Закон 152-фз статья 9

Содержание статьи:

152-ФЗ «О защите персональных данных»

Ежедневно люди выполняют множество операций в сети, которые предусматривают использование персональных данных гражданина. Большинство из них не знают простых правил безопасности при использовании интернета. По этой причине, правительство возложило обязанность по защите этих граждан на учреждения, использующие информацию о сотрудниках.

Основным правовым документом, регулирующим обработку персональных сведений различными организациями, является закон «О персональных данных» от 27.07.2006 года № 152-ФЗ.

Описание закона

Постановления закона распространяются на организации, которые работают с обработкой персональных сведений граждан или те, кто имеет к ним доступ.

Действия, которые не регулируются законом 152-ФЗ:

  • Персональные сведения обрабатываются физическими лицами для личных нужд. Необходимо отметить, что обработка не должна нарушать права обладателя данных;
  • Организация архивов, которая регулируется законодательством об архивации в Российской Федерации;
  • Обработка личных данных, которые содержат информацию, относящуюся к государственной тайне;
  • Личные данные, которые относятся к деятельности судебных органов и которые были представлены в судебном порядке;
  • Персональные сведения, относящиеся к деятельности судов.

А знаете ли вы, что закон с предыдущим номером 151, посвящен вопросу об аварийно спасательных службах.

Когда принят?

152-ФЗ был принят Государственной Думой 8 июля 2006 года. Одобрил его Совет Федерации 14 июля 2006 года. Последняя редакция закона произошла 22 февраля текущего года. Действовала она до 1 марта 2017.

Порядок использования персональных данных

Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ.

Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования.

В обязанности оператора входит:

1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ.

2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями.

3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:

  • ФИО и адрес оператора;
  • С какой целью обрабатываются данные и на основании каких правовых актов;
  • Права гражданина, чьи данные были получены;
  • При помощи какого источника была получена личная информация.

4. Согласно положениям 152-ФЗ, оператор назначает ответственное лицо в определенной организации, которое организовывает обработку полученных материалов. Уполномоченное лицо получает указания по дальнейшим действиям от оператора.

Обработка личной информации по 152-ФЗ разрешается в следующих случаях:

  • Анализ личной информации вправе осуществляться с согласия гражданина, чьи данные были получены;
  • Если обработка информации требуется для достижения целей, предусмотренные законом РФ или международными договорами России;
  • Анализ информации необходим для судебной инстанции;
  • Обработка сведений требуется для защиты жизни гражданина;
  • Производится в статистических или исследовательских целях, за исключением целей, указанных в статье 15, 152-ФЗ.

Кстати, текст закона о почтовой связи тоже важно изучить. Подробности по ссылке:

Последние изменения ФЗ «О защите персональных данных»

Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения.

По причине вступления в силу Федерального закона от 03.07.2016 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152.

Статья 3

В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений.

Статья 5

В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям.

Статья 7

В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела.

Статья 9

В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие.

При последней редакции, изменений в текущей статье не было.

Статья 19

19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе.

Скачать 152-ФЗ

Чтобы разрешить конфликтную ситуацию или иные вопросы, связанные с защитой персональных данных, изучите последнюю редакцию 152-ФЗ РФ. В законе о защите информации представлены все поправки, дополнения и изменения. Скачать измененный закон можно по ссылке.

Комментарии

Если существует необходимость получить дополнительную и конкретную информацию относительно 152-ФЗ РФ, следует ознакомиться с комментариями к закону. Скачать их можно по ссылке.

210fz.ru

Федеральный закон РФ «О персональных данных» (152-ФЗ) 2018

Закон о персональных данных в последней действующей редакции от 30 июня 2018 года.

Новые не вступившие в силу редакции закона отсутствуют.

Федеральный закон Российской Федерации «О персональных данных» регулирует деятельность физических и юридических лиц по обработке и использованию персональных данных. Федеральный закон «О персональных данных» требования и правила по защите персональных данных ко всем организациям, государственным и частным компаниям, которые хранят, обрабатывают и собирают персональные данные своих сотрудников, посетителей или клиентов. Федеральный Закон обязывает операторов персональных данных уведомлять об обработке персональных данных субъекта, получать его письменное разрешение и уведомлять об уничтожении персональных данных при прекращении отношений.

Федеральный Закон РФ «О персональных данных» был принят 1июля 2011 года с целью устранения барьеров и препятствий в международной торговле со всеми странами Евросоюза, где обмен персональными данными при совершении сделок защищён подобными законами с конца ХIX века.

Закон предусматривает присвоение класса информационным системам, которые хранят и обрабатывают персональные данные, в соответствии с классом обеспечивается защита персональных данных. Федеральный Закон «О персональных данных» определяет административную, дисциплинарную, гражданско-правовую и уголовную ответственность операторов персональных данных за невыполнение защиты персональных данных, которая может повлечь денежный штраф, конфискацию несертифицированных средств защиты или прекращение обработки персональных данных.

