Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.
Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

• с какой целью вы собираете персональные данные;
• не собираете ли вы их больше, чем нужно для ваших целей;
• сколько храните персональные данные;
• есть ли политика обработки персональных данных;
• собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

• Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
• Политика оператора в отношении обработки ПДн ( есть рекомендации по оформлению).
• Приказ о назначении ответственного за организацию обработки ПДн.
• Должностная инструкция ответственного за организацию обработки ПДн.
• Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
• Перечень информационных систем персональных данных (ИСПДн).
• Регламент предоставления доступа субъекта к его ПДн.
• Регламент расследования инцидентов.
• Приказ о допуске работников к обработке ПДн.
• Регламент взаимодействия с регуляторами.
• Уведомление РКН и пр.
• Форма поручения обработки ПДн.
• Модель угроз ИСПДн.

После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.

Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
Призовем на помощь определение из закона:

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ

Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.

Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.

Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.

Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.

Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.

Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:

За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:

В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ .

В поручении также важно прописать обязанность обеспечения защиты персональных данных:

Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.
УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.
На уровень защищенности влияют следующие моменты:

• тип персональных данных (специальные, биометрические, общедоступные и иные);
• кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
• количество субъектов персональных данных – более или менее 100 тыс.
• типы актуальных угроз.

Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119 . Вот описание каждого с моим вольным переводом на человеческий язык.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 .

Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.

Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.

Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).

Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком "+" обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

• заинтересован продать побольше сертифицированных СЗИ;
• будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

Пункт 12 Приказа № 21 ФСТЭК России .

Реальность: закон не требует обязательного использования сертифицированных средств защиты.

Миф 6. Мне нужна криптозащита

Тут несколько нюансов:

1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ .

Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов.

KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.

Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.

По общему правилу, в силу ФЗ «О персональных данных», при публикации ПД необходимо получать согласие гражданина. По логике закона, данное требование направлено на обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Каждую ситуацию надо рассматривать персонально, но мы сейчас приведем один любопытный пример, когда ПД гражданина были распространены на сайте без его согласия (речь идет об имени, отчестве, месте работы и занимаемой должности). Интересный момент: данные были о враче стоматологе, признанном виновным в причинении смерти по неосторожности Сегежским городским судом.

Управление Роскомнадзора по республике Карелии направило в редакцию сайта требование об удалении ПД. Не согласившись с контрольным органом, редактор сайта обратился в Петрозаводский городской суд с требованием о признании требования незаконным. Суд исковое требование редактора удовлетворил.

Не желая забегать вперед, мы не стали додумывать за суд и предполагать его аргументацию.

Сегодня мы получили на руки решение суда (судья Лазарева Е.В.) и приводим его доводы.

1.Суд признал врача-стоматолога Манова А.М. публичной фигурой:

Медицинский работник (тем более медицинский работник государственного учреждения здравоохранения) применительно к правовой позиции, сформулированной в п.25 постановления Пленума ВС РФ от 15.06.2010 г. № 16 «О практике применения судами Закона РФ «О средствах массовой информации», а также исходя из определения «публичная фигура», данного в Резолюции № 1165 (1998) Парламентской ассамблеи Совета Европы «О праве на неприкосновенность частной жизни», занимая должность в ГБУЗ, пользуясь государственными ресурсами и, будучи медицинским работником, т.е лицом, априори пользующимся заслуженным уважением в обществе, играет определённую роль в общественной жизни (в социальной сфере), является публичной фигурой.

2.Суд усмотрел общественный интерес в публикации данных о приговоре Манову:

Суд также полагает необходимым отметить, что сведения о факте совершения преступления, обстоятельствах его совершения (в том числе, о специальности и занимаемой должности), а также фамилии и инициалы лица, совершившего преступление в связи с ненадлежащим исполнение своих профессиональных обязанностей на занимаемой им должности, имели значительный общественный резонанс.

3.По мнению суда, обработка ПД возможна без согласия гражданина, если речь идет об информировании общества по общественно-важным темам.

Это давало заявителю, преследующему, в том числе, цель информирования общества о ненадлежащим образом оказанных медицинских услуг, повлёкших причинение смерти, возможность предупреждения неопределенного круга лиц о ненадлежащей квалификации и профессиональных качествах осужденного, право осуществить обработку его ПД для достижения общественно важных целей и защиты жизни, здоровья и иных жизненно важных интересов других лиц. При этом учитывается, что получение согласие у субъекта ПД от него самого, исходя из конкретных обстоятельств, было очевидно невозможно.

