Персональные данные. законодательство в области защиты персональных данных. защита персональных данн

Закон «О персональных данных»

Федеральный закон от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»

С изменениями и дополнениями от:

25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г.

Принят Государственной Думой 8 июля 2006 года

Одобрен Советом Федерации 14 июля 2006 года

См. комментарии к настоящему Федеральному закону

Президент Российской Федерации

[3]

Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования

Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165, в «Парламентской газете» от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451

В настоящий документ внесены изменения следующими документами:

Федеральный закон от 31 декабря 2017 г. N 498-ФЗ

Изменения вступают в силу с 30 июня 2018 г.

Федеральный закон от 29 июля 2017 г. N 223-ФЗ

Изменения вступают в силу с 10 августа 2017 г.

Федеральный закон от 1 июля 2017 г. N 148-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 22 февраля 2017 г. N 16-ФЗ

Изменения вступают в силу с 1 марта 2017 г.

Федеральный закон от 3 июля 2016 г. N 231-ФЗ

Изменения вступают в силу с 1 января 2017 г.

Федеральный закон от 21 июля 2014 г. N 242-ФЗ

Изменения вступают в силу с 1 сентября 2015 г.

Федеральный закон от 21 июля 2014 г. N 216-ФЗ

Изменения вступают в силу с 1 января 2015 г.

Федеральный закон от 4 июня 2014 г. N 142-ФЗ

Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 21 декабря 2013 г. N 363-ФЗ

Изменения вступают в силу с 1 июля 2014 г.

Федеральный закон от 23 июля 2013 г. N 205-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 5 апреля 2013 г. N 43-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 25 июля 2011 г. N 261-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.

Федеральный закон от 4 июня 2011 г. N 123-ФЗ

Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 23 декабря 2010 г. N 359-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 29 ноября 2010 г. N 313-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 227-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 204-ФЗ

Изменения вступает в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 28 июня 2010 г. N 123-ФЗ

Изменения вступают в силу с 1 июля 2010 г.

Читайте так же:  Основные обязанности человека и гражданина. основные обязанности человека и гражданина рф

Федеральный закон от 27 декабря 2009 г. N 363-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 25 ноября 2009 г. N 266-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

© ООО «НПП «ГАРАНТ-СЕРВИС», 2019. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

1.1. Персональные данные

Необходимость обеспечения безопасности персональных данных в наше время — объективная реальность.

Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь.

Возросшие технические возможности по сбору и обработке персональной информации, развитие средств

электронной коммерции и социальных сетей делают необходимым принятие мер по защите персональных

Рассмотрим несколько примеров из повседневной жизни, когда нарушаются права человека на

конфиденциальность персональных данных. Бывает так, что при оформлении дисконтной карты в магазине

покупатель указывает следующие сведения: фамилию, номер телефона, электронный адрес, а затем

получает сообщения и письма совершенно из других магазинов, в которых даже никогда не бывал. То есть

магазин без согласия покупателя передал его данные третьим лицам. Если газета печатает ФИО и суммы

выигрыша победителей лотереи без их ведома, или ТСЖ вывешивает на подъезде списки должников и

сумму их долга — это примеры «безобидных » утечек. Кража персональных данных может нанести

правообладателю ощутимый материальный ущерб, если речь идет о кредитных картах или информации о

сбережениях в банке. Злоумышленники, обладающие достаточными техническими знаниями, похищают

реквизиты банковских карт (скиминг) или имитируют сайты финансовых учреждений, чтобы заставить

пользователя показать свою личную информацию (фишинг). На самом деле зачастую даже трудно

установить источник утечки персональных данных вследствие высокой информатизации современного

Государство на законодательном уровне требует от организаций и физических лиц, обрабатывающих

персональные данные, обеспечить их защиту. Законодательство Российской Федерации в области защиты

персональных данных основывается на Конституции РФ, международных договорах Российской

Федерации, Федеральном законе РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Федеральном

законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и

других определяющих случаи и особенности обработки персональных данных федеральных законов.