Последние изменения в Законе «О персональных данных»

  • Изменения в 152-ФЗ, вступившие в силу с 1 января 2017

Договор-Юрист.Ру постоянно следит за актуализацией кодексов и законов.

Так, например, Закон о персональных данных не имеет на данный момент никаких новых запланированных редакций.

Шансов найти более свежую действующую редакцию — нет.

Комментарии к закону

Вы также можете получить комментарии к закону «Федеральный закон РФ «О персональных данных» (152-ФЗ)». Юристы сайта, специализирующиеся на конкретных сферах кодексов и законов, дадут исчерпывающий комментарий по любым вопросам.

dogovor-urist.ru

Персональные данные – 2018: как избежать штрафов

Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.

Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ обеспечения конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

kontur.ru

Как избежать штрафа за несоблюдение 152-ФЗ «О персональных данных»

Выделили для вас самое важное из статьи « Владельцам сайтов: изменения в законе о персональных данных » эксперта по защите персональных данных и основателя консалтинговой компании «Б-152» Максима Лагутина.

Не хотите получить штраф за нарушение 152-ФЗ? Выполняйте требования закона! Эти требования коснутся всех — физических лиц и компаний. В статье мы рассмотрим условия, при соблюдении которых штрафа можно избежать.

Из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1. Хостинг и база данных должны располагаться на территории России

В соответствии с данными проверок Роскомнадзора и законом № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это также касается российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Подробнее о локализации данных рассказывается в этой статье.

Обратитесь к своему хостер-провайдеру: возможно, у него уже есть готовые решения, если данные хранятся не на территории РФ. Если все еще не понятно, где хранить данные и что делать, можно обратиться напрямую в Роскомнадзор или Минкомсвязи (но тут есть риск «явки с повинной»)).

2. Под каждой формой сбора данных необходимо разместить предупреждающий текст

Наверняка вы замечали на некоторых сайтах такое оповещение: «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Теперь такие надписи необходимо добавить и на вашем сайте, в том числе и в форму сбора e-mail, например, для подписки на рассылку. В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа необходимо разместить на отдельной странице сайта, в разделе «Справка» или «О нас».

Какая информация должна быть в соглашении об обработке персональных данных?

Закон регулирует и эту часть. Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

  • наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

Не забыть: в соответствии с ч.2 ст. 9 152-ФЗ «О персональных данных» нужно указать информацию о том, как можно отозвать свое согласие на обработку персональных данных.

3. Разместить на сайте ссылку на политику организации в отношении обработки персональных данных на сайте

4. Информировать пользователей о сборе метаданных

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта. Информацию можно подавать как в pop-up сообщениях, так и в нижней части сайта, с возможностью закрыть всплывающее окно.

5. Обратиться в Роскомнадзор

В Роскомнадзор необходимо подать уведомление на внесение организации в реестр операторов персональных данных. Подать заявку можно через сайт.

Уведомление можно не подавать, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта);
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам;
  • обрабатываете персональные данные только на бумажных носителях.

Во втором пункте статьи 22 закона 152-ФЗ указаны и другие исключения, когда уведомление в Роскомнадзор можно не подавать.

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Также читайте: « Ищем компромиссы между UX и SEO »
То, что удобно прямому посетителю страницы, не всегда подходит тем, кто приходит из поисковиков. Как найти компромисс между UX и SEO и сделать ваш сайт неотразимым — в переводе Владимира Поликарпова. Читать дальше

Что еще нужно сделать юридическим лицам

Требования, которые представлены в статье, Роскомнадзор предъявляет ко всем сайтам: неважно, физическое вы лицо или юридическое. Для юридических лиц все немного сложнее: дальше описаны требования, которые должны выполнять только юридические лица:

1. Ответственные лица и пакет документов

Внутри организации необходимо назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

2. Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами

Это значит, вам нужно:

  • Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным из п.1.
  • Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете.
  • Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам).
  • Отвечать на запросы физических лиц по поводу обработки их персональных данных.

3.Защитить персональные данные техническими и организационными мерами

Для этого можно воспользоваться антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. В приказе ФСТЭК № 21 описаны все меры по обеспечению информационной безопасности документации.

Кто будет проверять?

Основную опасность для сайтов представляет Роскомнадзор: они проводят тысячи проверок в год. Но, в зависимости от требований, проверку могут проводить еще ФСТЭК и ФСБ. Наименьший риск проверки для частных организаций — проверка технической защиты персональных данных от ФСБ.

Какие штрафы ждут за невыполнение закона с 1 июля

Если раньше сумма штрафов для юридических лиц не превышала 10 000 рублей, то с 1 июля она спокойно может доходить до 300 000 рублей. Если нарушений несколько, штрафов тоже будет несколько.