4.Суд отметил, что обязывающая часть требований, сформулирована нечетко, неконкретно, не содержала указание на то, в отношении каких именно ПД Манова должно быть обеспечено прекращение неправомерной обработки.

Отсутствие конкретных указаний очевидно не позволяло лицу, которому оно адресовано, правильно исполнить его, не ограничивая себя в правах, установленных ч.4 ст.29 Конституции РФ, п.1 ст.3 ФЗ «О персональных данных» , нарушает установленный ч.5 ст.29 Конституции РФ запрет на цензуру (выделено автором).

Роскомнадзор является контрольно-надзорным органом за СМИ и интернет сайтами. Основанная его задача – контролировать исполнение законов и в случае их несоблюдения привлекать к ответственности. Но контроль не должен быть формальным, не должен вести к замалчиванию общественно-важной информации, не должен ограничивать сайты и СМИ в праве на получение и на распространение информации. Инициируя данный судебный спор, мы именно эту позицию и хотели довести до Роскомнадзора.

Суд выступил в нашем споре независимым арбитром и усмотрел, что требование РКН о прекращении неправомерной обработки ПД вынесено в отсутствие фактических оснований и его содержание не соответствует нормативным правовым актам, регулирующих спорные правоотношения.

Имена, фамилии, должности, фотографии – неотъемлемые элементы публикаций СМИ. Они же – персональные данные граждан, защищаемые законом. На публикацию каких личных сведений в СМИ обращает внимание Роскомнадзор, какие данные относятся к персональным, в каких случаях журналист может использовать их без разрешения, а в каких нет – рассказываем в Карточках АНРИ.

* Карточки подготовлены по материалам вебинаров, проведенных юристами Михаилом Хохолковым и Светланой Кузевановой в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

​1.

​​​ Что такое персональные данные?

Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован. Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека важны скорее не сами данные, а их совокупность.

​​2.

При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о первом случае использования персональных данных.

​3.

Какой закон регулирует защиту персональных данных?

С 2006 года в России действует закон «О персональных данных». В 2017 году внесены поправки в статью 13.11 КоАП РФ , предусматривающую ответственность за нарушение законодательства о персональных данных: выделены семь видов таких нарушений и увеличен размер штрафов до 75,000 рублей по отдельным составам.

Контроль защиты ПД осуществляет Роскомнадзор, который имеет довольно широкие полномочия и может составлять протоколы об административных правонарушениях. Ведомство самостоятельно определяет, являются ли распространяемые сведения персональными данными. В случае выявления нарушения РКН выносит редакции предупреждение. После двух предупреждений в течение года Роскомнадзор имеет право обратиться в суд с иском о прекращении деятельности СМИ.

​​4.

Что такое «обработка персональных данных» применительно к журналистике?

Абсолютно любые действия, совершаемые с персональными данными, называются их обработкой (сбор, хранение, распространение).

Закон закрепляет принципы обработки:

Законное и справедливое основание обработки ПД.

Подразумевается, что работать с данными можно либо с согласия субъекта ПД, либо без согласия – в случаях, предусмотренных законом.

Соответствие цели и объема данных.

Подразумевается, что содержание и объем публикуемых данных должны соответствовать цели публикации. Например, если журналист готовит материал о пропавшем человеке, не нужно давать о нем избыточную информацию (скажем, об отношениях с родственниками). В расследовании не всегда нужно публиковать сканы документов – часто достаточно упоминания о том, что документ имеется. Публикуемые личные данные должны «работать» на конкретные факты и отвечать общей идее материала.

Роскомнадзор в своей практике не относит к персональным данным ФИО или фото сами по себе, поэтому их можно публиковать без получения разрешения (при соблюдении требований ст. 152.2. Гражданского кодекса РФ). А вот фото вкупе с именем и/или должностью уже считаются персональными данными.

Срок хранения данных.

Требование удалять данные после того, как достигнута «цель обработки» трудно применимо к журналистике. Но иногда применимо: если речь идет, например, о распространении ориентировок о розыске несовершеннолетнего. После того, как ребенок нашелся, онлайн-медиа следует удалить с сайта информацию, содержащую персональные данные.

