Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

1. Приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Разберем порядок действий на отдельно взятой информационной системе.

ГИС или не ГИС

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной .

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

• связанные с наличием недекларированных возможностей в системном программном обеспечении;
• связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
• не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

• специальные;
• биометрические;
• общедоступные;
• иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

• до 100 тысяч;
• более 100 тысяч;
• ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер .

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер .

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН .

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»

152-ФЗ "О персональных данных" регулирует отношения, касающиеся использования уполномоченными органами сведений о гражданах. К уполномоченным структурам относят в том числе государственные и муниципальные организации. Нормативным актом обеспечивается информационная защита. 152-ФЗ "О персональных данных" регламентирует также вопросы по использованию сведений о физлицах другими гражданами и организациями.

Вспомогательные инструменты

С их помощью осуществляется сбор информации и ее обработка. 152-ФЗ "О персональных данных" в качестве вспомогательных инструментов называет средства автоматизации. К ним в числе прочего относят компоненты информационно-телекоммуникационных сетей. Нормативный акт регламентирует также отношения, связанные с использованием информации без применения указанных средств, если обработка без них соответствует характеру операций (действий), имеющих место при задействовании инструментов автоматизации. В данном случае в виду имеется то, что их алгоритм позволяет выполнять поиск необходимых сведений, присутствующих в картотеках, на материальных носителях либо других систематизированных собраниях.

Исключения из сферы действия нормативного акта

Они разъясняются в ст. 1. В 2010 и 2011 гг. в нее были внесены изменения. 152-ФЗ "О персональных данных" не охватывает отношения, которые возникают при:

1. Организации, хранении, комплектовании, учете и использовании документов Российского Архивного фонда, содержащих личные сведения о гражданах.
2. Обработке персональной информации физлицами исключительно в личных и семейных нуждах, если при этом не ущемляются права и интересы владельце таких данных.
3. Предоставлении уполномоченными инстанциями сведений о работе судов в РФ.
4. Обработке данных, которые относятся к государственной тайне.

Цель нормативного документа

В качестве нее выступает защита. 152-ФЗ "О персональных данных" выступает в качестве гаранта неприкосновенности личных сведений физлиц, составляющих тайну их семейной и частной жизни. При сборе и последующем использовании информации не должны нарушаться свободы и права человека и гражданина.

Требования

152-ФЗ "О персональных данных" формулирует ряд принципов, в соответствии с которыми осуществляется работа с информацией личного характера:

1. Законность и справедливость оснований.
2. Установление конкретных целей, ограничивающих обработку данных. Запрещена работа со сведениями, несовместимая с поставленными задачами.
3. Не допускается объединять информационные базы, обработка данных в которых производится в целях, не согласующихся друг с другом.
4. Работа осуществляется только с теми сведениями, которые отвечают поставленным задачам.
5. Объем и содержание информации должны соответствовать целям обработки. Они не должны быть избыточными относительно заявленным задачам.
6. В процессе обработки должны обеспечиваться точность личных данных, их достаточность, а также при необходимости актуальность. Оператору надлежит принимать надлежащие меры по удалению либо уточнению неточных или неполных сведений либо создать условия для принятия таких мер.

Хранение

152-ФЗ "О персональных данных" предписывает, что содержание информации личного характера должно осуществляться в такой форме, которая позволяет идентифицировать субъекта. Хранение должно производиться не дольше, чем это нужно для заявленных целей работы со сведениями. Данное положение 152-ФЗ "О персональных данных" используется в том случае, если срок для содержания информации не определен нормативным документом, соглашением, стороной которого, поручителем либо выгодоприобретателем по которому выступает субъект. Обрабатываемые данные должны быть уничтожены или обезличены по достижении заявленных целей или при утрате в необходимости их достижения, если другое не установлено в нормативном акте.

Правила

Работа с личной информацией осуществляется только в том случае, если субъект дал на это согласие. 152-ФЗ "О персональных данных" допускает сбор и последующее использование личных сведений в соответствии с заявленными целями оператором, а также лицом, выполняющим его поручение. В последнем случае должно быть получено согласие субъекта на это. Ответственность за работу со сведениями несет оператор. При направлении поручения в нем должны указываться:

1. Перечень операций (действий) с личной информацией, которые надлежит совершить лицу.
2. Обязанность лица сохранить конфиденциальность информации, обеспечить ее безопасность в процессе обработки.
3. Цели работы со сведениями.
4. Дополнительные условия, которые предусматривает Закон о защите (152-ФЗ "О персональных данных").