Целью российского законодательства в области защиты персональных данных является обеспечение

защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на

неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются

отношения, связанные с обработкой персональных данных, осуществляемой государственными органами

власти, органами местного самоуправления, юридическими лицами и физическими лицами.

Основополагающим законом в области защиты персональных данных является Федеральный закон «О

персональных данных» №152, который был принят Государственной думой 8 июля 2006 года и вступил в

силу с 26 января 2007 года. Закон определяет:

[1]

1. основные понятия, связанные с обработкой персональных данных;

2. принципы и условия обработки персональных данных;

3. обязанности оператора персональных данных;

4. права субъекта персональных данных;

5. виды ответственности за нарушение требований ФЗ-№152;

6. государственные органы, осуществляющие контроль за соблюдением требований ФЗ-№152.

В соответствии с Законом персональные данные — любая информация, с помощью которой можно

однозначно идентифицировать физическое лицо (субъект ПД).

К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место

рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,

другая информация, принадлежащая субъекту ПД.

Операторами персональных данных являются государственный орган, муниципальный орган,

юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных

данных, а также определяющие цели и содержание обработки персональных данных.Обработка персональных данных – действия (операции) с персональными данными, включая сбор,

систематизацию, накопление, хранение, уточнение (обновление, изменение), использование,

распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных

Видео удалено.
Видео (кликните для воспроизведения).

Информационная система персональных данных (далее ИСПД) – информационная система,

представляющая собой совокупность персональных данных, содержащихся в базе данных, а также

информационных технологий и технических средств, позволяющих осуществлять обработку таких

персональных данных с использованием средств автоматизации или без использования таких средств.

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия

по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ «О персональных

данных» установлены три регулятора:

 Роскомнадзор (защита прав субъектов персональных данных)

 ФСБ (требования в области криптографии)

 ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по

Так как ФЗ «О персональных данных» является лишь основой правового обеспечения защиты ПД, его

требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи,

нормативно-методических документах регуляторов.

Как соблюсти требования о защите персональных данных

Персональные данные личности являются конфиденциальной информацией, и ее оборот осуществляется в рамках жесткой правовой процедуры. Принятый шесть лет назад Закон о персональных данных регулирует отношения, связанные с обработкой персональных данных. Однако большинство норм подзаконных актов в отношении требований по обработке персональных данных размыто и в них сложно ориентироваться. Расскажем о том, как привести деятельность компании в соответствие с данными требованиями на примере типичных ошибок, совершаемых операторами при работе с персональными данными.

Правовую основу регулирования отношений в сфере персональных данных составляет Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) и принятые в соответствии с ним нормативные правовые акты.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъектом персональных данных может быть только физическое лицо.

Таким образом, персональные данные — это любая информация, с помощью которой лицо можно определить (идентифицировать), например: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, биометрическая информация, данные о супруге, детях, других членах семьи, индивидуальные средства коммуникации (номер телефона, адрес электронной почты, персональный сайт или иной личный ресурс в Интернете, например блог или страница в социальной сети), сведения о событиях и обстоятельствах жизни лица, позволяющие его идентифицировать, в том числе аудио- и видеофайлы, и т.д. Перечень сведений, которые могут быть отнесены к персональным данным, является открытым.

Читайте так же:  Как подать встречный иск. исковое встречное заявление в суд образец. отзыв встречного искового заявл

Любые действия или операции с персональными данными называются обработкой персональных данных.

Государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, называются операторами персональных данных.

Закон обязывает оператора принимать меры по защите персональных данных, но при этом перечень таких мер он вправе определять сам. Закон называет лишь примерный перечень мер. К ним, в частности, отнесены:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) ознакомление работников с положениями законодательства РФ о персональных данных, в том числе с требованиями о защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников.

При этом оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях о защите персональных данных.

Оператор обязан представить указанные документы и локальные акты и (или) иным образом подтвердить принятие указанных мер по запросу Роскомнадзора.

Таким образом, можно выделить основные обязанности оператора:

  • принятие локального нормативного акта, регулирующего вопросы защиты персональных данных;
  • назначение работника, ответственного за организацию обработки персональных данных.