5.

Когда можно публиковать ПД без согласия человека?

Понятно, что получить у героя публикации согласие на публикацию ПД невозможно, если статья носит разоблачительный характер.

В законе есть оговорки, позволяющие публиковать данные без согласия человека:

1. При распространении общественно-значимой информации.
2. При осуществлении профессиональной деятельности журналиста.
3. Если персональные данные общедоступны (картотеки судебных дел, государственные реестры) либо сам субъект ранее сделал их общедоступными. Подпадают ли под это условие сведения из соцсетей – спорный вопрос.
4. Если персональные данные содержатся в документах, подлежащих обязательному опубликованию в соответствии с федеральным законом: например, декларации чиновников о доходах.

Однако в законе указано, что перечисленные случаи не должны нарушать «права и свободы субъекта персональных данных». Из-за отсутствия четкого определения, какие права и свободы можно нарушить, Роскомнадзор очень широко трактует данную оговорку.

6.

​ Общественно значимые цели публикации

Закон допускает обработку ПД без согласия субъекта ПД для достижения общественно значимых целей (п. 7 ст. 6 152-ФЗ «О персональных данных»). Постановление Пленума Верховного Суда РФ от 15.06.2010 г. №16 «О практике применения судами закона «О СМИ » относит к общественным интересам не любой интерес, а потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

Роскомнадзор самостоятельно не определяет наличие или отсутствие в публикации общественно значимых целей, поэтому журналисту стоит позаботиться о собственном обосновании общественного интереса и корреляции с этим интересом публикуемых личных данных, взятых, например, из Instagram конкретного чиновника.

7.

Как должно выглядеть согласие героя публикации на распространение его персональных данных?

Согласие на обработку ПД может быть получено в письменной либо иной форме, позволяющей подтвердить факт его получения. Такие формы согласия, как электронные письма, переписка в мессенджере, видео, аудиозапись, допустимы, но ненадежны.

Закон «О персональных данных» устанавливает случаи, когда письменное согласие является обязательным:

Создание общедоступных источников информации (справочников, адресных книг и т.д.);

Использование специальных категорий данных (раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь);

Использование биометрических данных (фото- и видеоизображения, отпечатки пальцев, ДНК);

Трансграничная передача ПД в некоторые страны (те, которые не обеспечивают «адекватную» защиту персональных данных, по мнению Роскомнадзора);

Если обработка данных порождает юридические последствия.

Требования к письменной форме согласия установлена законом и должна обязательно содержать (ч. 4 ст. 9 ФЗ «О персональных данных): ФИО, адрес субъекта или его представителя, данные паспорта; наименование или ФИО и адрес оператора, получающего согласие субъекта ПД; цель обработки ПД; перечень ПД, на обработку которых соглашается человек; наименование или ФИО, адрес третьего лица, которому передают ПД; перечень действий с ПД, на совершение которых дается согласие; срок, в течение которого действует согласие, а также способ его отзыва; подпись субъекта ПД.

8.

​​​ Являются ли фотографии персональными данными?

Среди персональных данных выделяют «чувствительные» категории – специальные данные и биометрические данные. Для них предусмотрен еще более строгий порядок обработки.

Специальные ПД – это указание на расу, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь, судимость. Обработка таких сведений допускается только при наличии письменного согласия человека – кроме случаев, когда «чувствительные» данные общедоступны, и случаев, предусмотренных трудовым, пенсионным или страховым законодательством.

Биометрические ПД – это сведения, характеризующие физиологические и биологические особенности человека, с помощью которых можно установить его личность. Роскомнадзор к таким данным относит отпечатки пальцев, радужную оболочку глаза, анализы ДНК, рост, вес, а также фото и видеоизображение человека.

Фотография сама по себе не является ПД, однако если рядом с ней есть указание на имя и фамилию и/или должность, и вкупе эти сведения позволяют идентифицировать человека, то фото в данном случае будет «биометрическим ПД».

Кроме того, публикуя портретное фото, журналисту нужно помнить о праве на изображение. Об этом мы писали в серии Карточек об авторском праве .

9.

​ Существуют ли ограничения при работе с открытыми реестрами данных?

Журналисты много работают с государственными общедоступными реестрами: картотеками судебных решений, ЕГРЮЛ, декларациями чиновников и т.п., часто совмещая в одной публикации сведения из разных источников.

