Документы закон о персональных данных. Полномочия по надзору за обработкой персональных данных россиян отдадут РКН

Сфера защиты персональных данных является очень щекотливой. Даже государства с более развитым в этой сфере законодательством очень осторожны и постоянно его совершенствуют. Для России же шаги по совершенствование федеральных законов о данных физических лиц происходит нечасто.

С 1 июля 2017 вводится обновленная версия 152-ФЗ , заставившая не на шутку переполошиться владельцев виртуальных ресурсов. Поговорка: «Всё, что не делается, всё к лучшему» в данной ситуации совершенно не уместна, ведь пользы от закона мало. Штрафы стали значительно больше, а также увеличилось количество поводов для привлечения к ответственности.

Попробуем в подробностях разобраться, что сулит обладателям сайтов, где пользователи регистрируются и оставляют информацию о себе. Ведь незнание ни от чего не освобождает, и под прицелом Фемиды может оказаться каждый.

Какие негативные последствия влечет за собой 152-ФЗ

1. Во-первых, нечестным на руку сотрудникам проверяющих служб будет намного проще портить нервы владельцам компаний. Основанием для этого станет размер штрафа, для юридических лиц, достигающий 75 тысяч рублей.
2. Во-вторых, 152-ФЗ входит в компетенцию Роскомнадзора. Предыдущие редакции должны были контролироваться прокуратурой, но в силу тяжелой загрузки им было не до этого. А самый опасный момент заключается в том, что бизнес до сих пор не видит, какая угроза над ним зависла.

Основные нарушения, за которые будет штрафовать Роскомнадзор

Перечислим шесть основных случаев, которые вытекают из свода законов КоАП, пункт 3.11, вступающего в силу с 1.07.2017. Сразу стоит оговориться, что там также имеется большое количество прочих пунктов, но они касаются только государственных учреждений, поэтому мы про них рассказывать не будем:

НАРУШЕНИЕ 1: Обработка данных в случаях, которые не прописаны в действующем законодательстве, либо использование метода, преследующего скрытые от частного лица или контролирующего органа цели.

ШТРАФ: от 30 до 50 тысяч рублей.

Этот пункт будет угрожать предпринимателям в следующих случаях:

• Если компания неявно укажет цели сбора персональных данных или попробует их выразить нейтрально , чтобы таким образом избежать ответственности. Также может сильно повлиять неграмотность лица, составляющего текст.
• Если связь лиц, занимающихся сбором данных, с компанией, обрабатывающей эти данные, противоречит общим условиям обработки личной информации. Эти ошибки возникают чаще всего при составлении анкет на улицах. Теперь при неправильном подходе за это можно получить штраф.
• В вашем интернет-магазине действует принудительная регистрация с целью сбора клиентской базы? Вы тоже находитесь под ударом с первого июля. Сама цель продажи не совпадает со сбором персональных данных. Например, чтобы что-либо купить на рынке или в магазине, не нужно показывать свой паспорт. Это же справедливо и для онлайн продаж. Вероятнее всего, что этот пункт будет активно проверяться.

НАРУШЕНИЕ 2: Согласно новому закону, обработка персональных данных должна производиться только с согласия того, чьи данные будут обрабатываться.

ШТРАФ: от 15 до 75 тысяч рублей.

Пока что большинству совершенно не ясно, как будет работать этот механизм, но под угрозой оказываются все без исключения. Опрашивать каждого посетителя на сайте, давал ли он согласие, а тем более заставить давать его в чистом виде, никто не сможет. Остаются различные варианты с галочками и ссылками рядом с формами сбора персональных данных на сайте.

В интернете сотни тысяч сайтов, большинство из которых даже не подозревают об угрозе. Обрабатывать такие объёмы правонарушений не сможет ни одна государственная служба, но ведущим лидерам рынка и выборочным «везунчикам» точно достанется.

НАРУШЕНИЕ 3: Недопущение проверяющих органов к политике проверки персональных данных.

ШТРАФ: от 15 до 30 тысяч рублей.

Работу с индивидуальными сведениями сотрудников регулирует закон о защите персональных данных (Полное название Федеральный Закон «О персональных данных») и Гражданский Кодекс Российской Федерации. Обладая конфиденциальными сведениями о наемном работнике, работодатель обязан, помимо всего, обеспечить их сохранность в соответствии с законом. Чтобы более подробно разобраться в данном вопросе, начнем, как говорится, «от печки» — для начала рассмотрим перечень персональных данных, подлежащих защите.