Пример: вам пишет пользователь и просит уточнить или удалить его персональные данные с вашего сайта, а вы игнорируете его или отказываетесь предоставить информацию: штраф для физических лиц за такие действия будут доходить до 2 000 рублей, для ИП — до 20 000 рублей, для компаний — до 45 000 рублей. Размер штрафов за различные нарушения можно посмотреть в поправках к закону.

Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных.

Еще Роскомнадзор может запросить большой список документов. Если проверка выявит нарушения, то Роскомнадзор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании.

Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.

Как заказать поисковое продвижение от i-Media, читайте здесь.

Следите за новостями диджитал-индустрии в наших аккаунтах в Facebook и «ВКонтакте».

www.i-media.ru

Закон о персональных данных №152-ФЗ

Закон о персональных данных, который вступил в силу 1 июля 2011, касается практически любой компании, а сами данные являются желанной добычей злоумышленников.

Содержание

К персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо и получить о нём какую-либо дополнительную информацию. Любая организация, работающая с данными физических лиц, должна защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям закона.

Определения

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
  • Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Зачем России этот закон

Поводом для принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами Евросоюза. Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. Для сравнения, в Норвегии и Франции подобные законы были введены еще в конце девятнадцатого столетия. Осенью 2005 года Государственная дума ратифицировала конвенцию Совета Европы «О защите личности в связи с автоматической обработкой персональных данных».

По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.

Как утверждали и меняли закон

Передачу персональных данных на зарубежные сервера планируется ограничить

Минкомсвязь России подготовила в мае 2017 года поправки в закон «О персональных данных», которые предполагают ограничение передачи персональных данных на зарубежные сервера российских компаний.

Как пишут «Известия», в настоящее время ограничения касаются передачи данных зарубежным юрлицам. Сервера российских компаний, находящиеся за рубежом, под это ограничение не подпадают.

Поправки, подготовленные министерством, предполагают применять формулировку «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства».

Депутаты ужесточили наказание за нарушения в работе с персональными данными

Госдума приняла в начале 2017 года закон об увеличении штрафов за нарушение закона о сборе, обработке и хранении персональных данных.

За нарушения в работе с персональными данными для юрлиц предусмотрен штраф до 10 тыс. руб. Однако, по мнению авторов закона, действующая норма не учитывает тяжесть негативных последствий правонарушения, поэтому депутаты предложили ужесточить наказание.

Теперь за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо обработку данных, несовместимую с целями сбора таких данных, будут наказывать предупреждением или штрафом от 1 до 3 тыс. руб. для граждан, от 5 до 10 тыс. руб. для должностных лиц и от 30 до 50 тыс. руб. для юридических лиц.

Обработка персональных данных без согласия гражданина приведёт к наложению штрафа в размере от 3 до 5 тыс. руб. для граждан, от 10 до 20 тыс. руб. для должностных лиц и от 15 до 75 тыс. руб для юридических лиц. При невыполнении государственным или муниципальным оператором требований по обезличиванию данных должностные лица получат штраф от 3 до 6 тыс. руб.

Отказ оператора предоставить человеку информацию об обработке его персональных данных повлечёт предупреждение или штраф от 1 до 2 тыс. руб для граждан, от 4 до 6 тыс. руб. для должностных лиц, от 10 до 15 тыс. руб. для индивидуальных предпринимателей и от 20 до 40 тыс. руб. для юридических лиц.

В правительстве считают, что подобные поправки позволят эффективно защищать права и интересы граждан и позволят обеспечить неотвратимость наказания.

Изменения в законе с 1 сентября 2015 года

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке.

2006-2010 годы

В июле 2006 года был принят федеральный закон №152-ФЗ «О персональных данных». Закон вступил в силу в январе 2007 года.

В декабре 2009 г., Госдума успела в трех чтениях принять перенос срока приведения ранее созданных ИСПДн в соответствие с требованиями ФЗ «О персональных данных» с 1 января 2010 г. на 1 января 2011 г.

Законопроект об очередной отсрочке был принят Госдумой в первом чтении 7 декабря 2010 г. Изначально в законопроекте предлагалось перенести сроки вступления в силу закона «О персональных данных» еще на год – до 1 января 2012 г.

Федеральным законом предусматривается, что информационные системы персональных данных (ИСПДн), созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 июля 2011 г. Таким образом, вступление в силу требований закона «О персональных данных» было отсрочено еще на полгода.

Федеральный закон «О внесении изменений в статью 25 Федерального закона `О персональных данных`» был принят Госудумой 10 декабря и одобрен Советом Федерации 15 декабря 2010 г.