Тут нужно помнить о возможных рисках – пока, к счастью, теоретических. В п. 3 ст. 5 ФЗ «О персональных данных» говорится, что «не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой». Непонятно, насколько такая позиция может быть применима к профессиональной деятельности журналиста, чья прямая обязанность – использовать разные источники при поиске информации на общественно значимую тему.

10.

​​​ Относятся ли сведения из соцсетей к общедоступной информации?

Юристы расходятся во мнениях, являются ли соцсети общедоступными источниками информации.

Во-первых, трудно сказать, относятся ли соцсети к общедоступным источникам персональных данных по смыслу статьи 8 152-ФЗ «О персональных данных», в которой говорится: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)». Вряд ли соцсети можно отнести по аналогии к справочникам.

Во-вторых, в законе ничего не говорится о том, можно ли свободно обрабатывать данные, которые человек сам опубликовал в соцсетях. По этому поводу нет ни разъяснений Роскомнадзора, ни судебной практики.

Светлана Кузеванова:публикация данных человеком о самом себе в социальных сетях или блоге делает их доступными для неограниченного круга лиц. Соответственно, журналисты вправе их распространять без письменного согласия субъекта на основании п. 10 ст. 6 152-ФЗ.

11.

​​​ Что можно, а чего нельзя писать о детях?

При публикации информации о детях, их фотографий всегда необходимо письменное согласие родителей (опекуна).

Писать о детях-жертвах преступлений нужно особенно осторожно. Согласно ст. 4 закона «О СМИ», запрещается публиковать в СМИ и Интернете информацию о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), включая ФИО, фото- и видеоизображения такого несовершеннолетнего, его родителей и иных законных представителей, дату рождения, аудиозапись голоса, место жительства или место временного пребывания, место учебы или работы, иную информацию, позволяющую прямо или косвенно установить личность несовершеннолетнего.

Исключения составляют случаи, когда распространение такой информации происходит в целях нужно для защиты прав и интересов несовершеннолетнего. Условия использования ПД в такой ситуации указаны в ст. 41 закона «О СМИ» - их можно распространять только с письменного согласия родителя (опекуна) ребенка. Если несовершеннолетнему исполнилось 14 лет, нужно получить два согласия: подростка и его родителей (опекуна). Если получить согласие невозможно, либо если законный представитель является подозреваемым или обвиняемым в совершении противоправных действий, допустимо использовать данные без согласия.

Те же условия действуют в ситуации, когда речь идет о несовершеннолетнем, совершившим преступление (административное правонарушение или антиобщественное действие) либо подозреваемым в его совершении.

Публикации о детях-жертвах сексуальных преступлений допускаются только в целях расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних. И только в объеме, необходимом для достижения указанных целей (ст. 41 закона «О СМИ»).

12.

​​​ Как публиковать объявления о розыске ребенка?

Публиковать такую информацию нужно в том объеме, в каком ее предоставляют правоохранительные органы. Не нужно публиковать избыточную информацию, например, писать о жизни ребенка с родителями или отношениях с одноклассниками. Кроме того, распространять эту информацию можно лишь в период проведения оперативно-розыскных мероприятий. Как только ребенок найден, следует ограничиться информацией, что «пропавший мальчик нашелся», и удалить информацию о розыске с сайта и из соцсетей.

Постарайтесь сохранять скриншоты ориентировок и писем правоохранительных органов – они страхуют СМИ от возможных претензий.

13.

​​​ Как публиковать информацию об обвиняемом в преступлении?

СМИ могут публиковать данные о подозреваемом или обвиняемом в преступлении (имя, фамилия, возраст, место преступления) в том объеме, в котором ее предоставляют официальные источники – следственные органы, прокуратура или МВД. Не забывайте про скриншоты пресс-релизов, поскольку правоохранительные органы часто меняют или удаляют ранее распространенную информацию.

Редакция СМИ не несет ответственности за распространение ПД из официальных сообщений госорганов, информационных агентств, официальных ответах на журналистский запрос, материалах пресс-служб, правоохранительных органов и других организаций, интервью и публичных выступлений должностных лиц, а также если сведения являются дословным воспроизведением информации из другого СМИ.

