Закон о защите персональных данных

Основные понятия

Операторами персональных данных являются: государственный орган или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ПДн).

Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение персональных данных.

Сфера действия Закона

В соответствии со статьей 1 Закона, сфера его действия распространяется на отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными госорганами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, физическими лицами, юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Таким образом, требования Закона «О персональных данных» распространяются фактически на все государственные и коммерческие организации, обрабатывающие в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров и т. п.), независимо от размера компании и формы собственности.

Основные действия, необходимые для соблюдения Закона

• Уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
• Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных).
• Создание системы защиты персональных данных, в т. ч. выполнение требований по инженерно-технической защите помещений.
• Аттестация или декларирование соответствия информационных систем персональных данных требованиям безопасности информации.
• Повышение квалификации сотрудников в области защиты персональных данных.

Ответственность за нарушение требований Закона

Статья 24 Закона: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

В текущем законодательстве предусмотрены следующие виды ответственности:

«...КоАП РФ. Статья 13.11. Нарушение установленного законом „О персональных данных“ порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом „О персональных данных“ порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа...»

«...КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом

Разглашение информации, доступ к которой ограничен федеральным законом „О персональных данных“ (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса (Ст.14.33 — недобросовестная конкуренция) влечет наложение административного штрафа...»

«...КоАП РФ. Статья 5.39. Отказ в предоставлении гражданину информации

Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом „О персональных данных“, либо предоставление гражданину неполной или заведомо недостоверной информации — влечет наложение административного штрафа...»

«...УК РФ. Статья 137. Нарушение неприкосновенности частной жизни Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации — наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев...»

«...УК РФ. Статья 140. Отказ в предоставлении гражданину информации

Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, — наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет...»

«...УК РФ. Статья 272. Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет...»

Согласно подпункту 4 пункта 3 статьи 23 Закона, уполномоченный орган по защите прав субъектов персональных данных вправе принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Закона.

Предварительный анализ информационных ресурсов предприятия

1. В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Это могут быть данные работников, клиентов, заказчиков, посетителей, партнеров, контрагентов и т. п.
2. Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договор оказания услуг и т. п.
3. Сроки обработки и хранения: хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Необходимо установить перечень ПДн, по которым цели обработки уже достигнуты.
4. Способы обработки персональных данных: обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.
5. Понятие неавтоматизированной обработки ПДн определено в Постановлении Правительства РФ № 687 от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации. В случае обработки ПДн с использованием средств автоматизации на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) — например, систему бухгалтерского учета, систему взаимоотношений с клиентами, систему бронирования и реализации, биллинговую систему и т. п.
6. Состав и объем обрабатываемых персональных данных: в зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т. п.) определяется категория, к которой они относятся:
   • Категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
   • Категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
   • Категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
   • Категория 4 — обезличенные и (или) общедоступные персональные данные.

   Наконец, объем обрабатываемых ПДн — это количество субъектов ПДн, обрабатываемых в каждой информационной системе.

7. Классификация информационных систем ПДн: информационные системы делятся на: Типовые информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;

   Специальные информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Подача уведомления в уполномоченный орган

Обработка персональных данных без уведомления

Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:

• если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
• при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
• если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
• если персональные данные необходимы для однократного пропуска на территорию предприятия;
• персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
• персональные данные обрабатываются без использования средств автоматизации.

Если один или несколько из перечисленных пунктов относится к вашему предприятию, подавать уведомление в Роскомнадзор не нужно.

Подача уведомления в Роскомнадзор

Во всех остальных случаях предприятие обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения предприятия; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Организационные меры защиты персональных данных

Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации. Организационные меры по защите персональных данных включают в себя:

• Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например): положение об обработке персональных данных, положение по защите персональных данных, регламент взаимодействия с субъектами персональных данных, регламент взаимодействия при передаче персональных данных третьим лицам, инструкции администраторов безопасности персональных данных, инструкции пользователей по работе с персональными данными.
• Перечень мероприятий по защите персональных данных: определение круга лиц, допущенного к обработке персональных данных; организация доступа в помещения, где осуществляется обработка ПДн; разработка должностных инструкций по работе с персональными данными; установление персональной ответственности за нарушения правил обработки ПДн; определение продолжительности хранения ПДн и т. д.

Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных: чем выше категория, тем выше требования их защиты.

Сроки приведения в соответствие

Часть 3 Статьи 25 Закона № 152-ФЗ: «Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.» Таким образом, вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».

Государственные органы в сфере обработки персональных данных

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

• Россвязькомнадзор (федеральная служба по надзору в сфере связи и массовых коммуникаций) — осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства.
• ФСТЭК России (федеральная служба по техническому и экспортному контролю) — устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий.
• ФСБ РФ (Федеральная служба безопасности РФ) — устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу использования криптографических средств защиты информации).