Звоните с 700 до 2100 8 (800) 333-22-79
Написать нам
Пишите круглосуточно в WhatsApp
+7 (993) 334-75-48
Напишите нам: info@urstart.ru
     
     
Главная   Несанкционированный сбор избыточных данных

Несанкционированный сбор избыточных данных

Основные аспекты несанкционированного сбора данных

Что такое избыточные данные и почему их сбор представляет угрозу?

Избыточные данные — это данные, которые собираются сверх необходимого минимума для выполнения определенной задачи или предоставления услуги. Например, если при регистрации на сайте запрашивается информация, не имеющая прямого отношения к предоставляемым услугам (например, личные предпочтения, семейное положение и т.д.), это можно считать сбором избыточных данных.

Сбор избыточных данных может представлять угрозу по нескольким причинам:

  • Угроза безопасности. Чем больше данных собирается и хранится, тем выше вероятность утечки информации.
  • Конфиденциальность. Пользователи могут не осознавать, что их данные используются не по назначению, что нарушает их право на частную жизнь.
  • Нарушение законодательства. В ряде случаев сбор избыточных данных может быть прямым нарушением законодательства, такого как Федеральный закон “О персональных данных” № 152-ФЗ.
Получить консультацию
Получить консультацию

    Законодательные аспекты: какие данные можно и нельзя собирать?

    В соответствии с Федеральным законом “О персональных данных” № 152-ФЗ, сбор и обработка персональных данных должны быть законными и справедливыми. Данные должны собираться для конкретных, заранее определенных и законных целей. Сбор данных, не соответствующих этим требованиям, является нарушением законодательства.

    Так, согласно статье 6 этого закона, обработка персональных данных допускается только при наличии согласия субъекта персональных данных или в иных случаях, предусмотренных законодательством РФ. Запрещается сбор персональных данных, не связанных с целями их обработки.

    Типичные сценарии несанкционированного сбора данных

    1. Регистрация на онлайн-сервисах. Зачастую при регистрации на различных онлайн-сервисах от пользователей требуют указания большего объема данных, чем необходимо для предоставления услуг.
    2. Мобильные приложения. Некоторые мобильные приложения запрашивают доступ к данным, не имеющим отношения к функциональности приложения, например, к контактам, фотографиям и т.д.
    3. Рекламные кампании. Маркетинговые компании могут собирать избыточные данные о пользователях для создания более точных рекламных профилей.

    Риски и последствия для бизнеса

    Правовые последствия и штрафы

    Нарушение законодательства о персональных данных может привести к значительным штрафам и правовым последствиям. Согласно Кодексу Российской Федерации об административных правонарушениях (КоАП РФ), нарушение порядка сбора, хранения, использования или распространения персональных данных может повлечь административную ответственность, включая штрафы на юридических лиц в размере до 75 000 рублей.

    Кроме того, в случае серьезных нарушений могут быть применены меры, предусмотренные Уголовным кодексом РФ, вплоть до лишения свободы.

    Утрата доверия клиентов и репутационные риски

    Сбор избыточных данных и нарушение конфиденциальности может привести к утрате доверия со стороны клиентов. Это особенно актуально в свете растущего числа инцидентов, связанных с утечками данных. Репутационные риски включают негативные отзывы в СМИ и социальных сетях, что может существенно повлиять на имидж компании и её финансовые показатели.

    Итоги и ключевые рекомендации от ЮК “Старт”

    1. Соблюдайте законодательство. Убедитесь, что сбор и обработка персональных данных соответствуют требованиям Федерального закона “О персональных данных” № 152-ФЗ.
    2. Минимизируйте сбор данных. Собирайте только те данные, которые необходимы для выполнения конкретных задач или предоставления услуг.
    3. Обеспечьте безопасность данных: Примите все необходимые меры для защиты данных от несанкционированного доступа и утечек.
    4. Информируйте пользователей. Четко и прозрачно информируйте пользователей о том, какие данные собираются и для каких целей они будут использоваться.
    5. Регулярные аудиты. Проводите регулярные аудиты и проверки соблюдения требований по защите персональных данных.