Оформляя трудовые отношения с новым сотрудником, работодатель собирает и обрабатывает его персональные данные. Под персональными подразумеваются индивидуальные сведения о конкретном человеке. В том числе:

• личностная информация: ФИО, возраст, половая принадлежность, фотоизображение;
• сведения о полученном образовании и профессиональных навыках;
• национальность и расовая принадлежность;
• отношение человека к наркотическим, алкогольным, психотропным веществам;
• сведения об этапах прошлой жизни (служба в рядах вооруженных сил, отбывание наказания, предыдущие места работы и т.п.);
• принадлежность к политическим и религиозным течениям;
• материальное положение;
• сведения о месте проживания;
• информация о родственных связях и семейном положении;
• оценивающая характеристика личности;
• данные о физическом и психическом состоянии сотрудника и его сексуальной ориентации;
• наличие хобби, увлечений.

Получив необходимые сведения о своем сотруднике, наниматель обязан, согласно Федеральному Закону о защите персональных данных, обработать и сохранить их. Обрабатывая индивидуальные данные сотрудников, руководитель предприятия должен соблюдать некоторые правила, предусмотренные законом:

1. Собирать и обрабатывать можно только те сведения личного характера, которые влияют на эффективность сотрудничества в рамках трудовых отношений, более качественное выполнение трудовых обязанностей и сохранение жизни и здоровья наемного работника.
2. База данных работника складывается из информации, полученной от самого сотрудника и от сторонних лиц. Запрос сведений у третьих лиц может быть осуществлен только с согласия самого работника, оформленного в письменном виде.
3. Сведения о вероисповедании, принадлежности к каким-либо политическим течениям, личной жизни, не могут быть материалом для обработки по месту трудоустройства.
4. Также не обрабатывается информация о принадлежности к профсоюзным организациям и прочим объединениям.
5. Запрещается принимать решения, ущемляющие личные права наемного рабочего, на основе автоматизированных или электронных данных.
6. Обязанность по организации защиты персональных данных на предприятии лежит на работодателе.
7. Руководитель предприятия обязан издать приказ о защите персональных данных своих сотрудников. Образец данного документа приведен ниже.
8. Сотрудник под роспись знакомится с порядком обработки его индивидуальных сведений.
9. В целях защиты своих персональных данных и на основе трудового права работник может не передавать нежелательную для него информацию.

Организация защиты персональных данных на предприятии

При обработке и использовании персональных данных своих сотрудников, у работодателя появляются обязанности:

• не распространять полученные сведения;
• предоставлять допуск к конфиденциальной информации только уполномоченным на то представителям;
• какую-либо передачу информации осуществлять только с согласия ее владельца, оформленного в письменном виде.

Помимо прочего, работодатель не имеет права собирать и обрабатывать информацию, не относящуюся к выполнению трудовых обязательств сотрудника.

Относительно вопроса об индивидуальных сведениях работников в Трудовом Кодексе РФ есть статья 89 о защите персональных данных.

Согласно закону РФ о защите персональных данных, работник имеет право:

• знать, как обрабатывается и хранится информация о его личности;
• иметь доступ к базе своих персональных сведений;
• вносить изменения в информационную базу, если таковые имеют место быть;
• защищать свое право в судебных заседаниях в случае нарушения работодателем положений о защите персональных данных;
• иметь представителей по защите своих прав.

Защита персональных данных работника - трудовое право

К защите индивидуальных сведений граждан наше законодательство подошло очень серьезно. Нарушение права по защите личных данных, предусмотренное Конституцией РФ, карается законом. В первую очередь, наказаны будут лица, допустившие нарушения прав работника, а также и руководитель данного предприятия.

Уполномоченный сотрудник, который нарушил закон «О персональных данных», воспользовавшись своим служебным положением, подвергается наказанию в виде:

• денежного штрафа в размере 100 000 – 300 000 рублей;
• материального взыскания, составляющего сумму дохода за 12-24 месяца;
• содержания под стражей до 0,5 года;
• запрета занимать определенные должности.

Также, согласно статье 137 УК РФ, лица, виновные в распространении охраняемых законом сведений, несут ответственность в виде:

• денежного штрафа в размере до 200 000 рублей;
• материального взыскания, составляющего доход за 1,5 года;
• от 120 до 180 часов обязательных работ;
• выполнения исправительных работ сроком до 12 месяцев;
• заключения под стражу до 4 месяцев.

Помимо всего, сотруднику, разгласившему охраняемую информацию, будет вынесен выговор, либо произойдет перевод его на другую должность, а возможно и увольнение .

Отстаивать права о защите своих индивидуальных сведений гражданин будет в судебном заседании. Доказав нарушения норм законодательства относительно персональных данных, работник может рассчитывать на возмещение материального и морального ущерба.

Об операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.

Вот пример последствий для оператора персональных данных по обращению владельца:

Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.

Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).

Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.

В очередной раз ужесточают ответственность за обработку персональных данных. С 1 июля 2017 года будет действовать новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли - до 75 тыс. руб. О том, как защититься от нарушений, читайте в статье.

