06 Сент
Автор Super User

Закон о защите персональных данных,  призван обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных (ПД), в том числе защиты прав на неприкосновенность частной жизни, личную и семейные тайны.

Какие важные даты в связи с законом? 

  • 1. Дата вступления ФЗ в силу - 23 января 2007 года. После вступления закона в силу обработка ПД осуществляется в соответствие с законом
  • 2. Операторы ПД обязаны направить уведомление об обработке ПД не позднее 1 января 2008 года.
  • 3. ИС ПД, созданные до вступления в силу ФЗ, должны быть приведены в соответствие с требованиями ФЗ до 1 января 2010 года.

Термины, встречающиеся в законе:

Субъекты ПД - физические лица.

Персональные Данные (ПД) - данные о физическом лице (ФИО и т.д и т.п.)

Информационные Системы ПД - совокупность ПД в базе данных, а также информационные технологии и технические средства, которые позволяют обрабатывать ПД с применением средств автоматизации или без оных.

Оператор ПД - любая организация, юридическое или физическое лицо, которое осуществляет или организует обработку ПД, определяющее цели и содержание обработки ПД

Регуляторы деятельности по защите ПД - Роскомнадзор, ФСТЭК, ФСБ

Кто может быть субъектом ПД?
- Штатные сотрудники организации
- Внештатные сотрудники и сотрудники, осуществляющие трудовую деятельность по контракту (столовая, уборщицы и т.п.)
- Клиенты - физические лица (действующие и потенциальные)
- Представители клиентов-юрлиц (действующих и потенциальных)
- Представители субподрядчиков, контрагентов
- Прочие (Члены семей сотрудников и т.п. ...)

Какие существуют категории персональных данных?

К4 - обезличенные и (или) общедоступные ПД, доступ к которым предоставлен неограниченному числу лиц с согласия субъекта ПД или на которые в соответствии с законами РФ не распространяется требования конфиденциальности.

К3 - информация, позволяющая идентифицировать субъекта ПД.

К2 - данные, позволяющие не только идентифицировать субъекта, но и получить о нем дополнительную информацию.

К1 - данные, в которых отражены расовая, национальная принадлежность, политическиевзгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь.

Что является обработкой ПД?

  • v Сбор
  • v Систематизация
  • v Накопление
  • v Хранение
  • v Уточнение (обновление, изменения)
  • v Использование
  • v Распространение и передача
  • v Обезличивание
  • v Блокирование
  • v Уничтожение

Какие существуют требования к обработке?

  • 1. Обработка персональных данных возможна только с согласия субъекта персональных данных, за исключением:

1.1. Обработка данных в целях исполнения договора с субъектом ПД (т.е. сам договор является согласием)

1.2.статистическая обработка - только в обезличенной форме

1.3.для защиты жизни и здоровья

2.Не допускается обработка ПД специальных категорий:

2.1.Расовая и национальная принадлежность

2.2.Политические взгляды

2.3.Религиозные и философские убеждения

2.4.Состояние здоровья

2.5.Интимная жизнь.

Исключение:

a)Согласие субъекта в письменной форме

b)Общедоступные ПД

c)Защита жизни и здоровья при невозможности получить согласие

d)Медицинские услуги

e)Обработка соответствующих ПД в политических или религиозных объединениях

f)Правосудие, оперативно-розыскная деятельность

3.Обработка данных для продвижения товаров и услуг путем прямых контактов с потенциальным потребителем (прямой маркетинг) -  по согласию субъекта (потребителя)

4.Оператор обязан немедленно прекратить обработку ПД по требованию субъекта

5.Операторами и третьими лицами, получающими доступ к ПД, должна обеспечиваться конфиденциальность ПД, за исключением:

      5.1.Обезличенность ПД

      5.2.Использование общедоступных ПД (справочники, базы)

Что входит в понятие «согласие субъекта ПД»?


Субъект ПД дает согласие на обработку ПД в письменной форме с указанием следующей информации:

1. ФИО и паспортные данные

2. Наименование и адрес оператора ПД

3. Цель обработки ПД

4. Перечень ПД, на обработку которых дает согласие субъект

5. Перечень действий с ПД и способов обработки ПД оператором

6. Срок действия согласия и порядок его отзыва

Какие описаны  права субъекта ПД?