В декабре 2010 года президент России Дмитрий Медведев подписал федеральный закон «О внесении изменений в статью 25 Федерального закона `О персональных данных`».

Кого касаются требования

Требования к обеспечению безопасности персональных данных касаются практически всех. Ведь к информационным системам персональных данных могут быть отнесены, кроме кадровых и бухгалтерских, биллинговые системы, call-центры и автоматизированные системы бюро пропусков. Даже если секретарь просто набирает у себя в компьютере список сотрудников с телефонами и днями рождений – эта информация должна быть защищена.

С другой стороны, уже, несомненно, назрела реальная необходимость обеспечивать адекватную защиту персональных данных. C каждым днем увеличивается как ценность информации, так и изощренность способов, которыми ее можно несанкционированно получить. И, если и не самыми ценными, то, по крайней мере, самыми популярными для злоумышленников являются персональные данные. По материалам исследования компании InfoWatch в 2009 году среди всех зарегистрированных утечек информации персональные данные составили 89,8%.

В итоге согласно Федеральному закону №242-ФЗ, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории РФ.

Ответственность за невыполнение требований

Инспекторы могут наложить штраф, принять решение о конфискации несертифицированых средств защиты или вынести требование о прекращении обработки персональных данных, что может принести значительные издержки предприятию. Кроме того, компания, осуществляющая обработку персональных данных с нарушением закона, несёт риски, связанные с возможными гражданскими исками от субъектов персональных данных, особенно в случаях утечки таких данных.

Президент России Владимир Путин подписал закон о внесении изменений в Кодекс РФ об административных правонарушениях, который регулирует защиту персональных данных. Согласно закону, статья кодекса под номером 13.11 получила новую редакцию и новое название – «Нарушение законодательства РФ в области персональных данных». Изменения вступят в силу с 1 июля 2017 г.

Прежнее название статьи 13.11 звучит как «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». За соответствующие нарушения существует наказание в виде предупреждения или административного штрафа. Для обычных граждан сумма штрафа составляет от p300 до p500, для должностных лиц – от p500 до p1 тыс. Юридические лица платят от p5 тыс. до p10 тыс.

С 1 июля 2017 г., если обработка персональных данных выходит за рамки случаев, предусмотренных законодательством, или является несовместимой с целями сбора данных, то за нее следует наказание в виде предупреждения или штрафа. Для обычных граждан штраф составит от p1 тыс. до p3 тыс., для должностных лиц – от p5 тыс. до p10 тыс., для юридических лиц – от p30 тыс. до p50 тыс. Все это – только в том случае, если такая обработка данных не содержит уголовно наказуемой составляющей.

В ряде случаев законодательство требует получить письменное согласие субъекта на обработку персональных данных. Если это согласие не получено, а данные тем не менее обрабатываются, нарушитель выплачивает штраф. Для граждан сумма штрафа составит от p3 тыс. до p5 тыс., для должностных лиц – от p10 тыс. до p20 тыс., для юридических лиц – от p15 тыс. до p75 тыс. Это же наказание применяется, если изменен состав сведений, на обработку которых дал согласие субъект.

Если оператор не обеспечил доступ к документу, где изложена его политика в отношении обработки персональных данных, то этот оператор получает предупреждение или платит штраф. Для обычных граждан сумма штрафа составит от p700 до p1,5 тыс. Должностные лица будут платить от p3 тыс. до p6 тыс. Индивидуальные предприниматели будут штрафоваться на сумму от p5 тыс. до p10 тыс., юридические лица – от p15 тыс. до p30 тыс.

Срок, в течение которого нарушителя следует привлечь к ответственности по статье 13.11, по-прежнему составляет 3 месяца, но теперь в него легче будет уложиться, поскольку процедура значительно сократилась. Дело в том, что раньше протоколы о нарушении этой статьи составлялись прокуратурой, а с 1 июля 2017 г. этим займутся чиновники Роскомнадзора и его региональных подразделений.

То есть, сейчас Роскомнадзор, выявив нарушение, обращается за протоколом в прокуратуру, и уже она направляет этот протокол в суд. Согласно новому закону, прокуратура выпадает из процесса. Это должно ускорить ход подобных дел. Если сейчас штрафы часто не взимаются из-за истечения срока давности, то с 1 июля 3 месяцев должно быть вполне достаточно [1] .

Что мешает соблюдать закон?