Нормативный документ предписывает, что операторы и прочие лица, исполняющие их поручения, обязаны не раскрывать иным субъектам и не распространять известные им сведения, если другое не предусматривается правовым актом.

Общедоступные источники

Закон о защите (152-ФЗ "О персональных данных") допускает создание адресных книг, справочников и прочих баз для информационного обеспечения. В общедоступные источники с согласия субъекта могут вноситься:

1. Место и год рождения.
2. Абонентский номер.
3. Адрес.
4. Информация о профессии и прочие личные сведения.

Согласие субъекта предоставляется в письменном виде. Сведения о гражданине должны быть удалены из общедоступных источников по его запросу либо в соответствии с решением суда, иных уполномоченных инстанций.

Необходимость работы с информацией

152-ФЗ "О персональных данных" устанавливает, что использование сведений осуществляется в соответствии с целями исполнения/обеспечения:

1. Международных договоров РФ для выполнения обязанностей, задач и функций, возложенных на оператора.
2. Правосудия, исполнения судебного акта, постановления иного органа либо должностного лица.
3. Реализации полномочий федеральных исполнительных структур, внебюджетных госфондов, институтов местного самоуправления и функций организаций/учреждений, предоставляющих муниципальные или государственные услуги.
4. Договоров, поручителем, выгодоприобретателем по которому либо участником которого выступает субъект, в том числе при реализации оператором права на уступку по такому соглашению.
5. Защиты здоровья, жизни, интересов гражданина, если получение его согласия на работу с его личными данными невозможно.
6. Профессиональной деятельности журналиста либо СМИ, литературной, научной или другой творческой работы при условии, что это не будет нарушать и ущемлять интересы и права субъекта.
7. Реализации статистических или других исследовательских задач с обязательным последующим обезличиванием полученной информации. Исключением являются цели, установленные в статье 15 рассматриваемого нормативного документа.

Правила, в соответствии с которыми осуществляется обработка специальных категорий индивидуальных сведений, биометрической персональной информации устанавливаются в статьях 10-11 комментируемого Федерального закона.

1. К которой субъектом предоставлен неограниченный доступ.
2. Обработка которой осуществляется по просьбе лица.
3. Подлежащей обязательному раскрытию или опубликованию согласно нормативному акту.

Согласие субъекта

Как выше было сказано, оно должно предоставляться в письменном виде. В согласии должны присутствовать следующие данные:

1. ФИО, адрес лица, наименование и номер документа, по которому его личность идентифицируется, сведения о дате, когда он выдан. Если от имени субъекта действует представитель, дополнительно предъявляется бумага, подтверждающая соответствующие полномочия.
2. Название либо ФИО и адрес оператора или лица, который выполняет обработку в соответствии с поручением.
3. Цель работы со сведениями.
4. Список персональных данных, на использование которых субъект дает согласие.
5. Срок, на протяжении которого действует разрешение лица, способ его отзыва.
6. Подпись субъекта, дающего согласие.

Если лицо признано недееспособным, разрешение на работу с его сведениями дает его представитель. В случае гибели субъекта такое согласие предоставляют его наследники, если при жизни он его не дал.

Важный момент

Принятие решения о предоставлении собственных персональных данных и последующую их обработку осуществляется субъектом в своем интересе, свободно и добровольно. Разрешение на работу с информацией должно быть конкретным, сознательным. Согласие может даваться лицом или его представителем в любой форме, позволяющей подтвердить факт его получения, если другое не устанавливается в нормативном документе. Если разрешение на работу с информацией получено от представителя, оператор проверяет его полномочия. Согласие на обработку информации может быть отозвано субъектом. В этом случае оператор вправе продолжать работу с информацией без получения разрешения на это от лица при наличии оснований, приведенных в п. 2-11 ч. 1 статьи 6, частях вторых статей 10-11 комментируемого нормативного акта.

Федеральный закон о защите персональных данных претерпел последние изменения (обновления) в сентябре 2015 года, а вот с 1 января 2016 нововведений не поступило, хотя многие их ожидали.

Согласно последней редакции ФЗ каждый гражданин РФ имеет исключительное право на защиту личной конфиденциальной информации которая является недоступной для третьих лиц.

Что является персональными данными по закону РФ?