Также до начала обработки персональных данных оператор обязан направить уведомление в территориальное отделение Роскомнадзора по месту своего нахождения. Форма бланка и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19.08.2011 № 706.

Оператор не обязан уведомлять Роскомнадзор в случаях, когда персональные данные:

1) обрабатываются в соответствии с трудовым законодательством;

2) получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) сделаны субъектом персональных данных общедоступными;

4) включают в себя только фамилии, имена и отчества субъектов персональных данных;

5) необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

6) обрабатываются без использования средств автоматизации.

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в реестр операторов. Сведения, содержащиеся в этом реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

Операторы, осуществлявшие обработку персональных данных до 1 июля 2011 г., обязаны не позднее 1 января 2013 г. представить в Роскомнадзор следующие сведения:

  • правовое основание обработки персональных данных;
  • фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями о защите персональных данных, установленными Правительством РФ.

Согласие на обработку персональных данных

По общему правилу обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие на обработку может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

Случаи, когда согласия не требуется, предусмотрены в ст. 6 Закона.

Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя данные, указанные в п. 4 ст. 9 Закона.

В Законе статья об ответственности сформулирована лаконично: «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность».

В настоящее время меры ответственности за нарушение законодательства о защите персональных данных разбросаны по различным отраслям законодательства — административному, уголовному, гражданскому, трудовому.

Наиболее часто применяется административная ответственность за нарушение ст. 13.11 КоАП РФ. В качестве типичных можно выделить следующие нарушения:

  • обработку персональных данных без согласия субъекта персональных данных;
  • несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Закона о персональных данных;
  • нарушение требований конфиденциальности при обработке персональных данных.

Ответственность наступает в виде предупреждения или наложения административного штрафа на на должностных лиц — от 500 до 1000 руб., на юридических лиц — от 5000 до 10 000 руб.

Однако есть предложение увеличить размер штрафов (соответствующий законопроект проходит сейчас согласовательные процедуры). Например, штраф за нарушение порядка обработки персональных данных для юридических лиц — до 500 000 руб.

Моральный вред, причиненный субъекту персональных данных, подлежит возмещению в соответствии с ГК РФ. Его возмещение осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Также виновные в нарушении требований законодательства несут дисциплинарную и уголовную ответственность. Однако привлечение к уголовной ответственности является крайне редким явлением.

Советы, как привести деятельность компании в соответствие с требованиями законодательства

Сотрудники Роскомнадзора уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой — эти требования размыты по многочисленным нормативным актам, поэтому операторам сложно в них сориентироваться.

Большинство замечаний Роскомнадзора относится к тому, что необходимые документы, касающиеся персональных данных, часто носят формальный характер, повторяя содержание статей Закона о персональных данных. В разъяснениях Роскомнадзор выделяет типичные ошибки, которые допускают операторы:

Читайте так же:  Специфика проблемы безопасности оперативной связи. система обеспечения безопасности сотовой связи (3

1. Не указываются конкретные нормы Закона, на основании которых оператор ведет обработку персональных данных. Рос­комнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности оператора и касающихся обработки персональных данных.

2. Под целью обработки персональных данных операторы ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и др.). Однако здесь следует перечислить конкретную цель обработки персональных данных.

3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня операторы пишут фразы «и др.», «и т.п.», «другая информация». Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть закрытым.

4. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Однако оператору следует указать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.

5. Не указываются конкретные меры, которые оператор обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности.

6. Отсутствует список лиц, имеющих доступ к персональным данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом оператора.

Это наиболее типичные ошибки операторов, хотя Роскомнадзор отмечает и другие. Например, отсутствие листа ознакомления работников оператора под личную подпись с Положением о защите персональных данных, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.

Обзор требований по защите персональных данных Требования по защите личных данных

Одним из требований, предъявляемым к оператору персональных данных является обеспечение защиты персональных данных. В случае неавтоматизированной обработки персональных данных оператор обязан установить перечень лиц, ведущих работу с персональными данными, определить места хранения таких данных и обеспечить их разделение, если обработка сведений ведется в различных целях. Самое главное, что должен сделать оператор — исключить несанкционированный доступ к персональным данным. Меры, направленные на это, определяются на усмотрение оператора.