Во-первых, серьезным препятствием являются технические проблемы. Несмотря на то, что обязательство использовать шифровальные (криптографические) средства было снято в новой редакции закона, операторы обязаны использовать комплекс технических и организационных средств защиты в соответствии с классом их системы. Мало того, для организации соответствующей защиты чаще всего компании необходимо практически полностью обновить парк технических средств. Компании специализированные или имеющие соответствующий штат, могут самостоятельно внедрять системы безопасности для защиты корпоративной информации, в том числе, включающей в себя и персональные данные о контрагентах и сотрудниках. Другие компании, которые по тем или иным соображениям не желают заниматься вопросами безопасности самостоятельно, обращаются в специализированные фирмы. Но в конечном итоге выбор средств защиты ложится на плечи того, кто их оплачивает, и война экономии и безопасности неизбежна. Выполнение формальных требований ФЗ-152 не обеспечивает реальную защиту конфиденциальной информации, в том числе персональных данных, от утечки и иных внутренних угроз.

Во-вторых, это проблемы с сертификацией. Ведь с точки зрения законодательства во главу угла становится не сама безопасность, а соответствие мер по защите персональных данных тем, которые определены в стандарте. И не исключено, что некоторые компании ограничатся только расходами на лицензирование. Уже сейчас, пробежавшись по первому десятку компаний из поисковой системы, которые занимаются аутсорсингом в сфере защиты информации, можно заметить, что большинство из них делают акцент не на разработку систем защиты, а на помощь в сборе документов для получения лицензии.

Третьей существенной проблемой на пути успешного внедрения закона является разбалансированность операторского рынка. В действительности необходимо различать требования безопасности, предъявляемые к разным источникам данных. Операторы данных могут напоминать в этой ситуации слепых котят — все разнообразие методов и способов защиты информации подведено регуляторами под одну гребенку, а существующие объединения на рынке решают вопросы узкого круга компаний и не отстаивают интересы участников рынка в целом.

Защита персональных данных

Хронология событий

Facebook и Twitter выполнят требования российского законодательства

Крупные американские компании Facebook и Twitter выполнят требования закона «О персональных данных». Facebook планирует создать российское представительство, а Twitter перенести на территорию РФ серверы с персональными данными россиян, сообщают в ноябре 2017 года «Известия» со ссылкой на свои источники.

По словам представителей Роскомнадзора, в адрес ведомства пришло письмо от компании Twitter, подтверждающее готовность социальной сети локализовать базы данных на территории РФ к середине 2018 года. Реализация договоренности находится на постоянном мониторинге службы, однако пока проведение контрольных мероприятий не планируется, отметили в ведомстве.

Как сообщают собеседники издания, Facebook также решила выполнить требования законодательства и готовится открыть в России свое представительство. Представители компании ищут в России офис и руководителя местного подразделения. По словам экспертов, данный шаг может быть обусловлен тем, что заработок Facebook на российском рынке стал достаточно значимым для компании. В 2016 году Facebook могла заработать в России от $70 млн до $100 млн, рост этого показателя в 2017 году может составить 25–30%. В то же время неизвестно, собирается ли Facebook последовать примеру Twitter и перенести серверы с персональными данными россиян на территорию РФ.

Анализ типовых нарушений в области персональных данных

По данным регулятора, наиболее распространенным нарушением в данной сфере является предоставление оператором уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. На втором месте – непринятие мер для выполнения обязанностей, предусмотренных законом «О персональных данных».

По результатам 65 % плановых проверок, проведенных в первом полугодии 2017 года, выявлены нарушения обязательных требований законодательства Российской Федерации в области персональных данных

Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 11 %
ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

  • 1) наименование (фамилия, имя, отчество), адрес оператора;
  • 2) цель обработки персональных данных;
  • 3) категории персональных данных;
  • 4) категории субъектов, персональные данные которых обрабатываются;
  • 5) правовое основание обработки персональных данных;
  • 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • 8) дата начала обработки персональных данных;
  • 9) срок или условие прекращения обработки персональных данных;
  • 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  • 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами – 9 %
ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации – 7 %
пп. а п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687

Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения:

  • о цели обработки персональных данных, осуществляемой без использования средств автоматизации,
  • имя (наименование) и адрес оператора,
  • фамилию, имя, отчество и адрес субъекта персональных данных,
  • источник получения персональных данных,
  • сроки обработки персональных данных,
  • перечень действий с персональными данными, которые будут совершаться в процессе их обработки,
  • общее описание используемых оператором способов обработки персональных данных.

Непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных – 7 %

Согласно ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации – 6 %
п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687

Должны быть проинформированы:

  • о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации,
  • категориях обрабатываемых персональных данных,
  • об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации – 6 %
ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

  • 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • 4) цель обработки персональных данных;
  • 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • 9) подпись субъекта персональных данных.

Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ – 6 %
п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687 .

Twitter переносит персональные данные пользователей в Россию

В апреле 2017 года стало известно, что соцсеть Twitter начнет хранить персональные данные россиян, имеющиеся в ее распоряжении, на территории России, как того требует закон «О персональных данных». Перенос информации на российские сервера планируется осуществить к середине 2018 г. Сейчас компания определяет, какие именно данные будут перемещаться. Об этом сообщил Роскомнадзор, получивший письмо с уведомлением от вице-президента Twitter по вопросам публичной политики в Европе, Азии и на Ближнем Востоке Шинейд МакСуини (Sinead McSweeney).