В соответствии с нынешним профильным законодательством Российской Федерации персональными данными принято считать:

• паспортные данные,
• имена и фамилии,
• некоторые другие моменты, которые стали известны субъекту в процессе определенных правоотношений.

К примеру, ФЗ 152 также регламентирует правила о нераспространении полученной информации банком при заключении кредитных и иных соглашений. Практический смысл этого соглашения значится в том, что россиянин, доверив свои данные в рамках определенных отношений, может быть уверен в их сохранении в тайне. В противном случае, нарушение этого правила может предусматривать и уголовное наказание. Общими словами, указанная информация является конфиденциальной и о ее разглашении или распространении не может быть и речи.

152 ФЗ закон о персональных данных

Настоящий законопроект был окончательно подготовленным в 2006 году. До этого времени в России подобного акта не существовало, а это значит, что на территории нашей страны граждане в этом плане были незащищенными. Федеральный закон от 27 июля 2006 г n 152 ФЗ о персональных данных юридически вступил в силу после его одобрения Советом Федерации. Должный административный порядок предполагает, что чтение проводит Госдума, а верхняя палата дает одобрение. Этот порядок действий предусмотрен для узаконивания каждой новой редакции.

О том, что будет за нарушение ФЗ поговорим далее.

Закон 152 ФЗ об обработке персональных данных новая редакция на 2016,

Текст ФЗ с комментариями и пояснениями в новой редакции можно обнаружить в интернете на профильном сайте «Консультант+». Тут же описывается система и сфера работы данного акта. Материал указан с изменениями и поправками за 2016 год, поэтому он максимально актуальный. Ознакомившись с данным актом, каждое лицо найдет ответ на имеющийся вопрос. К примеру, россиян обычно интересуют следующие моменты:

• определение о конфиденциальности (неразглашении);
• ответственность в случае нарушения (действующая редакция);
• работа норм (или что такое персональные данные);
• судебная практика (обычно касается использования информации банками);
• новая (последняя) редакция.

Нарушение закона о персональных данных и ответственность за разглашение информации

При несоблюдении установок ФЗ 152 о неразглашении персональных данных к ответчику может быть применено сразу два вида наказания:

• по статье (до 5 лет заключения);
• и по (штраф до 5 тыс. рублей).

Гражданский и трудовой кодексы содержат лишь предписывающие диспозиции в этой связи. Здесь даются разъяснения об обработке, предоставлении, хранении, передаче, удалении информации и наказании за все эти действия.

Закон о хранении персональных данных на территории РФ в Интернете

Соблюдение всех правил и защита персональных данных и прав являются обязательными на всей территории России. Государственный контроль за работой данного постановления в сети «Интернет» осуществляет Роскомнадзор. Поэтому, если у вас обозначился вопрос относительно того, куда в таких случаях жаловаться, то мы вам указали на уполномоченную структуру. Образец обращения можно отыскать также в сети. Требование соблюдения всех положений акта не терпит исключений.

О передаче третьим лицам, что сказано в ФЗ 152?

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Федеральный закон № 13-ФЗ), которым детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. В связи с этим мы решили напомнить основные положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) и гл. 14 ТК РФ, которые регламентируют правила обработки персональных данных работников и гарантии их защиты.

Закон о персональных данных в 2017 г.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона № 152-ФЗ).

Согласно п. «a» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981) персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

В силу п. 3 ст. 3 Федерального закона № 152-ФЗ любые действия или операции с персональными данными считаются их обработкой. К таким действиям относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение данных. Все эти действия могут совершаться с помощью средств автоматизации или без использования таковых.

Организация работы с персональными данными.

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:

• в паспорте;
• в военном билете (у военнообязанных);
• в свидетельстве о присвоении ИНН;
• в страховом пенсионном свидетельстве;
• в документах об образовании;
• в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
• в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.

В статье 86 ТК РФ установлены общие требования, которые должны соблюдать работодатель и его представители при обработке персональных денных в целях обеспечения прав и свобод человека и гражданина:

• обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
• все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
• работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;
• работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, кроме случаев, установленных ТК РФ или иными федеральными законами;
• при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• защита персональных данных работника от их неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
• работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
• работники не должны отказываться от своих прав на сохранение и защиту тайны;
• работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ каждая организация обязана издать документ, определяющий ее политику в отношении обработки персональных данных, локальный акт по вопросам обработки персональных данных, а также локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Отсутствие в организации локального нормативного акта, устанавливающего порядок обработки персональных данных работников, является нарушением трудового законодательства и влечет административную ответственность по ст. 5.27 КоАП РФ (постановления Московского городского суда от 29.08.2011 № 4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006 № КА-А40/11424-06 по делу № А40-17389/06-146-165, от 01.11.2006, 08.11.2006 № КА-А40/10787-06 по делу № А40-32068/06-96-156).

Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Право доступа к персональным данным работника, в частности, имеют:

• руководитель организации (работодатель – индивидуальный предприниматель);
• непосредственный руководитель работника;
• начальник отдела кадров;
• сотрудники отдела кадров;
• сотрудники бухгалтерии.

Так как доступ к персональным данным может иметь не только руководитель организации, ответственность за разглашение персональных данных предусмотрена и для работников организации. Например, согласно п. «в» ч. 6 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по инициативе работодателя в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе при разглашении персональных данных другого работника.

Закон о персональных данных в 2017 г. К сведению:

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации утверждено Постановлением Правительства РФ от 15.09.2008 № 687 (далее – Положение).

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы:

• о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации;
• о категориях обрабатываемых персональных данных;
• об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации		Обработка персональных данных без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ
		Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях
		При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором

К сведению:

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Оформление согласия работника на передачу его персональных данных.

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Сразу перечислим ситуации, когда не требуется согласие работника на передачу его персональных данных.

Не требуется согласие работника на передачу его персональных данных	Нормы законодательства
Третьим лицам в целях предупреждения угрозы жизни и здоровью работника	Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора
В ФСС, ПФР в объеме, предусмотренном законом	Абзац 15 ч. 2 ст. 22 ТК РФ, п. 2 ст. 12 Федерального закона от 16.07.1999 № 165-ФЗ, п. 1, 2 ст. 9, п. 1, 2, 2.1, 3 ст. 11, абз. 2 ч. 2 ст. 15 Федерального закона от 01.04.1996 № 27-ФЗ, п. 2 ст. 14 Федерального закона от 15.12.2001 № 167-ФЗ, абз. 3 п. 4 Разъяснений Роскомнадзора
В налоговые органы	Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
В военные комиссариаты	Абзац 4 п. 1 ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ, пп. «г» п. 30, пп. «а» – «в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений Роскомнадзора
По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем	Абзац 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 № 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора
По мотивированному запросу органов прокуратуры	Пункт 1 ст. 22 Федерального закона от 17.01.1992 № 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора
По мотивированному требованию правоохранительных органов и органов безопасности	Статья 6 Федерального закона от 29.07.2004 № 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора
По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности	Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом	Абзац 5 ст. 228 ТК РФ. Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ
В случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку	Части 5 – 5.2 ст. 11 Федерального закона от 09.02.2007 № 16-ФЗ, п. 19 Правил предоставления гостиничных услуг в Российской Федерации, утвержденных Постановлением Правительства РФ от 09.10.2015 № 1085, абз. 2 п. 2 Постановления Правительства РФ № 1085, абз. 4 п. 4 Разъяснений Роскомнадзора
Для предоставления сведений в банк, обслуживающий банковские карты работников, при условии что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников	Абзац 10 п. 4 Разъяснений Роскомнадзора

Во всех остальных случаях передача персональных данных производится с письменного согласия работника, из которого должно быть ясно, кому будут передаваться его персональные данные и с какой целью.

Кроме того, работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.

Контроль и надзор за обработкой персональных данных.

Контроль и надзор за обработкой персональных данных работников осуществляются в соответствии с гл. 5 Федерального закона № 152-ФЗ.

К сведению:

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

С учетом поправок, внесенных Федеральным законом № 16-ФЗ , с 01.03.2017 деятельность Роскомнадзора в сфере обработки персональных данных отнесена к государственному контролю и надзору. Теперь Роскомнадзор защищает права субъектов персональных данных – физических лиц и будет проводить проверки организаций и предпринимателей (операторов персональных данных), а также контролировать обработку персональных данных иными операторами. Порядок проведения проверок и других контрольных мероприятий определяет Правительство РФ (ч. 1, 1.1 ст. 23 Федерального закона № 152-ФЗ).

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания его персональных данных и способов их обработки целям обработки таких данных и принимает соответствующее решение.

