИСПДн К32

ИСПДн К33

ИСПДн К34

В подсистеме управления доступом

Идентификация и проверка подлинности пользователя при входе в операционную систему ИСПДн по паролю условно- постоянного действия, длиной не менее шести буквенно-цифровых символов.

+

+

+

+

В подсистеме регистрации и учета

Регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы.

+

+

+

+

Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета.

+

+

+

+

В подсистеме обеспечения целостности

Обеспечение целостности программных средств СЗПДн, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов СЗИ, а целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ.

+

+

+

+

Физическая охрана технических средств ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации.

+

+

+

+

При межсетевом взаимодействии

Применять средства межсетевого экранирования (межсетевых экранов), которые обеспечивают:

  • фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
  • фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
  • идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
  • регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратного отключения МЭ);
  • контроль целости своей программной и информационной части;
  • восстановление свойств МЭ после сбоев и отказов оборудования;
  • регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

+

Использование в составе ИСПДн программных или программно- аппаратных средств (систем) анализа защищенности.

+

Использование в составе ИСПДн программных или программно- аппаратных средств (систем) обнаружения вторжений.

— / +

Использовать средств антивирусной защиты.

+

+

+

+
  1. ИСПДн 3 класса — однопользовательская.
  2. ИСПДн 3 класса — многопользовательская с равными правами доступа.
  3. ИСПДн 3 класса — многопользовательская с разными правами доступа.
  4. ИСПДн 3 класса — распределенные на подсистемы / подключенные к сетям международного информационного обмена.

Таблица 3 — Требования к системе защиты персональных данных для ИСПДн 2 класса

№ п/п

Требования к системе защиты персо­нальных данных

ИСПДн К21

ИСПДн К22

ИСПДн К23

ИСПДн К24

В подсистеме управления доступом

Идентификация и проверка подлинности пользователя при входе в операционную систему ИСПДн по паролю условно- постоянного действия, длиной не менее шести буквенно-цифровых символов.

+

+

+

+

В подсистеме регистрации и учета

Регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы.

+

+

+

+

Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета.

+

+

+

+

В подсистеме обеспечения целостности

Обеспечение целостности программных средств СЗПДн, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов СЗИ, а целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ.

+

+

+

+

Физическая охрана технических средств ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации.

+

+

+

+

Периодическое тестирование функций СЗПДн при изменении программной среды и пользователей ИСПДн с помощью тест-программ, имитирующих попытки НСД.

+

+

+

+

Наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных компонентов СЗИ, их периодическое обновление и контроль работоспособности.

+

+

+

+

В подсистеме антивирусной защиты:

Использовать средств антивирусной защиты.

+

+

+

+

При межсетевом взаимодействии

Применять средства межсетевого экранирования (межсетевых экранов), которые обеспечивают:

  • фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
  • фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
  • фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;
  • фильтрацию с учетом любых значимых полей сетевых пакетов;
  • регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);
  • идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратного отключения МЭ);

  • регистрацию запуска программ и процессов (заданий, задач);
  • контроль целости своей программной и информационной части;
  • восстановление свойств МЭ после сбоев и отказов оборудования;
  • регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

+

Использование в составе ИСПДн программных или программно- аппаратных средств (систем) анализа защищенности.

+

Использование в составе ИСПДн программных или программно- аппаратных средств (систем) обнаружения вторжений.

— / +

Защита от утечки за счет ПЭМИН

Использование СВТ, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам СВТ.

+

+

+

+
  1. ИСПДн 2 класса — однопользовательская.
  2. ИСПДн 2 класса — многопользовательская с равными правами доступа.
  3. ИСПДн 2 класса — многопользовательская с разными правами доступа.
  4. ИСПДн 2 класса — распределенные на подсистемы / подключенные к сетям международного информационного обмена.

Таблица 3 — Требования к системе защиты персональных данных для ИСПДн 1 класса

№ п/п

Требования к системе защиты персо­нальных данных

ИСПДн К11

ИСПДн К12

ИСПДн К13

ИСПДн К14

В подсистеме управления доступом

Идентификация и проверка подлинности пользователя при входе в операционную систему ИСПДн по паролю условно- постоянного действия, длиной не менее шести буквенно-цифровых символов.

+

+

+

+

Идентификация технических средств ИСПДн и каналов связи, внешних устройств ИСПДн по их логическим адресам (номерам).

+

+

+

Идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.

+

+

+

Контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа.

+

+

В подсистеме регистрации и учета

Регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная).

+

+

+

+

Регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), краткое содержание документа (наименование, вид, код), сертификация устройства выдачи (логическое имя (номер) внешнего устройства), краткое содержание документа (наименование, вид шифр, код), идентификатор пользователя, запросившего документ.

+

+

+

+

Регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки персональных данных. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный).

+

+

Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла.

+

+

Регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер)).

+

+

Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета.

+

+

+

+

Дублирующий учет защищаемых носителей информации.

+

+

+

+

Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ИСПДн и внешних носителей информации.

+

+

+

+

В подсистеме обеспечения целостности

Обеспечение целостности программных средств СЗПДн, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов СЗИ, а целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ.

+

+

+

+

Физическая охрана технических средств ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации.

+

+

+

+

Периодическое тестирование функций СЗПДн при изменении программной среды и пользователей ИСПДн с помощью тест-программ, имитирующих попытки НСД.

+

+

+

+

Наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных компонентов СЗИ, их периодическое обновление и контроль работоспособности.

+

+

+

+

В подсистеме антивирусной защиты:

Использовать средств антивирусной защиты.

+

+

+

+

При межсетевом взаимодействии

Применять средства межсетевого экранирования (межсетевых экранов), которые обеспечивают:

  • фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
  • фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
  • фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;
  • фильтрацию с учетом любых значимых полей сетевых пакетов;
  • фильтрацию на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя;
  • фильтрацию на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя;
  • фильтрацию с учетом даты и времени;

-аутентификацию входящих и исходящих запросов методами, устойчивыми к пассивному и (или) активному прослушиванию сети;

  • регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);
  • регистрацию и учет запросов на установление виртуальных соединений;
  • локальную сигнализацию попыток нарушения правил фильтрации;
  • идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
  • предотвращение доступа неидентифицированного пользователя или пользователя, подлинность идентификации которого при аутентификации не подтвердилась;
  • идентификацию и аутентификацию администратора МЭ при его удаленных запросах методами, устойчивыми к пассивному и активному перехвату информации;
  • регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратного отключения МЭ);
  • регистрацию запуска программ и процессов (заданий, задач);
  • регистрацию действия администратора МЭ по изменению правил фильтрации;
  • возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации;
  • контроль целости своей программной и информационной части;
  • контроль целостности программной и информационной части МЭ по контрольной сумме;
  • восстановление свойств МЭ после сбоев и отказов оборудования;
  • — регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

+

Использование в составе ИСПДн программных или программно- аппаратных средств (систем) анализа защищенности.

+

Использование в составе ИСПДн программных или программно- аппаратных средств (систем) обнаружения вторжений.

— / +

Защита от утечки за счет ПЭМИН

Использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия.

+

+

+

+
  1. ИСПДн 1 класса — однопользовательская.
  2. ИСПДн 1 класса — многопользовательская с равными правами доступа.
  3. ИСПДн 1 класса — многопользовательская с разными правами доступа.
  4. ИСПДн 1 класса — распределенные на подсистемы / подключенные к сетям международного информационного обмена.