По сравнению с государственной тайной сведения о частной жизни граждан образуют как бы другой полюс информационной безопасности. В юридической литературе используется термин «персональные данные» . Закон «Об информации, информатизации и защите информации» дает такое определение: «информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность». Закон запрещает сбор, хранение, использование и распространение информации о частной жизни, а также информации, нарушающей ряд тайн: личной и семейной жизни, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, если на то нет согласия самого человека или решения суда. Предусматривается, что перечень персональных данных, собираемых государственными и иными организациями, должен быть закреплен на уровне федерального закона. Наконец, деятельность государственных организаций и частных лиц, связанная с обработкой и распространением персональных данных, подлежит лицензированию.

Как видим, этот массив сведений необычайно многолик и не поддается простому перечислению. Более того, существуют законы о различных областях деятельности, в которых вводятся специальные, профессиональные ограничения на использование информации личного характера. Например, Закон «О банках и банковской деятельности» закрывает доступ посторонним лицам к тайне частных вкладов и операций, Закон «О частной детективной и охранной деятельности» фактически запрещает негосударственным структурам скрытое проникновение в личную жизнь граждан, медицинское законодательство охраняет сведения о состоянии здоровья человека и его обращении к врачам и т.д. Таким образом, сохранение личных секретов становится мотивом для установления профессиональных тайн.

Обилие такого рода норм и их разбросанность по различным правовым документам побуждают к разработке специального законодательства о персональных данных. Другая причина заключается в интенсивном развитии системы электронных коммуникаций. Если еще вчера для изучения истории болезни человека нужно было забираться в картотеку лечащего врача, то сегодня, когда эти сведения занесены в компьютеры, они стали едва ли не общедоступными. Появилась опасность утечки информации поверх государственных границ. Вот почему внимание к этой проблеме обострено во всем мире.

В России сформировались концептуальные установки для грамотного использования информации персонального характера. Так, в ее составе есть сведения, которые, как правило, нецелесообразно засекречивать (например, справочная информация, без которой не смогли бы действовать адресные столы и не издавались бы телефонные книги) – они, значит, открыты и для оглашения в прессе. В то же время к услугам СМИ сегодня предлагаются полулегальные компьютерные базы конфиденциальных данных. В распространении таких фактов требуются предельная осторожность и щепетильность. Сообщение информации о человеке без его ведома может быть истолковано как нарушение личных интересов, а за это установлена юридическая ответственность. По Гражданскому кодексу, задетый излишне любопытным корреспондентом человек имеет право ставить вопрос о возмещении ему морального вреда.

Вот некоторые типичные ситуации. Фоторепортер запечатлевает скандальную жанровую сцену (скажем, демонстрацию политических экстремистов), и в кадре ее участниками выглядят случайные прохожие. Согласно Закону «О средствах массовой информации», он обязан был принять меры против возможной идентификации посторонних лиц. Еще пример – недруги репортера-«разгребателя грязи» публикуют статью о том, как он в детстве лечился у психотерапевта. Или такой случай: столкнувшись с отказом кинорежиссера дать интервью, находчивый радиожурналист тайком включает магнитофон, чтобы записать телефонный разговор мэтра с актрисой...

Заметим, что скрытая запись не исключается законом – она должна быть мотивирована соблюдением конституционных прав и свобод гражданина и защитой общественных интересов. Однако и здесь есть существенные детали: данное положение распространяется на запись общих планов (например массового спортивного зрелища), тогда как на съемку или аудиозапись конкретного человека в любом случае требуется его согласие.

Журналисты сталкиваются с проблемой охраны частной жизни и в другом качестве – иногда они сами становятся объектами неправомерного наблюдения и слежки. Законодательство РФ запрещает проведение оперативно-розыскных мероприятий для сбора информации о частной жизни граждан, если это не является способом борьбы с преступлениями. Причиной избыточного интереса к представителям СМИ служит их профессиональная активность. Об одной из таких историй рассказала газета «Известия». Сотрудница «Комсомольской правды» поняла, что за ней следят, после того, как опубликовала серию критических статей об областной милиции. Она не только обратилась с заявлением в прокуратуру, но и направила в Конституционный суд жалобу, в которой поставила под сомнение ряд положений Закона «Об оперативно-розыскной деятельности». Так милицейская тема ее статей получила развитие в форме публичной общественной деятельности.