    Следуя этим рекомендациям, вы сможете минимизировать риски, связанные с несанкционированным сбором данных, и сохранить доверие клиентов к вашему бизнесу.

    Сертификаты

    Отзывы и благодарности

    •  

      Первый канал

      Дирекция утреннего телеканала АО “Первый канал” выражает искреннюю благодарность сотрудникам юридической компании “Старт” за помощь в организации и проведении съемок для программы “Доброе утро”

    •  

      Астапенко В.В.

      Генеральный директор ООО «ДаблЮ-Си-Си»

      Генеральному директору Юридической компании «Старт» Позвольте засвидетельствовать Вам свое уважение и выразить благодарность за профессиональное оказание услуг по регистрации предприятия ООО «ДаблЮ-Си-Си» в г. Москве. […]

    •  

      Предаченко А.М.

      Директор ООО «Венталл»

      ООО «Венталл» искренне выражает благодарность коллективу ООО «Юрстарт» за качественно проведенную работу по регистрации ООО. С уважением, директор ООО «Венталл»  

    •  

      Латыпова Ольга, Мансурова Евгения

      Учредители БФ «Мир Детства»

      Благотворительный Фонд «Мир детства» выражает искреннюю и сердечную благодарность Юридической компании «Старт» в лице Бирковского Юрия Александровича за участие в Благотворительной акции «Подгузники и средства […]

    •  

      М.В.Федоренко

      Генеральный директор АО «Деловая среда»

      Благодарность ООО «Юрстарт» За активное участие в партнерской программе Деловой среды, проявленный профессионализм и эффективность в работе.  

    •  

      Петин В.С.

      Выражаю глубокую благодарность ООО «Юрстарт»в лице Генерального директора Бирковского Юрия Александровича и всего юридического отдела, за оказание юридической помощи в сложившейся непростой ситуации. Помощь была […]

    Услуги юридической компании

    Default ThumbnailНесанкционированное использование данных Default ThumbnailНесанкционированное раскрытие данных Default ThumbnailНесоблюдение требований законодательства РФ по защите данных Default ThumbnailИспользование небезопасных методов передачи данных Default ThumbnailНедостаточное обучение сотрудников по вопросам защиты данных
    Согласие на обработку персональных данных

     

    Настоящим Субъект персональных данных (далее Субъект) дает согласие Обществу с ограниченной ответственностью Юридической компании «Старт» (далее Компания), расположенному по адресу: г. Москва, Сущевский вал 16, строение 4, офис 509, на обработку своих персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение персональных данных, в том числе с использованием средств автоматизации в целях анализа покупательского поведения и улучшения качества предоставляемых услуг, а также предоставления Субъекту персональных данных информации коммерческого, информационного и рекламного характера (в том числе о специальных предложениях и акциях Компании) через различные каналы связи, в том числе по почте, смс, электронной почте, телефону, если Субъект персональных данных изъявит желание на получение подобной информации соответствующими средствами связи.

    Компания предпринимает все разумные меры по защите полученных персональных данных Субъекта от уничтожения, искажения или разглашения.

    Помимо Компании, доступ к своим персональным данным имеют сами Субъекты; сотрудники Компании; лица, осуществляющие поддержку служб и сервисов Компании, в необходимом для осуществления такой поддержки объеме; иные лица, права и обязанности которых по доступу к соответствующей информации установлены законодательством РФ.

    Компания гарантирует соблюдение следующих прав Субъекта персональных данных: право на получение сведений о том, какие персональные данные Субъекта персональных данных хранятся у Компании; право на удаление, уточнение или исправление хранящихся у Компании персональных данных; иные права, установленные действующим законодательством РФ. Компания обязуется немедленно прекратить обработку персональных данных после получения соответствующего требования Субъекта персональных данных, оформленного в письменной форме, и направленного по адресу Компании, указанному выше.

    Согласие Субъекта персональных данных на обработку персональных данных действует бессрочно и может быть в любой момент отозвано Субъектом персональных данных путем письменного обращения в Компанию.

     

    ×
    Политика Общества с ограниченной ответственностью «Старт» в отношении обработки персональных данных

     

    1. Общие положения

     

    1.1. Настоящий документ определяет политику Общества с ограниченной ответственностью «ЮрСтарт» (далее – Компания) в отношении обработки персональных данных.