Ответственность за нарушения по персональным данным

• для юридических лиц - от 5 тыс. до 10 тыс. руб.;
• для должностных лиц - от 500 до 1 тыс. руб.

* Если не предусмотрена уголовная ответственность

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности - три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание - штраф от 1000 до 5000 руб., за повторное нарушение - штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству - один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Ситуации из практики: что изменится с 1 июля

Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение - от 20 000 до 40 000 руб., на бухгалтера - от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию - за такое нарушение инспекторы могут назначить штраф на учреждение - от 25 000 до 45 000 руб, а на должностное лицо - от 4000 до 10 000 руб.

Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение - от 25 000 до 50 000 руб., а на бухгалтера - от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение - от 30 000 до 50 000 руб., а на бухгалтера - от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

О других видах ответственности

Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию - 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.

Самый страшный вид ответственности - это уголовная. Она может наступить за незаконные действия:

• сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

Как защитить персональные данные

Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.

Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.

1. Ограничьте доступ сотрудников к компьютерам.

2. Введите систему индивидуальных паролей. Их нужно периодически менять.

3. Храните диски и другие носители информации в запирающихся шкафах.

4. Закрепите процедуру защиты информации в положении.

Положение об обработке персональных данных

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.

Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии - бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.

Обработка данных без согласия сотрудника

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

• Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 № 27-ФЗ);
• налоговую инспекцию (ст. 24 НК РФ);
• военные комиссариаты (ст. 4 Закона от 28 марта 1998 № 53-ФЗ);
• иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

• если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
• если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
• если соответствующая форма и система оплаты труда прописана в коллективном договоре учреждения (абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.).

К персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо и получить о нём какую-либо дополнительную информацию. Любая организация, работающая с данными физических лиц, должна защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям закона.

Определения

• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Зачем России этот закон

Поводом для принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами Евросоюза . Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. Для сравнения, в Норвегии и Франции подобные законы были введены еще в конце девятнадцатого столетия. Осенью 2005 года Государственная дума ратифицировала конвенцию Совета Европы "О защите личности в связи с автоматической обработкой персональных данных".

По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.

Как утверждали и меняли закон

Передачу персональных данных на зарубежные сервера планируется ограничить

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по .

2006-2010 годы

В июле 2006 года был принят федеральный закон №152-ФЗ "О персональных данных". Закон вступил в силу в январе 2007 года.

Что мешает соблюдать закон?

Во-первых, серьезным препятствием являются технические проблемы. Несмотря на то, что обязательство использовать шифровальные (криптографические) средства было снято в новой редакции закона, операторы обязаны использовать комплекс технических и организационных средств защиты в соответствии с классом их системы. Мало того, для организации соответствующей защиты чаще всего компании необходимо практически полностью обновить парк технических средств. Компании специализированные или имеющие соответствующий штат, могут самостоятельно внедрять системы безопасности для защиты корпоративной информации, в том числе, включающей в себя и персональные данные о контрагентах и сотрудниках. Другие компании, которые по тем или иным соображениям не желают заниматься вопросами безопасности самостоятельно, обращаются в специализированные фирмы. Но в конечном итоге выбор средств защиты ложится на плечи того, кто их оплачивает, и война экономии и безопасности неизбежна. Выполнение формальных требований ФЗ-152 не обеспечивает реальную защиту конфиденциальной информации, в том числе персональных данных, от утечки и иных внутренних угроз.

Во-вторых, это проблемы с сертификацией. Ведь с точки зрения законодательства во главу угла становится не сама безопасность, а соответствие мер по защите персональных данных тем, которые определены в стандарте. И не исключено, что некоторые компании ограничатся только расходами на лицензирование. Уже сейчас, пробежавшись по первому десятку компаний из поисковой системы, которые занимаются аутсорсингом в сфере защиты информации, можно заметить, что большинство из них делают акцент не на разработку систем защиты, а на помощь в сборе документов для получения лицензии.

Третьей существенной проблемой на пути успешного внедрения закона является разбалансированность операторского рынка. В действительности необходимо различать требования безопасности, предъявляемые к разным источникам данных. Операторы данных могут напоминать в этой ситуации слепых котят - все разнообразие методов и способов защиты информации подведено регуляторами под одну гребенку, а существующие объединения на рынке решают вопросы узкого круга компаний и не отстаивают интересы участников рынка в целом.

Защита персональных данных

Хронология событий

2017

Facebook и Twitter выполнят требования российского законодательства

Крупные американские компании Facebook и Twitter выполнят требования закона «О персональных данных». Facebook планирует создать российское представительство, а Twitter перенести на территорию РФ серверы с персональными данными россиян, сообщают в ноябре 2017 года «Известия » со ссылкой на свои источники.