Защита информационных систем куда более сложная задача. Так, в постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое устанавливает четыре уровня защищенности (УЗ-4, УЗ-3, УЗ-2, УЗ-1), определен ряд требований по защите, указанных в таблице ниже.

Кроме того, ФСТЭК России в 2013 году издает Приказ № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», который раскрывает выше рассмотренное постановление.

В данном приказе уточняется ряд организационных и технических мер защиты. В их состав входят следующие мероприятия (базовые меры):

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты персональных данных.

Содержание и состав вышеуказанных мероприятий рассматривается в приложении к приказу и зависит от уровня защищенности информационной системы.

При построении системы защиты персональных данных, оператор, руководствуясь набором базовых мероприятий, адаптирует их на свою информационную систему. В случае невозможности технической реализации отдельных мер, а также с учетом экономической целесообразности, при должном уровне обоснованности, могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

Оператор также обязан оценить эффективность принятых мер. Оценка эффективности проводится оператором самостоятельно или с привлечением лицензиатов по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

58. Персональные данные. Законодательство в области защиты персональных данных.

Российское законодательство вот уже более 3 лет стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных),

Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 781),

Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687).

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:

— его фамилия, имя, отчество,

— год, месяц, дата и место рождения,

— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,

другая информация (см. ФЗ-152, ст.3)

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).

Читайте так же:  Как выглядит образец письма о расторжении договора оказания услуг необходимость и правила составлени

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ Согласно базовому закону персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Существует четыре вида персональных данных, которые разделяются по степени информативности:

Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.

Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.

Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.

К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются ПДн, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной и муниципальной власти, либо ПДн, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

Закон о защите персональных данных. Наш взгляд на проблемы реализации

Закон о защите персональных данных не обсуждал наверное только ленивый. В прошлом году по «хайповости» в области информационной безопасности можно сравнить только с темой ФЗ №187 «О безопасности КИИ». Тема настолько избитая, что большинство специалистов при ее упоминании инстинктивно вздыхают. Что же побудило нас снова обратиться к этой теме?

Вспоминается реакция, которую вызывала данная тема у наших клиентов. Эта реакция неизменно бывает двух видов. Некоторые заказчики, закатывая глаза, произносят что-то вроде «Ооо. Опять ПДн! Нам эта тема не интересна!». В основном, этим отличаются представители коммерческих организаций. Реакция же специалистов из государственных организаций чаще всего похожа на это: «Сделайте уже что-нибудь с этой темой».

Реакция представителей госсектора понятна – законодательством предусмотрен особый надзор и контроль за темой осуществления защиты персональных данных. Есть целый Федеральный закон ( Федеральный закон РФ от 27.07.2006 г. №152-ФЗ «О персональных данных» ) и множество нормативно-методических документов, регулирующих данную сферу. Определено ведомство, которое является регулятором данной сферы. Т.е., законодательно указано, кто может прийти к вам в гости для того, чтобы проверить, всё ли вы соблюдаете. Это Роскомнадзор ( контроль исполнения организационных мер по защите персональных данных, ведение реестра операторов, осуществляющих обработку ПДн ), ФСТЭК (контролирует исполнение технических мер по защите ПДн, за исключением использования СКЗИ) и ФСБ ( контролирует исполнение технических мер по защите ПДн, за исключением использования СКЗИ, а ФСБ, как раз, смотрит на использование криптографии ).

Проблемы и коллизии правового регулирования защиты персональных данных.

Если говорить о проблематике реализации закона о защите персональных данных, то, на наш взгляд, эти проблемы корнями уходят в историю возникновения 152-ФЗ.

История Закона началась в далёком 1981 году. Совет Европы опубликовал конвенцию о защите ПДн граждан при их обработке с помощью электронных средств. Конвенция предполагает защиту граждан от коммерческого использования электронных баз ПДн. В 1999 Конвенция редактировалась для включения в неё новых реалий. Именно в этой редакции Россия и подписала Конвенцию 07.11.2001 г. Сделано это было как необходимый шаг для вступления в ВТО. Конвенция предполагает, что страна, подписавшая документ, предъявляет собственные тех.требования к защите ПДн. Для реализации этого страна должна принять свой закон о защите персональных данных, который бы закреплял эти требования. Российский закон “О персональных данных” был принят 27.07.2006 и получил порядковый №152.

