2.4. Защита персональных данных
Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Все аспекты работы с персональными данными освещены в
Федеральном законе от 27.07.2006 №152-ФЗ "О персональных данных"
персональные данные (далее - ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Комментарий

К персональным данным относится практически любая информация, позволяющая идентифицировать конкретное физическое лицо
ПД, разрешенные субъектом персональных данных (далее - СПД) для распространения, - ПД, доступ неограниченного круга лиц к которым предоставлен СПД путем дачи согласия на обработку ПД, разрешенных СПД данных для распространения в порядке, предусмотренном 152-ФЗ
Как правило, СПД дает согласие на их обработку конкретному оператору. Однако, когда при посещении ресурса в Интернете мы ставим соответствующую "галочку", он имеет право передавать данные, которые мы занесли при регистрации на этом ресурсе, практически неограниченному кругу лиц
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД
МФЦ также как органы власти и ОМСУ является операторами ПД и их сотрудники несут полную ответственность за нарушение соответствующего законодательства
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД
Пример политики МФЦ г. Ростова-на-Дону в отношении обработки ПД (доступен по ссылке)
блокирование ПД - временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД)
Заявитель может обратиться в МФЦ с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных
уничтожение ПД - действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД
Отказать в выполнении требования заявителя об уничтожении его ПД оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом заявителя и тех, кому были переданы ПД
обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному СПД
Процедура по обезличиванию персональных данных регламентирована Приказом Роскомнадзора от 05.09.2013 № 996 "Об утверждении требований и методов по обезличиванию персональных данных". К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
  • введение идентификаторов – замена части сведений идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;
  • изменение состава или семантики – изменение состава или семантики ПД путем замены результатами статистической обработки, обобщения или удаления части сведений;
  • декомпозиция – разбиение множества ПД на несколько частей с последующим раздельным хранением подмножеств;
  • перемешивание – перестановка отдельных записей, а так же групп записей в массиве ПД.
информационная система ПД - совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств
АИС МФЦ относится к таим системам
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
Согласие на обработку персональных данных
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
  • фамилию, имя, отчество, адрес СПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя СПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя СПД);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие СПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых дается согласие СПД;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
  • срок, в течение которого действует согласие СПД, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись СПД;
  • срок, в течение которого действует согласие СПД, а также способ его отзыва, если иное не установлено федеральным законом.
2.3. Единый портал государственных и муниципальных услуг
2.5. Электронная подпись