18. Порядок аккредитации редакции СМИ

Особые права журналистов: посещать государственные органы, их организации или пресс-службы. Возможность аккредитации – дополнительная услуга, которая создаёт благоприятные условия деятельности: журналист получает дополнительные гарантии допуска к информации, предупреждается о заседаниях и других мероприятиях, обеспечивается стенограммами и другими документами, ему обеспечиваются условия для производства записи.

Произвольно нельзя лишить аккредитации , нужны официальные основания (нарушение правил информации, распространение несоответствующих действительности сведений об организации) - это подтверждается решением суда. Есть рекомендательные правила комитета гласности – механизм аккредитации, количество сотрудников СМИ с аккредитацией, какие места занимать при работе и т. д.

Главная Публикации Статьи 2018–2017 СМИ vs Роскомнадзор

СМИ vs Роскомнадзор

Как сделать журналистский материал и не нарушить закон о персональных данных?

Имена, фамилии, должности, фотографии – неотъемлемые элементы публикаций СМИ. Они же – персональные данные граждан, защищаемые законом. На публикацию каких личных сведений в СМИ обращает внимание Роскомнадзор, какие данные относятся к персональным, в каких случаях журналист может использовать их без разрешения, а в каких нет – рассказывает АНРИ.

Материал подготовлен на основе вебинара , проведенного ведущим юристом , экспертом по медиаправу Михаилом Хохолковым в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

1. ​​​Что такое персональные данные?

Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован. Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека важны, скорее, не сами данные, а их совокупность.

2. При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о первом случае использования персональных данных.

3. Какой закон регулирует защиту персональных данных?

С 2006 года в России действует закон «О персональных данных». В 2017 году внесены поправки в статью 13.11 КоАП РФ, предусматривающую ответственность за нарушение законодательства о персональных данных: выделены семь видов таких нарушений и увеличен размер штрафов до 75 000 рублей по отдельным составам.

Контроль защиты ПД осуществляет Роскомнадзор, который имеет довольно широкие полномочия и может составлять протоколы об административных правонарушениях. Ведомство самостоятельно определяет, являются ли распространяемые сведения персональными данными. В случае выявления нарушения РКН выносит редакции предупреждение. После двух предупреждений в течение года Роскомнадзор имеет право обратиться в суд с иском о прекращении деятельности СМИ.

4. Что такое «обработка персональных данных» применительно к журналистике?

Абсолютно любые действия, совершаемые с персональными данными, называются их обработкой (сбор, хранение, распространение).

Закон закрепляет принципы обработки:

• Законное и справедливое основание обработки ПД.
  Подразумевается, что работать с данными можно либо с согласия субъекта ПД, либо без согласия – в случаях, предусмотренных законом.
• Соответствие цели и объема данных.
  Подразумевается, что содержание и объем публикуемых данных должны соответствовать цели публикации. Например, если журналист готовит материал о пропавшем человеке, не нужно давать о нем избыточную информацию (скажем, об отношениях с родственниками). В расследовании не всегда нужно публиковать сканы документов – часто достаточно упоминания о том, что документ имеется. Публикуемые личные данные должны «работать» на конкретные факты и отвечать общей идее материала.

  Роскомнадзор в своей практике не относит к персональным данным ФИО или фото сами по себе, поэтому их можно публиковать без получения разрешения (при соблюдении требований ст. 152.2. Гражданского кодекса РФ). А вот фото вкупе с именем и/или должностью уже считаются персональными данными.

• Срок хранения данных.
  Требование удалять данные после того, как достигнута «цель обработки», трудно применимо к журналистике. Но иногда применимо: если речь идет, например, о распространении ориентировок о розыске несовершеннолетнего. После того, как ребенок нашелся, онлайн-медиа следует удалить с сайта информацию, содержащую персональные данные.

5. Когда можно публиковать ПД без согласия человека?

Понятно, что получить у героя публикации согласие на публикацию ПД невозможно, если статья носит разоблачительный характер.

В законе есть оговорки, позволяющие публиковать данные без согласия человека:

• При распространении общественно-значимой информации.
• При осуществлении профессиональной деятельности журналиста.
• Если персональные данные общедоступны (картотеки судебных дел, государственные реестры) либо сам субъект ранее сделал их общедоступными. Подпадают ли под это условие сведения из соцсетей – спорный вопрос.
• Если персональные данные содержатся в документах, подлежащих обязательному опубликованию в соответствии с федеральным законом: например, декларации чиновников о доходах.