Суд посчитал передачу обезличенных данных нарушением закона

Роскомнадзор выявил нарушения в связи с передачей пользовательских данных. Как сообщил «Известиям» представитель регулятора Ампелонский Вадим, речь идет о многочисленных фактах заключения операторами договоров о передаче сторонним компаниям. Это обнаружилось после проверок, проведенных Роскомнадзором по поручению президента. О точном количестве нарушений и компаний-нарушителей не сообщается.

Известно, однако, что МГТС собирала данные о трафике пользователей, присваивая каждому из них индивидуальный номер, и передавала их партнерам. Несмотря на то, что данные были обезличены и включали поисковые запросы и адреса посещенных страниц, суд решил, что этого достаточно для идентификации конкретных пользователей. На основе этого пользователям показывается персонифицированная реклама.

«Рекламодатель персонифицировано направляет определенную рекламу в зависимости от предпочтений субъекта, просмотренных интернет-страниц, товаров, работ, услуг и т.п.», — цитирует издание выдержку из судебных материалов.

По данным издания, оператор был оштрафован на 30 тыс. рублей. В компании с решением не согласны, однако передача данных была прекращено.

«МГТС не передавала третьим лицам сведения об абонентах. Речь шла только об обезличенных данных. Такая информация постоянно накапливается в поисковых системах без согласия пользователей, и проконтролировать дальнейшую ее передачу невозможно. Запретить использовать такую обезличенную информация можно лишь законодательно», — сказала директор по правовому обеспечению МГТС Ивана Никитина.

Вадим Ампелонский также отметил, что вопрос использования подобной информации недостаточно урегулирован. В свою очередь, представители рынка считают, что проверки свидетельствуют о начале работы по ужесточению законодательства в данной сфере.

В России заблокирован LinkedIn

В России заблокировали сеть профессиональных контактов LinkedIn. Суд закрыл доступ к сервису по иску Роскомнадзора: ведомству не понравилось, что компания всё еще хранит персональные данные российских пользователей на серверах, расположенных за пределами РФ. Регулятор направил предписание о блокировке LinkedIn провайдерам 17 ноября. Блокировка касается и сайта, и мобильного приложения социальной сети.

Минкомсвязи России хочет ужесточить процедуру согласия на обработку персональных данных

Российское министерство связи и массовых коммуникаций выступило за ужесточение на законодательном уровне процедуры дачи согласия на обработку персональных данных.

Процедура дачи согласия на обработку персональных данных должна быть законодательно ужесточена. Такую позицию ведомства высказал замминистра связи РФ Алексей Соколов.

Чиновник подчеркнул, что «наши граждане зачастую дают подобного рода согласие без четкого понимания правовых последствий и возможного их в дальнейшем использования». Именно по этой причине министерство и выступило с подобной инициативой – в рамках закона усовершенствовать как саму процедуру, так и порядок дачи согласия на обработку личной информации. Более того, как отметил Соколов, на данный момент прорабатывается возможность создания государственного ресурса, на котором бы велся учет данных согласий гражданами на обработку персональной информации для того, чтобы контролировать их использование.

Минкомсвязи также предлагает на законодательном уровне разграничить и выработать подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Чиновник отмечает: «Одной из наиболее обсуждаемых проблем является, так называемые, большие данные. Действующее законодательство не содержит такого или близкого по смыслу понятия, но устанавливает, что обработка персональных данных допускается для достижения конкретных, заранее обозначенных целей, после чего они подлежат обезличиванию или уничтожению. Таким образом, в интернет-сервисах накапливается огромный массив обезличенных персональных данных, не позволяющих идентифицировать личность. Кроме того, стремительное развитие интернета вещей, различного вида счетчиков, датчиков, бытовой техники порождает значительный объем иного вида данных, которые также не могут быть отнесены к персональным данным. С учетом этого, необходимо на законодательном уровне проработать вопрос разграничения и выработать различные подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Наши предложения будут готовы в первой половине 2017 года» [2] .

Полномочия по надзору за обработкой персональных данных россиян отдадут РКН

Премьер-министр России Дмитрий Медведев поручил летом 2016 года правительству внести на рассмотрение Госдумы подготовленный Минкомсвязью законопроект, который наделит Роскомнадзор необходимыми полномочиями для осуществления контроля и надзора за обработкой персональных данных. Такая информация содержится в материалах правительства.

Отмечается, что законопроект направлен на устранение правовой неопределенности в законодательстве. Так, в настоящий момент в России обязанность контролировать обработку персональных данных граждан в соответствии с законом не закреплена ни за одним органом. Эти полномочия и хотят закрепить за Роскомнадзором.