Работодателю следует ознакомиться с положениями Приказа Минкомсвязи РФ от 14.11.2011 № 312, которым утвержден Административный регламент по исполнению данной службой функций по осуществлению государственного контроля (надзора) за правильностью обработки персональных данных. Предметом контроля являются:

• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• информационные системы персональных данных;
• деятельность по их обработке.

Привлечение к административной ответственности за персональные данные.

Согласно ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном федеральными законами.

Пунктом 2 ст. 23 Федерального закона № 152-ФЗ установлено, что уполномоченный орган по защите прав субъектов персональных данных имеет право привлекать к административной ответственности лиц, виновных в нарушении положений этого закона. Размер административной ответственности за нарушение закона о персональных данных предусмотрен ст. 13.11 КоАП РФ.

Федеральным законом № 13-ФЗ ст. 13.11 КоАП РФ изложена в новой редакции. В частности, детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Новая редакция этой статьи начнет применяться 1 июля 2017 года.

Ответственность за персональные данные. К сведению:

До начала действия поправок ст. 13.11 КоАП РФ предусмотрено, что нарушение требований гл. 14 ТК РФ, Федерального закона № 152-ФЗ, Федерального закона № 27-ФЗ и других законов, определяющих порядок сбора, хранения, использования или распространения информации о гражданах (их персональных данных), влечет предупреждение или наложение административного штрафа:

• на должностных лиц – в размере от 500 до 1 000 руб.;
• на юридических лиц – в размере от 5 000 до 10 000 руб.

Начиная с 01.07.2017 предусмотрена следующая административная ответственность за нарушения закона о персональных данных.

Вид нарушения	Размер штрафа, руб.
	Для юридических лиц	Для должностных лиц
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо их обработка, несовместимая с целями сбора персональных данных, за исключением случаев, указанных ниже, если эти действия не содержат уголовно наказуемого деяния	От 30 000 до 50 000	От 5 000 до 10 000
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на их обработку в случае, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния	От 15 000 до 75 000	От 10 000 до 20 000
Обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, отражаемых в согласии субъекта персональных данных на их обработку в письменной форме	От 15 000 до 75 000	От 10 000 до 20 000
Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных, или сведений о реализуемых требованиях к защите персональных данных либо обеспечению иным образом неограниченного доступа к ним	От 15 000 до 30 000	От 3 000 до 6 000
Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	От 20 000 до 40 000	От 4 000 до 6 000
Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	От 25 000 до 45 000	От 4 000 до 6 000
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный доступ к ним, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	От 25 000 до 50 000	От 4 000 до 10 000
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по их обезличиванию		От 3 000 до 6 000

Уголовная ответственность.

Уголовная ответственность за нарушение неприкосновенности частной жизни установлена в ст. 137 УК РФ.

Частью 2 данной статьи предусмотрено, что незаконные сбор или распространение сведений о частной жизни лица, совершенные лицом с использованием своего служебного положения, наказываются:

• либо штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы (иного дохода осужденного) за период от одного года до двух лет;
• либо лишением права занимать определенные должности или осуществлять определенную деятельность на срок от двух до пяти лет;
• либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет или без такового;
• либо арестом на срок до шести месяцев, лишением свободы на срок до четырех лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до пяти лет.

Возмещение морального вреда.

Согласно ст. 24 Федерального закона № 152-ФЗ лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством РФ ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

* * *

В заключение перечислим основные обязанности работодателя, которые он должен исполнять при работе с персональными данными:

• разработать и принять локальные нормативные акты, регламентирующие порядок хранения и использования персональных данных работников;
• назначить лицо, ответственное за организацию обработки персональных данных;
• установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
• установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия;
• ознакомить работников под подпись с положением об организации работы с персональными данными;
• брать письменное согласие работников на обработку персональных данных, которое должно быть конкретным и информированным и содержать в себе именно те сведения, на которые работники дают согласие для обработки, а также согласие для передачи своих персональных данных третьим лицам с указанием этих лиц;
• направлять в Роскомнадзор уведомление об обработке персональных данных работников в случаях, предусмотренных законодательством РФ.

За неисполнение названных требований законодательства работодатель может быть привлечен к административной ответственности, а в отдельных случаях – и к уголовной.

Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», опубликованы на сайте http://www.rsoc.ru 24.12.2012.

Федеральный закон от 22.02.2017 № 16-ФЗ «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, действует в редакции от 24.11.2014.