Однако в законе указано, что перечисленные случаи не должны нарушать «права и свободы субъекта персональных данных». Из-за отсутствия четкого определения, какие права и свободы можно нарушить, Роскомнадзор очень широко трактует данную оговорку.

6. ​Общественно значимые цели публикации

Закон допускает обработку ПД без согласия субъекта ПД для достижения общественно значимых целей (п. 7 ст. 6 152-ФЗ «О персональных данных»). Постановление Пленума Верховного Суда РФ от 15.06.2010 г. №16 «О практике применения судами закона «О СМИ» относит к общественным интересам не любой интерес, а потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.

Роскомнадзор самостоятельно не определяет наличие или отсутствие в публикации общественно значимых целей, поэтому журналисту стоит позаботиться о собственном обосновании общественного интереса и корреляции с этим интересом публикуемых личных данных, взятых, например, из Instagram конкретного чиновника.

7. Как должно выглядеть согласие героя публикации на распространение его персональных данных?

Согласие на обработку ПД может быть получено в письменной либо иной форме, позволяющей подтвердить факт его получения. Такие формы согласия, как электронные письма, переписка в мессенджере, видео, аудиозапись, допустимы, но ненадежны.

Закон «О персональных данных» устанавливает случаи, когда письменное согласие является обязательным:

• создание общедоступных источников информации (справочников, адресных книг и т.д.);
• использование специальных категорий данных (раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь);
• использование биометрических данных (фото- и видеоизображения, отпечатки пальцев, ДНК);
• трансграничная передача ПД в некоторые страны (те, которые не обеспечивают «адекватную» защиту персональных данных, по мнению Роскомнадзора);
• если обработка данных порождает юридические последствия.

Требования к письменной форме согласия установлены законом. Она обязательно должна содержать (ч. 4 ст. 9 ФЗ «О персональных данных): ФИО, адрес субъекта или его представителя, данные паспорта; наименование или ФИО и адрес оператора, получающего согласие субъекта ПД; цель обработки ПД; перечень ПД, на обработку которых соглашается человек; наименование или ФИО, адрес третьего лица, которому передают ПД; перечень действий с ПД, на совершение которых дается согласие; срок, в течение которого действует согласие, а также способ его отзыва; подпись субъекта ПД.

8. ​​​Являются ли фотографии персональными данными?

Среди персональных данных выделяют «чувствительные» категории – специальные данные и биометрические данные. Для них предусмотрен еще более строгий порядок обработки.

Специальные ПД – это указание на расу, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь, судимость. Обработка таких сведений допускается только при наличии письменного согласия человека – кроме случаев, когда «чувствительные» данные общедоступны, и случаев, предусмотренных трудовым, пенсионным или страховым законодательством.

Биометрические ПД – это сведения, характеризующие физиологические и биологические особенности человека, с помощью которых можно установить его личность. Роскомнадзор к таким данным относит отпечатки пальцев, радужную оболочку глаза, анализы ДНК, рост, вес, а также фото и видеоизображение человека.

Фотография сама по себе не является ПД, однако если рядом с ней есть указание на имя и фамилию и/или должность и вкупе эти сведения позволяют идентифицировать человека, то фото в данном случае будет «биометрическим ПД».

Кроме того, публикуя портретное фото, журналисту нужно помнить о праве на изображение.

9. ​Существуют ли ограничения при работе с открытыми реестрами данных?

Журналисты много работают с государственными общедоступными реестрами: картотеками судебных решений, ЕГРЮЛ, декларациями чиновников и т.п., часто совмещая в одной публикации сведения из разных источников.

Тут нужно помнить о возможных рисках – пока, к счастью, теоретических. В п. 3 ст. 5 ФЗ «О персональных данных» говорится, что «не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой». Непонятно, насколько такая позиция может быть применима к профессиональной деятельности журналиста, чья прямая обязанность – использовать разные источники при поиске информации на общественно значимую тему.

10. ​​​Относятся ли сведения из соцсетей к общедоступной информации?

Юристы расходятся во мнениях, являются ли соцсети общедоступными источниками информации.