Осуществлять запросы на получение базовой информации(*):

1. на предоставлении сведений об операторе ПД

2. на предоставлении сведений о местонахождении оператора ПД

3. на предоставлении сведений о наличии у оператора ПД, относящихся к субъекту

4. на ознакомление со своими ПД

 

Осуществлять запросы на получение расширенной информации (**):

1.подтверждение факта обработки ПД и цель обработки

2.информацию о способах обработки ПД

3.сведения о лицах, которые имеют доступ и которым доступ может быть предоставлен

4 перечень данных и источник их получения

5.сроки обработки ПД и сроки хранения

6.сведения о юридических последствиях обработки ПД для субъекта

Запрос делается в письменном виде и содержит информацию о паспорте субъекта и его подпись, существует возможность использования ЭЦП.

Субъект ПД имеет право на обжалование действий или бездействия оператора ПД в органах по защите прав субъектов ПД и в суде, с возможностью возмещение убытков и компенсацию морального вреда

Какие описаны обязанности оператора ПД?

В отношении субъектов ПД:

1.По запросу субъекта ПД предоставить ему базовую информацию (*), дать возможность ознакомиться с ней при обращении либо в течение 10 рабочих дней после получения запроса

2.При сборе ПД предоставить субъекту (по его просьбе) расширенную информацию (**)

3.При получении ПД не от субъекта, а от третьих лиц, до начала обработки ПД предоставить субъекту информацию:

3.1.Наименование и адрес оператора и его представителя

3.2.Цель обработки ПД и ее правовое основание

3.3.Предполагаемые пользователи ПД

3.4.Права субъекта ПД

4.При отказе - предоставить мотивацию на основе закона в течение 7 рабочих дней с момента обращения или получения запроса

5.Безвозмездно предоставлять субъекту доступ к ПД, а также внесение изменений в ПД, уничтожение и блокировку ПД. О внесенных изменениях оператор ПД обязан  уведомить субъекта и третьих лиц, которым были переданы ПД.

В отношении ПД:

1.Обеспечивать организационные и технические меры по защите ПД от доступа, уничтожения, изменения, копирования, распространения и т.п.

2.При выявлении недостоверности ПД или неправомерных действий - блокировать ПД с момента получения запроса на период проверки

2.1.если недостоверны - обязан уточнить на основании документов субъекта ПД и снять блокирование

2.2.если неправомерные действия - устранить в 3-дневный срок. Если невозможно - уничтожить ПД. Об устранении или уничтожении - уведомить

3.В случае достижения цели обработки ПД, а также отзыва ПД субъектом - прекратить обработку и уничтожить ПД в 3-дневный срок и уведомить субъекта ПД

В отношении регулятора:

1.До начала обработки ПД - уведомить уполномоченный орган о намерении обработки ПД,  за исключением:

1.1.Трудовые отношения с субъектами ПД (работники).

1.2.ПД, полученные в связи с заключением договора, если стороной является субъект, ПД не распространяются третьим лицам без согласия субъекта, используются оператором исключительно для исполнения договора

1.3.Члены общественных или религиозных объединений в этих объединениях.

1.4.Общедоступные ПД.

1.5.Если обрабатываются только ФИО.

1.6.Для однократного пропуска субъекта ПД на территорию оператора и аналогичных случаях.

1.7.Данные из федеральных АИС, государственных ИС.

1.8.Обрабатываемые без использования средств автоматизации при соблюдении нормативов о безопасности ПД и соблюдения прав субъектов ПД.

Уведомление регуляторов об обработке ПД:

1.в письменной форме за подписью уполномоченного лица

2.или в электронной форме с ЭЦП

3.состав уведомления:

3.1.Наименование и адрес оператора

3.2.Цель обработки ПД

3.3.Категории ПД

3.4. Категории субъектов ПД

3.5.Правовое обоснование обработки ПД

3.6.Перечень действий с ПД, общее описание способов обработки

3.7.описание мер по защите ПД

3.8.дата начала обработки ПД

3.9.срок или условия прекращения обработки ПД

Сведения вносятся в реестр операторов ПД (http://pd.rsoc.ru/), сведения являются общедоступными, за исключение информации об используемых средствах обеспечения безопасности ПД.

Какова предполагается ответственность оператора ПД?