2012: Дмитрий Медведев утвердил изменения требований к защите персданных

Премьер-министр РФ Дмитрий Медведев 1 ноября 2012 года утвердил изменения требований к защите персональных данных при их обработке в информационных системах персональных данных. Соответствующий документ был опубликован на сайте правительства России.

Участники рынка утверждают, что меры хоть и позитивно скажутся на отрасли в целом, но их явно недостаточно и они до сих пор носят слишком консервативных характер.

Постановлением правительства устанавливаются четыре уровня защищенности персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищенности производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Постановлением также устанавливается требование использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Документ позволит операторам информационных систем, обрабатывающих персональные данные, определить требуемый уровень защищенности персональных данных, что в дальнейшем значительно упростит процедуру определения необходимых и достаточных мер по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

По словам ведущего инженера по ИБ департамента системной интеграции компании «Микротест» Сергея Борисова, новое постановление Правительства сократило количество обязательных требований до 14 против 34 в предыдущем документе. «Однако, на мой взгляд, новое постановление не облегчило жизнь компаниям», — сказал Сергей Борисов. — самое обременяющее требование — необходимость сертификации СЗИ — осталось обязательным для всех ИСПДн».

«Следующий пункт — классификация ИСПДн», — продолжил он. — Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно — придется обращаться в вышестоящую организацию или к консультанту».

Еще одной проблемой нового постановления Сергей Борисов видит утрату юридической значимости большей части документов ФСТЭК Р и ФСБ Р, разработанных во исполнение отмененного постановления. «Без новых документов нельзя будет даже провести установление уровней защищенности. А значит, ПП №1119 пока бесполезно», — подытожил Борисов.

Сергей Борисов видит в новом постановлении Правительства потенциальный рост расходов компаний на защиту персональных данных в связи с тем, что большая часть данных, которые раньше относились в малозначительным, сейчас переведены в другую категорию, требующую более высокую степень защиты.

Эксперты Российской ассоциации электронных коммуникаций уверены, что в настоящее время законодательство о персональных данных не учитывает современного уровня развития интернета и существенно замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.

РАЭК продолжает настаивать на создании межведомственной рабочей группы с участием представителей интернет-отрасли, экспертов по информационной безопасности, представителями Минкомсвязи РФ, Минэкономразвития РФ, ФСБ, ФСТЭК, Роскомнадзора для более четкого формулирования позиций отрасли по вопросам законодательства и его изменения. В частности, в приведении в соответствии с международным законодательством и стандартам существующих документов и постановлений.

Жилищный кодекс и персональные данные

16 июня 2011 года вступил в силу Федеральный закон от 4 июня 2011 года № 123-ФЗ «О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации», статья 5 которого внесла очередную новеллу в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Корректировке подверглась часть 2 статьи 6 ФЗ-152, дополненная новым пунктом следующего содержания:

«5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;…»

Вышеуказанный пункт дополнил ряд ситуаций, когда оператору персональных данных не требуется получать согласие субъекта на обработку персональных данных.

С одной стороны, эта поправка логично вписывается в новый правовой режим управления многоквартирными домами, который на уровне федерального законодательства закрепляет права и обязанности участников соответствующих общественных отношений и определяет специфику данных отношений. С точки зрения законодательства о персональных данных рассматриваемое изменение не вносит принципиальных изменений в существующий режим регулирования обработки и защиты персональных данных, но в определенной степени упрощает жизнь многочисленным организациям, осуществляющим управление многоквартирными домами, а также предоставление коммунальных услуг и осуществления расчетов с собственниками помещений.

С другой стороны, появление очередного исключения наводит на грустные мысли о целостности и применимости норм института согласия субъектов на обработку их персональных данных. В тексте поправки четко оговаривается условие отсутствия необходимости в получении согласия: обработка персональных данных происходит в связи с нормами Жилищного кодекса Российской Федерации либо в связи положениями соответствующего договора. Но вышеприведенное условие фактически дублирует содержание пунктов 1 и 2 части 2 статьи 6 ФЗ-152. Таким образом, законодатель спускается от уровня регулирования типовых ситуаций (например, обработка персональных данных в связи с исполнением положений договора) до уровня регулирования конкретных ситуаций (договорных отношений в сфере ЖКУ). Кроме того, происходит девальвация значения и ценности других норм института согласия субъектов на обработку их персональных данных (в частности, пунктов 1 и 2 части 2 статьи 6 ФЗ-152).

Проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5

Проектом федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5 предлагается привести в соответствие законодательство Российской Федерации c вступающими в силу 1 июля 2011 года нормами пункта 2 статьи 7 Федерального закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». В соответствии с указанной нормой, органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги, не вправе требовать от заявителя предоставления документов и информации, которые находятся в распоряжении государственных органов, органов местного самоуправления.