    1.2 Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных.

    1.3 Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.

    1.4. Политика неукоснительно исполняется сотрудниками Компании.

     

    1. Определения

     

    персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

    обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

    распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

    предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

    блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

    уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

    обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

    информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

     

    1. Принципы и условия обработки персональных данных

     

    3.1. Обработка персональных данных осуществляется на основе следующих принципов:

    1) Обработка персональных данных осуществляется на законной и справедливой основе;

    2) Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

    3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;

    4) Обработке подлежат только те персональные данные, которые отвечают целям их обработки;

    5) Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

    6) При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

    7) Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    8) Компания в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию во время взаимодействия с Компанией и извещает представителей Компании об изменении своих персональных данных.

    3.2. Компания осуществляет обработку персональных данных только в следующих случаях:

    • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
    • обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
    • обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
    • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
    • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

    3.4. Компания вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора.
    Лица, осуществляющие обработку персональных данных по поручению ООО Юридическая компания «Старт», обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.

    3.5. В случае если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.

    3.6. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, Компанией не осуществляется.

    3.7. Компания уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.

     

    1. Субъекты персональных данных

     

    4.1. Компания обрабатывает персональные данные следующих лиц:

    • работников Компании, а также субъектов, с которыми заключены договоры гражданско-правового характера;
    • кандидатов на замещение вакантных должностей в Компании;
    • клиентов ООО Юридическая компания «Старт»;
    • пользователей сайта ООО Юридическая компания «Старт»;

    4.2.  В некоторых случаях Компанией также может осуществляться обработка персональных данных уполномоченных на основании доверенности представителей вышеперечисленных субъектов персональных данных.

     

    1. Права субъектов персональных данных

     

    5.1.Субъект персональных данных, данные которого обрабатываются Компанией вправе:

    5.1.1. Получать от Компании в предусмотренные Законом сроки следующие сведения:

    • подтверждение факта обработки персональных данных ООО Юридическая компания «Старт»;
    • о правовых основаниях и целях обработки персональных данных;
    • о применяемых Компанией способах обработки персональных данных;
    • о наименовании и местонахождении Компании;
    • о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО Юридическая компания «Старт» или на основании федерального закона;
    • перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
    • о сроках обработки персональных данных, в том числе о сроках их хранения;
    • о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
    • наименование и адрес лица, осуществляющего обработку персональных данных по поручению Компании;
    • иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами.

    5.1.2. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

    5.1.3. Отозвать свое согласие на обработку персональных данных.

    5.1.4. Требовать устранения неправомерных действий Компании в отношении его персональных данных.

    5.1.5. Обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или в судебном порядке в случае, если гражданин считает, что ООО Юридическая компания «Старт» осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы.

    5.1.6. На защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

     

    1. Обязанности Компании

     

    6.1. В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Компания обязана:

    • Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ, содержащий ссылку на положения Федерального закона.
    • По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
    • Вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
    • Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных.

    Исключение составляют следующие случаи:

    — Субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

    — Персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект.

    — Персональные данные получены из общедоступного источника;

    — Предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных нарушает права и законные интересы третьих лиц.

    6.2.  В случае достижения цели обработки персональных данных Компания обязана незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных №152-ФЗ «О персональных данных» или другими федеральными законами.

    6.3. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных. Об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных.

    6.4. В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке Компания обязана немедленно прекратить обработку персональных данных.

    6.5. Компания обязана осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных, в случаях, предусмотренных Федеральным законом.

    6.7. Компания обязана разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом.

    6.8. Уведомлять субъекта персональных данных или его представителя о всех изменениях, касающихся соответствующего субъекта персональных данных.

     

    1. Сведения о реализуемых мерах защиты персональных данных

     

    7.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    7.2. Обеспечение безопасности персональных данных достигается, в частности:

    • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
    • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
    • учетом машинных носителей персональных данных;
    • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
    • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
    • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
    • оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации в области персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства Российской Федерации в области персональных данных.

     

    ×