-КоАП Статья 5.39 - отказ в предоставлении гражданину информации- ответственность - штраф до 1 000 руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности)

-КоАП Статья 13.11 - нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах - ответственность - штраф до 1 000 руб

-КоАП Статья 13.12 -- нарушение правил защиты данных - ответственность - штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации  или административное приостановление деятельности на срок до 90 суток

-УК Статья 137 - нарушение неприкосновенности частной жизни - может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев

-УК Статья 140 - отказ в предоставлении гражданину информации -  ответственность - штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью

-УК Статья 171 - незаконное предпринимательство - ответственность - до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.

Регуляторы и нормативные документы:

1.Роскомнадзор является основным исполнительным и надзорным органом по защите прав субъектов ПД.

2.ФСБ - вопросы защиты информации с использованием средств шифрования (криптографии)

3.ФСТЭК России - контроль защиты информации с применением технических средств. Одна из его компетенций - подтверждение отсутствия в средствах защиты информации недекларируемых ("шпионских") возможностей.

Права Роскомнадзора:

1.проводить проверку сведений, содержащихся в уведомлении, поданном оператором;

2.привлекать для такой проверки другие государственные органы (ФСБ, ФСТЭК);

3.принимать меры по приостановлению или прекращению обработки ПД, осуществляемой с нарушением требований закона;

4.обращаться в суд с исковыми заявлениями в защиту прав субъектов ПД и представлять их интересы в суде;

5.направлять заявления в орган, осуществляющий лицензирование деятельностиоператора, для рассмотрения вопроса о принятии мер по приостановлению действия еголицензии;

6.направлять в правоохранительные органы материалы для решения вопроса овозбуждении уголовных дел в связи с нарушением прав субъектов ПД;

7.привлекать к административной ответственности лиц, виновных в нарушении закона.

Информационные системы ПД

Каждая ИС должна быть отнесена к определенному классу. На возможность отнесения к определенному классу влияет категория данных и другие признаки (распределенность информационной системы, количество записей ПД в ней, количество данных обрабатываемых за один раз, и т.д.). Очевидно, что уровень защищенности ИС должен соответствовать критичности данных. Именно поэтому для различных классов вводятся разные требования по степени защиты. Итак, чем менее детальную информацию можно получить субъекте ПД, чем меньше записей в системе и чем менее она распределена - тем ниже требования к защитным механизмам. С практической точки зрения крайне важно представить систему ПД как относящуюся к "низшему" классу. Это позволит минимизировать затраты на обеспечение защиты персональных данных

Организации, эксплуатирующие ИС определенных классов, должны получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Технические средства, которые будут использоваться для защиты ПД, должны быть сертифицировать в ФСТЭК.

Методики ФСТЭК должны быть положены в основу «модели угроз» для каждой  информационной системы, обрабатывающей ПД. Этот документ предстоит разработать каждому оператору.

Организации, эксплуатирующие информационные системы ПД определенных классов и передающие ПД через общедоступные и международные сети, должны обеспечить их защиту с использованием криптографических средств. А деятельность по внедрению шифровальных(криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ.

Какие существуют регламентирующие документы?

Открытые документы:

- К открытым специальным актам по данной теме относятся также руководящие документы ФСБ, которые можно найти по ссылкеhttp://www.rsoc.ru/main/directions/874/916.shtml.

- Там же опубликован ряд открытых актов по ПД, а также документы Роскомнадзора,регулирующие порядок регистрации оператора персональных данных.

Закрытые документы:

-"Основные мероприятия по организации и техническому обеспечению безопасности ПД,обрабатываемых в ИС ПД (информационной системе персональных данных)";

-"Рекомендации по обеспечению безопасности ПД при их обработке в ИС ПД";

-"Базовая модель угроз безопасности ПД при их обработке в ИС ПД";

"Методика определения актуальных угроз безопасности персональных данных при ихобработке в ИС ПД".

Для получения закрытых документов все операторы, осуществляющие обработку ПД, могут обратиться по адресу: 105175, г. Москва, ул. Старая Басманная, 17

Выводы:

1. Любая организация является оператором персональных данных, минимально - по своим сотрудникам.

2. Даже если по роду деятельности компания может не уведомлять Регулятора о намерении обрабатывать ПД (например, если в компании нет розничных клиентов - физлиц, и т.п.), она обязана обрабатывать и защищать ПД в соответствии с законом, и выполнять все требования закона в отношении субъектов ПД

3. Законом предусматривается крайне серьезная ответственность для юридических лиц и их руководителей

Источники :

Вверх