С. Е. Нестеров,

• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Зачем России этот закон

Поводом для принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами Евросоюза . Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. Для сравнения, в Норвегии и Франции подобные законы были введены еще в конце девятнадцатого столетия. Осенью 2005 года Государственная дума ратифицировала конвенцию Совета Европы "О защите личности в связи с автоматической обработкой персональных данных".

По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.

Как утверждали и меняли закон

Передачу персональных данных на зарубежные сервера планируется ограничить

2006-2010 годы

В июле 2006 года был принят федеральный закон №152-ФЗ "О персональных данных". Закон вступил в силу в январе 2007 года.

В четверг 13 июня 2019 года в Государственную Думу внесен законопроект, по которому предусматриваются штрафы за нарушения хранения персональных данных (ПДн) граждан РФ до 18 миллионов рублей. В соответствии с законопроектом, ст. 13.11 Кодекса Российской Федерации об административных правонарушениях предлагается дополнить и установить штрафы в размере:

• от 30 до 50 тысяч рублей для физических лиц;
• от 200 до 500 тысяч рублей для должностных лиц;
• от 2 до 6 миллионов для юридических лиц.

Административные взыскания предусмотрены за невыполнение оператором при сборе ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. При повторном правонарушение штрафы возрастают:

• от 50 до 100 тысяч рублей для физических лиц;
• от 500 тысяч рублей до 1 миллиона рублей для должностных лиц;
• от 6 до 18 миллионов рублей для юридических лиц.

Идея данного законопроекта возникла после претензий Роскомнадзора к социальным сетям Twitter и Facebook . Компании отказались от предоставления сведений о месте нахождения баз данных российских пользователей, за что их смогли оштрафовать лишь по статье 19.7 КоАП РФ (непредставление или несвоевременное представление сведений, представление которых предусмотрено законом) в размере 3 тысяч рублей. Так как отдельной статьи за нарушение такого рода требований не предусмотрено, единственное наказание, которое можно было применить - штраф по 19.7 статье КоАП РФ.

Что мешает соблюдать закон?

Во-первых, серьезным препятствием являются технические проблемы. Несмотря на то, что обязательство использовать шифровальные (криптографические) средства было снято в новой редакции закона, операторы обязаны использовать комплекс технических и организационных средств защиты в соответствии с классом их системы. Мало того, для организации соответствующей защиты чаще всего компании необходимо практически полностью обновить парк технических средств. Компании специализированные или имеющие соответствующий штат, могут самостоятельно внедрять системы безопасности для защиты корпоративной информации, в том числе, включающей в себя и персональные данные о контрагентах и сотрудниках. Другие компании, которые по тем или иным соображениям не желают заниматься вопросами безопасности самостоятельно, обращаются в специализированные фирмы. Но в конечном итоге выбор средств защиты ложится на плечи того, кто их оплачивает, и война экономии и безопасности неизбежна. Выполнение формальных требований ФЗ-152 не обеспечивает реальную защиту конфиденциальной информации, в том числе персональных данных, от утечки и иных внутренних угроз.

Во-вторых, это проблемы с сертификацией. Ведь с точки зрения законодательства во главу угла становится не сама безопасность, а соответствие мер по защите персональных данных тем, которые определены в стандарте. И не исключено, что некоторые компании ограничатся только расходами на лицензирование. Уже сейчас, пробежавшись по первому десятку компаний из поисковой системы, которые занимаются аутсорсингом в сфере защиты информации , можно заметить, что большинство из них делают акцент не на разработку систем защиты, а на помощь в сборе документов для получения лицензии.

Третьей существенной проблемой на пути успешного внедрения закона является разбалансированность операторского рынка. В действительности необходимо различать требования безопасности, предъявляемые к разным источникам данных. Операторы данных могут напоминать в этой ситуации слепых котят - все разнообразие методов и способов защиты информации подведено регуляторами под одну гребенку, а существующие объединения на рынке решают вопросы узкого круга компаний и не отстаивают интересы участников рынка в целом.

Защита персональных данных

Хронология событий

2019: Роспотребнадзор предложил приравнять генетические данные к персональным

Автором законопроекта является Роспотребнадзор . Документ предлагает внести изменения в ст. 11 Федерального закона «О персональных данных» от 27 июля 2006 года в части обработки биометрических персональных данных.