Во-первых, трудно сказать, относятся ли соцсети к общедоступным источникам персональных данных по смыслу статьи 8 152-ФЗ «О персональных данных», в которой говорится: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)». Вряд ли соцсети можно отнести по аналогии к справочникам.

Во-вторых, в законе ничего не говорится о том, можно ли свободно обрабатывать данные, которые человек сам опубликовал в соцсетях. По этому поводу нет ни разъяснений Роскомнадзора, ни судебной практики.

В то же время медиаюрист Светлана Кузеванова придерживается иной точки зрения: публикация данных человеком о самом себе в социальных сетях или блоге делает их доступными для неограниченного круга лиц. Соответственно, журналисты вправе их распространять без письменного согласия субъекта на основании п. 10 ст. 6 152-ФЗ.

11. ​​​Что можно, а чего нельзя писать о детях?

При публикации информации о детях, их фотографий всегда необходимо письменное согласие родителей (опекуна).

Писать о детях-жертвах преступлений нужно особенно осторожно. Согласно ст. 4 закона «О СМИ», запрещается публиковать в СМИ и Интернете информацию о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), включая ФИО, фото- и видеоизображения такого несовершеннолетнего, его родителей и иных законных представителей, дату рождения, аудиозапись голоса, место жительства или место временного пребывания, место учебы или работы, иную информацию, позволяющую прямо или косвенно установить личность несовершеннолетнего.

Исключения составляют случаи, когда распространение такой информации происходит в целях защиты прав и интересов несовершеннолетнего. Условия использования ПД в такой ситуации указаны в ст. 41 закона «О СМИ» – их можно распространять только с письменного согласия родителя (опекуна) ребенка. Если несовершеннолетнему исполнилось 14 лет, нужно получить два согласия: подростка и его родителей (опекуна). Если получить согласие невозможно, либо если законный представитель является подозреваемым или обвиняемым в совершении противоправных действий, допустимо использовать данные без согласия.

Те же условия действуют в ситуации, когда речь идет о несовершеннолетнем, совершившим преступление (административное правонарушение или антиобщественное действие) либо подозреваемым в его совершении.

Публикации о детях-жертвах сексуальных преступлений допускаются только в целях расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних. И только в объеме, необходимом для достижения указанных целей (ст. 41 закона «О СМИ»).

12. ​​Как публиковать объявления о розыске ребенка?

Публиковать такую информацию нужно в том объеме, в каком ее предоставляют правоохранительные органы. Не нужно публиковать избыточную информацию, например, писать о жизни ребенка с родителями или отношениях с одноклассниками. Кроме того, распространять эту информацию можно лишь в период проведения оперативно-розыскных мероприятий. Как только ребенок найден, следует ограничиться информацией, что «пропавший мальчик нашелся», и удалить информацию о розыске с сайта и из соцсетей.

Постарайтесь сохранять скриншоты ориентировок и писем правоохранительных органов – они страхуют СМИ от возможных претензий.

13. ​​​Как публиковать информацию об обвиняемом в преступлении?

СМИ могут публиковать данные о подозреваемом или обвиняемом в преступлении (имя, фамилия, возраст, место преступления) в том объеме, в котором ее предоставляют официальные источники – следственные органы, прокуратура или МВД. Не забывайте про скриншоты пресс-релизов, поскольку правоохранительные органы часто меняют или удаляют ранее распространенную информацию.

Редакция СМИ не несет ответственности за распространение ПД из официальных сообщений госорганов, информационных агентств, официальных ответах на журналистский запрос, материалах пресс-служб, правоохранительных органов и других организаций, интервью и публичных выступлений должностных лиц, а также если сведения являются дословным воспроизведением информации из другого СМИ.

Однако всегда следует проводить «тест на избыточность» распространяемых персональных данных и соответствие их целям публикации.

14. ​​​Как же сделать журналистский материал и не нарушить закон о персональных данных? Резюме.

Журналисту необходимо заручиться согласием субъекта данных либо соблюсти одно из четырех условий свободного использования ПД:

• распространение общественно-значимой информации,
• осуществление законной профессиональной деятельности журналиста,
• использование общедоступных данных,
• использование данных, обязательных к раскрытию.

Причем эти условия не должны нарушать «права и свободы субъекта персональных данных». Каждую публикацию нужно проверять на «избыточность», то есть следить, чтобы содержание и объем персональных данных соответствовали цели материала.