Пунктом 2 статьи 1 вышеуказанного законопроекта уточняется порядок и условия обработки персональных данных заявителей и иных лиц в связи с предоставлением государственных или муниципальных услуг. В частности, предлагается закрепить в ст. 7 Федерального закона «Об организации предоставления государственных и муниципальных услуг» норму, согласно которой: «Для обработки государственными органами, органами местного самоуправления и организациями, участвующими в предоставлении предусмотренных частью 1 статьи 1 настоящего Федерального закона государственных и муниципальных услуг, персональных данных, имеющихся в распоряжении таких органов и организаций, для предоставления таких персональных данных в орган (организацию) предоставляющий государственную или муниципальную услугу по запросу заявителя, не требуется получение согласия субъекта персональных данных, по запросу которого осуществляется обработка, в соответствии с требованиями пункта 1 части 2 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Запрос заявителя в орган (организацию) о предоставлении государственной или муниципальной услуги приравнивается к согласию такого заявителя с обработкой его персональных данных в целях предоставления органом (организацией) соответствующей государственной или муниципальной услуги.

Комментарий от компании ИнфоТехноПроект: Согласно ч. 1 ст. 6 Федерального закона «О персональных данных» основным условием обработки персональных данных субъектов является наличие согласия самого субъекта. Частью 2 вышеуказанной статьи установлены случаи, когда согласие субъекта персональных данных не требуется. В вышеприведенной цитате из текста законопроекта присутствует прямое указание на одно из подобных исключений, когда обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. Таким образом, операторы персональных данных («…государственные органы, органы местного самоуправления и организации, участвующими в предоставлении… государственных и муниципальных услуг…») будут избавлены от необходимости получать согласие субъекта на обработку его персональных данных, по запросу которого осуществляется обработка. Тем не менее, далее по тексту авторы законопроекта предлагают считать запрос субъекта (заявителя) о предоставлении ему государственной или муниципальной услуги эквивалентом согласия заявителя с обработкой его персональных данных. Необходимость этого уточнения представляется сомнительной в свете вышеизложенной ссылки на отсутствие необходимости в получении согласия субъекта. Введение такого уточнения ставит под сомнение существование каких-либо Федеральных законов (кроме ТК РФ), которые вообще можно считать попадающими под действие исключения, предусмотренного п.1 ч.2 ст.6 №152-ФЗ.

www.tadviser.ru

Смотрите еще:

  • Приказ по жилью фсб Приказ ФСБ РФ от 24 октября 2011 г. N 590 "Об утверждении Правил организации в органах федеральной службы безопасности работы по обеспечению жилыми помещениями" (с изменениями и дополнениями) Приказ ФСБ РФ от 24 октября 2011 г. N […]
  • 145-145 уголовный процессуальный кодекс Комментарий к СТ 145 УПК РФ Статья 145 УПК РФ. Решения, принимаемые по результатам рассмотрения сообщения о преступлении Комментарий к статье 145 УПК РФ: 1. Органы уголовного преследования принимают решения в пределах своей […]
  • Содействие добровольному переселению рф Указ Президента Российской Федерации от 14 сентября 2012 года № 1289 "О реализации Государственной программы по оказанию содействия добровольному переселению в Российскую Федерацию соотечественников, проживающих за […]
  • Осаго согласие рассчитать ОСАГО «Согласие» Калькулятор ОСАГО страховой компании «Согласие» Прописка собственника: Москва Москва Московская область Другой город Мощность двигателя: от 101 до 120 л.с. менее 50 л.с. от 50 до 70 л.с. от 71 до 100 […]
  • Органов опеки и попечительства зао Органов опеки и попечительства зао Начальник отдела - Осютина Наталья Федоровна, тел.(495)437-53-39 Вопросы по совершению сделок и распоряжению имуществом несовершеннолетних Главный специалист – Пономарева Ирина Петровна […]
  • Мировые суды кимры Кимрский городской суд Тверской области Адрес Кимрского городского суда в Тверской области Как проехать в суд: Проезд автобусом от автостанции №: 3, 9, 10, 17 до остановки «Центр» Проезд автобусом от ж/д вокзала №: 5, 6, 7, […]
  • Правила написание сочинения на огэ Сочинение на ОГЭ по русскому языку: 15.2 и 15.3. В 2014/2015 учебном году в ОГЭ по русскому языку, помимо сочинения-рассуждения на лингвистическую тему ( задание 15.1) появились ещё 2 варианта тем – рассуждений на морально-этическую […]
  • Новый закон об защите информации Федеральный закон «Об информации» Федеральный закон об информационной безопасности от 27. 07.2006 г., относится к разделу законодательства о государственной тайне. Государственная тайна — охраняемый государством материал в сфере его […]