В случае принятия законопроект закроет пробел в законодательстве в области защиты информации о человеке, полученной из его биоматериала, содержащего генетическую информацию. Подобная информация позволяет третьей стороне ознакомиться с дополнительными данными о человеке, например, о состоянии здоровья, образе жизни, чувствительности к лекарствам и аллергенам и т.д. В связи с этим авторы инициативы предложили приравнять подобную информацию к персональным данным, к которым должны применяться дополнительные меры защиты.

Целью законопроекта является обеспечение соблюдения конституционных прав граждан в сфере отношений, связанных с обработкой персональных данных, содержащих информацию о генетических особенностях человека.

Минкомсвязи России хочет ужесточить процедуру согласия на обработку персональных данных

Чиновник подчеркнул, что «наши граждане зачастую дают подобного рода согласие без четкого понимания правовых последствий и возможного их в дальнейшем использования». Именно по этой причине министерство и выступило с подобной инициативой – в рамках закона усовершенствовать как саму процедуру, так и порядок дачи согласия на обработку личной информации. Более того, как отметил Соколов, на данный момент прорабатывается возможность создания государственного ресурса, на котором бы велся учет данных согласий гражданами на обработку персональной информации для того, чтобы контролировать их использование.

Минкомсвязи также предлагает на законодательном уровне разграничить и выработать подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Чиновник отмечает: «Одной из наиболее обсуждаемых проблем является, так называемые, . Действующее законодательство не содержит такого или близкого по смыслу понятия, но устанавливает, что обработка персональных данных допускается для достижения конкретных, заранее обозначенных целей, после чего они подлежат обезличиванию или уничтожению. Таким образом, в интернет-сервисах накапливается огромный массив обезличенных персональных данных, не позволяющих идентифицировать личность. Кроме того, стремительное развитие интернета вещей, различного вида счетчиков, датчиков, бытовой техники порождает значительный объем иного вида данных, которые также не могут быть отнесены к персональным данным. С учетом этого, необходимо на законодательном уровне проработать вопрос разграничения и выработать различные подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Наши предложения будут готовы в первой половине 2017 года» Роскомнадзор необходимыми полномочиями для осуществления контроля и надзора за обработкой персональных данных. Такая информация содержится в материалах правительства.

Отмечается, что законопроект направлен на устранение правовой неопределенности в законодательстве. Так, в настоящий момент в России обязанность контролировать обработку персональных данных граждан в соответствии с законом не закреплена ни за одним органом. Эти полномочия и хотят закрепить за Роскомнадзором.

2012: Дмитрий Медведев утвердил изменения требований к защите персданных

Премьер-министр РФ Дмитрий Медведев 1 ноября 2012 года утвердил изменения требований к защите персональных данных при их обработке в информационных системах персональных данных. Соответствующий документ был опубликован на сайте правительства России .

Участники рынка утверждают, что меры хоть и позитивно скажутся на отрасли в целом, но их явно недостаточно и они до сих пор носят слишком консервативных характер.

Постановлением правительства устанавливаются четыре уровня защищенности персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищенности производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические , общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Постановлением также устанавливается требование использования средств защиты информации , прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Документ позволит операторам информационных систем, обрабатывающих персональные данные, определить требуемый уровень защищенности персональных данных, что в дальнейшем значительно упростит процедуру определения необходимых и достаточных мер по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

По словам ведущего инженера по ИБ департамента системной интеграции компании "Микротест " Сергея Борисова, новое постановление Правительства сократило количество обязательных требований до 14 против 34 в предыдущем документе. "Однако, на мой взгляд, новое постановление не облегчило жизнь компаниям", - сказал Сергей Борисов. - самое обременяющее требование - необходимость сертификации СЗИ - осталось обязательным для всех ИСПДн".

"Следующий пункт - классификация ИСПДн", - продолжил он. - Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно - придется обращаться в вышестоящую организацию или к консультанту".

Еще одной проблемой нового постановления Сергей Борисов видит утрату юридической значимости большей части документов ФСТЭК Р и ФСБ Р, разработанных во исполнение отмененного постановления. "Без новых документов нельзя будет даже провести установление уровней защищенности. А значит, ПП №1119 пока бесполезно", - подытожил Борисов.

Сергей Борисов видит в новом постановлении Правительства потенциальный рост расходов компаний на защиту персональных данных в связи с тем, что большая часть данных, которые раньше относились в малозначительным, сейчас переведены в другую категорию, требующую более высокую степень защиты.