Таким образом, данный закон начал свое существование как достаточно рамочный документ, создание которого было продиктовано мотивом, весьма далеким от желания обеспечить четкое регулирование сферы защиты ПДн. Закон очевидно выглядит не практичным, ведь на момент его создания отсутствовала должная степень зрелости в описываемой сфере. Оно и понятно. Данная область является достаточно новой, поэтому существуют явные разрывы между «де юре» и «де факто».

Так, закон о защите персональных данных содержит описание процессов обработки ПДн, а действия по непосредственной защите им практически не описываются.

Кроме того, существующая тенденция в сфере ИБ – это весьма интенсивное развитие. Законодательство попросту не поспевает за технологиями.

Тем не менее, с течением времени мы видим, что законодательно данная сфера медленно, но совершенствуется. Однако, изначальный посыл всё еще сказывается. Защита ПДн до сих пор многими воспринимается как нечто чуждое и, в лучшем случае, опциональное.

Наиболее распространенные нарушения в области защиты персональных данных.

На Западе мероприятия по обеспечению ИБ тесно интегрированы с процессами обработки данных и, вообще, вплетены в бизнес-процессы так, что они воспринимаются как неотъемлемая часть работ. Кроме того, зарубежные законодательные акты гораздо проще с точки зрения их технической реализации. Для российской реальности законодательство по ИБ в целом и по защите ПДн, в частности, представляется некой надстройкой, которая (при недостатке финансов/зрелости) может откладываться в долгий ящик. Если же что-то и реализуется, то, как правило, только потому, что законодательством предусмотрены конкретные «карательные» меры. Ниже представлена соответствующая “карательная” таблица, которая способна основательно подпортить настроение в и без того не радостной теме. Тем не менее, мы оставляем ее здесь. Предупрежден значит вооружен.

Вдруг вы еще не знаете. Указанные в таблице штрафы действуют с 01.07.2017, их размер был увеличен, и не факт что этого не случиться вновь, например после очередного крупного инцидента, как это обычно бывает в нашей стране .

Из нашей практики мы увидели, что в подавляющем большинстве закон о защите персональных данных нарушается не умышленно и не носит злостный характер, когда оператор преднамеренно проводит махинации с ПДн. «Проколы», в основном, носят неумышленный характер и являются следствием недостатка компетенции и незнания законодательства со стороны ответственных лиц.

Читайте так же:  Коммерсант поиск по объявлениям. газета коммерсантъ публикации о банкротстве. публикации о несостоят

Так, по результатам мониторинга сайтов учреждений здравоохранения одного из регионов, проведенного нашей Компанией, было выявлено, что подавляющее большинство не выполнило данное требование, т.е. каждое учреждение подпадает под возможное наложение штрафов со стороны Роскомнадзора. Некоторые учреждения, все же, разместили некую информацию в разделе, относящемся к ПДн, однако выложенные документы содержали неточности и нарушения требований законодательства. Т.о., за невыполнение оператором предусмотренной законодательством РФ в области ПДн обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн (проще говоря, если вы не повесили «Политику обработки ПДн») – вам положен штраф – от 15 до 30 тыс.руб. (строка 3 в таблице).

Существуют и другие проблемы в реализации закона о защите персональных данных. В частности, трудности технического, организационного и финансового характера, как правило, связаны между собой. Многие организации попросту не могут себе позволить организовать процессы обработки ПДн в строгом соответствии с Федеральным законодательством из-за того, что не имеют для этого достаточного финансирования.

Приведём простой пример. 152-ФЗ гласит, что ПДн – это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в т.ч. его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Т.о., ПДн – это определенный вид информации, причем, не связанный с режимом конфиденциальности. Соответственно, ПДн могут содержаться в информационных ресурсах, к которым применены различные режимы конфиденциальности (разные виды тайн). Позиция регуляторов такова, что рекомендовано вычленять ПДн из систем с конфиденциальной информацией. На практике зачастую это весьма проблематично реализовать технически и организационно.