Эксперты Российской ассоциации электронных коммуникаций уверены, что в настоящее время законодательство о персональных данных не учитывает современного уровня развития интернета и существенно замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.

РАЭК продолжает настаивать на создании межведомственной рабочей группы с участием представителей интернет-отрасли, экспертов по информационной безопасности , представителями Минкомсвязи РФ, Минэкономразвития РФ, ФСБ, ФСТЭК, Роскомнадзора для более четкого формулирования позиций отрасли по вопросам законодательства и его изменения. В частности, в приведении в соответствии с международным законодательством и стандартам существующих документов и постановлений.

2011

Жилищный кодекс и персональные данные

16 июня 2011 года вступил в силу Федеральный закон от 4 июня 2011 года № 123-ФЗ «О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации», статья 5 которого внесла очередную новеллу в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Корректировке подверглась часть 2 статьи 6 ФЗ-152, дополненная новым пунктом следующего содержания:

«5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;…»

Вышеуказанный пункт дополнил ряд ситуаций, когда оператору персональных данных не требуется получать согласие субъекта на обработку персональных данных.

С одной стороны, эта поправка логично вписывается в новый правовой режим управления многоквартирными домами, который на уровне федерального законодательства закрепляет права и обязанности участников соответствующих общественных отношений и определяет специфику данных отношений. С точки зрения законодательства о персональных данных рассматриваемое изменение не вносит принципиальных изменений в существующий режим регулирования обработки и защиты персональных данных, но в определенной степени упрощает жизнь многочисленным организациям, осуществляющим управление многоквартирными домами, а также предоставление коммунальных услуг и осуществления расчетов с собственниками помещений.

С другой стороны, появление очередного исключения наводит на грустные мысли о целостности и применимости норм института согласия субъектов на обработку их персональных данных. В тексте поправки четко оговаривается условие отсутствия необходимости в получении согласия: обработка персональных данных происходит в связи с нормами Жилищного кодекса Российской Федерации либо в связи положениями соответствующего договора. Но вышеприведенное условие фактически дублирует содержание пунктов 1 и 2 части 2 статьи 6 ФЗ-152. Таким образом, законодатель спускается от уровня регулирования типовых ситуаций (например, обработка персональных данных в связи с исполнением положений договора) до уровня регулирования конкретных ситуаций (договорных отношений в сфере ЖКУ). Кроме того, происходит девальвация значения и ценности других норм института согласия субъектов на обработку их персональных данных (в частности, пунктов 1 и 2 части 2 статьи 6 ФЗ-152).

Проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5

Проектом федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5 предлагается привести в соответствие законодательство Российской Федерации c вступающими в силу 1 июля 2011 года нормами пункта 2 статьи 7 Федерального закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». В соответствии с указанной нормой, органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги, не вправе требовать от заявителя предоставления документов и информации, которые находятся в распоряжении государственных органов, органов местного самоуправления.

Пунктом 2 статьи 1 вышеуказанного законопроекта уточняется порядок и условия обработки персональных данных заявителей и иных лиц в связи с предоставлением государственных или муниципальных услуг. В частности, предлагается закрепить в ст. 7 Федерального закона «Об организации предоставления государственных и муниципальных услуг» норму, согласно которой: «Для обработки государственными органами, органами местного самоуправления и организациями, участвующими в предоставлении предусмотренных частью 1 статьи 1 настоящего Федерального закона государственных и муниципальных услуг, персональных данных, имеющихся в распоряжении таких органов и организаций, для предоставления таких персональных данных в орган (организацию) предоставляющий государственную или муниципальную услугу по запросу заявителя, не требуется получение согласия субъекта персональных данных, по запросу которого осуществляется обработка, в соответствии с требованиями пункта 1 части 2 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Запрос заявителя в орган (организацию) о предоставлении государственной или муниципальной услуги приравнивается к согласию такого заявителя с обработкой его персональных данных в целях предоставления органом (организацией) соответствующей государственной или муниципальной услуги.

В случае, когда для предоставления государственной или муниципальной услуги необходимо предоставление документов и информации об иных лицах, не являющихся заявителем, то при обращении за получением государственной или муниципальной услуги заявитель дополнительно представляет документы, подтверждающие его полномочия действовать от имени указанных лиц (их законных представителей), и выражающие согласие указанных лиц (их законных представителей) на обработку персональных данных таких лиц.»