[2]

Так же достаточно распространена проблематика реализации трансграничной передачи ПДн, когда оператору, в соответствии с установленными бизнес-процессами, требуется передать информацию ограниченного доступа зарубеж. В связи с этим появляется ряд сложностей. Каким образом оператор может удостовериться в том, что на той стороне реализована полноценная защита прав субъектов ПДн? Отсутствует ясность, как именно в случае проверки оператор может заверить регулятора об успешной реализации необходимых требований удалённой стороны. Если говорить об этой проблеме детальнее, то Закон не описывает следующие варианты:
– ПДн направляются гражданину РФ, находящемуся в другой стране,
– представительство оператора размещено в другой стране;
– ПДн направляются из представительства оператора в другой стране на территорию России.

И что же делать?

Мы не будем подробно останавливаться на вопросе, связанном с разработкой локальных актов на предприятии, направленных на защиту, обработку и хранение ПДн. Почему? Ответ прост. Всем, кто так или иначе бросался в этот «омут» с головой, становится очевидно, что законодательство по защите ПДн не содержит исчерпывающего перечня документов и мер, необходимых к разработке и реализации. Законодатель, с одной стороны, оставляет для оператора свободу для творчества в этой сфере. С другой стороны, для этого «творчества» необходимо весьма глубокое погружение в тему. Для этого погружения, в идеале, нужен отдельный квалифицированный специалист. Многие госструктуры не могут позволить себе подобную роскошь. Перспектива, прямо скажем, не радует.

Что же делать? Выход есть! Специалистам, на которых возложена почетная обязанность обеспечивать защищенность ПДн (а если вы являетесь оператором по обработке ПДн, у вас должен быть определен такой человек, хотя бы формально), следует занять проактивную позицию в части выполнения своих полномочий. Это активное сотрудничество с организациями, профессионально занимающимися вопросами практической организации защищенности ПДн . А так же это ведение активной консультационной работы и переписки с государственными органами-регуляторами законодательства в сфере защиты ПДн.

Конечно, это не может служить 100%-ной гарантией, что вы избежите сложностей. Однако, это – один из надежных способов обеспечения защищенности ПДн в целом и прохождения проверок регуляторов в частности. Этим самым вы сможете существенно повысить степень исполнения законодательства по защите ПДн, сэкономить нервы себе, финансы организации, а так же заработать репутацию профессионала во вверенной Вам сфере.

Видео удалено.
Видео (кликните для воспроизведения).

Вместо постскриптума.
Если бы автора попросили дать краткую характеристику 152-ФЗ, то она была бы следующей (легкая степень сарказма).
Об этом законе хочется не говорить либо ничего, либо только хорошее. Поэтому всё, что мы скажем – это «Dura lex sed lex!» (Закон суров, но он закон). Его незнание не освобождает от ответственности. Однако, даже его знание не не даст вам «легкой жизни» в сфере обеспечения защищенности ПДн.

Источники


  1. Братановский, С. Н. Теория государства и права / С.Н. Братановский. — М.: Приор-издат, 2003. — 174 c.

  2. Исаков, Владимир Теория государства и права 3-е изд., пер. и доп. Учебник для бакалавров / Владимир Исаков. — М.: Юрайт, 2016. — 830 c.

  3. Под., Ред. Ванян А.Б. Афоризмы о юриспруденции: от античности до наших дней / Под. Ванян. — М.: Рязань: Узорочье, 2012. — 528 c.
  4. Астахов, Павел Правописные истины, или Левосудие для всех / Павел Астахов. — М.: Эксмо, 2016. — 368 c.
  5. Научно-практический комментарий к Земельному кодексу Российской Федерации с постатейными материалами и судебной практикой / Под редакцией С.А. Боголюбова. — М.: Юрайт, 2018. — 800 c.
Персональные данные. законодательство в области защиты персональных данных. защита персональных данн
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here