Минкомсвязи России хочет ужесточить процедуру согласия на обработку персональных данных

Чиновник подчеркнул, что «наши граждане зачастую дают подобного рода согласие без четкого понимания правовых последствий и возможного их в дальнейшем использования». Именно по этой причине министерство и выступило с подобной инициативой – в рамках закона усовершенствовать как саму процедуру, так и порядок дачи согласия на обработку личной информации. Более того, как отметил Соколов, на данный момент прорабатывается возможность создания государственного ресурса, на котором бы велся учет данных согласий гражданами на обработку персональной информации для того, чтобы контролировать их использование.

Минкомсвязи также предлагает на законодательном уровне разграничить и выработать подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Чиновник отмечает: «Одной из наиболее обсуждаемых проблем является, так называемые, . Действующее законодательство не содержит такого или близкого по смыслу понятия, но устанавливает, что обработка персональных данных допускается для достижения конкретных, заранее обозначенных целей, после чего они подлежат обезличиванию или уничтожению. Таким образом, в интернет-сервисах накапливается огромный массив обезличенных персональных данных, не позволяющих идентифицировать личность. Кроме того, стремительное развитие интернета вещей, различного вида счетчиков, датчиков, бытовой техники порождает значительный объем иного вида данных, которые также не могут быть отнесены к персональным данным. С учетом этого, необходимо на законодательном уровне проработать вопрос разграничения и выработать различные подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Наши предложения будут готовы в первой половине 2017 года» .

Полномочия по надзору за обработкой персональных данных россиян отдадут РКН

Участники рынка утверждают, что меры хоть и позитивно скажутся на отрасли в целом, но их явно недостаточно и они до сих пор носят слишком консервативных характер.

Постановлением правительства устанавливаются четыре уровня защищенности персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищенности производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Постановлением также устанавливается требование использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Документ позволит операторам информационных систем, обрабатывающих персональные данные, определить требуемый уровень защищенности персональных данных, что в дальнейшем значительно упростит процедуру определения необходимых и достаточных мер по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

По словам ведущего инженера по ИБ департамента системной интеграции компании "Микротест " Сергея Борисова, новое постановление Правительства сократило количество обязательных требований до 14 против 34 в предыдущем документе. "Однако, на мой взгляд, новое постановление не облегчило жизнь компаниям", - сказал Сергей Борисов. - самое обременяющее требование - необходимость сертификации СЗИ - осталось обязательным для всех ИСПДн".

"Следующий пункт - классификация ИСПДн", - продолжил он. - Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно - придется обращаться в вышестоящую организацию или к консультанту".

Еще одной проблемой нового постановления Сергей Борисов видит утрату юридической значимости большей части документов ФСТЭК Р и ФСБ Р, разработанных во исполнение отмененного постановления. "Без новых документов нельзя будет даже провести установление уровней защищенности. А значит, ПП №1119 пока бесполезно", - подытожил Борисов.

Сергей Борисов видит в новом постановлении Правительства потенциальный рост расходов компаний на защиту персональных данных в связи с тем, что большая часть данных, которые раньше относились в малозначительным, сейчас переведены в другую категорию, требующую более высокую степень защиты.

Эксперты Российской ассоциации электронных коммуникаций уверены, что в настоящее время законодательство о персональных данных не учитывает современного уровня развития интернета и существенно замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.

РАЭК продолжает настаивать на создании межведомственной рабочей группы с участием представителей интернет-отрасли, экспертов по информационной безопасности, представителями Минкомсвязи РФ, Минэкономразвития РФ, ФСБ, ФСТЭК, Роскомнадзора для более четкого формулирования позиций отрасли по вопросам законодательства и его изменения. В частности, в приведении в соответствии с международным законодательством и стандартам существующих документов и постановлений.

2011

Жилищный кодекс и персональные данные

16 июня 2011 года вступил в силу Федеральный закон от 4 июня 2011 года № 123-ФЗ «О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации», статья 5 которого внесла очередную новеллу в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Корректировке подверглась часть 2 статьи 6 ФЗ-152, дополненная новым пунктом следующего содержания:

«5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;…»

Вышеуказанный пункт дополнил ряд ситуаций, когда оператору персональных данных не требуется получать согласие субъекта на обработку персональных данных.

С одной стороны, эта поправка логично вписывается в новый правовой режим управления многоквартирными домами, который на уровне федерального законодательства закрепляет права и обязанности участников соответствующих общественных отношений и определяет специфику данных отношений. С точки зрения законодательства о персональных данных рассматриваемое изменение не вносит принципиальных изменений в существующий режим регулирования обработки и защиты персональных данных, но в определенной степени упрощает жизнь многочисленным организациям, осуществляющим управление многоквартирными домами, а также предоставление коммунальных услуг и осуществления расчетов с собственниками помещений.

С другой стороны, появление очередного исключения наводит на грустные мысли о целостности и применимости норм института согласия субъектов на обработку их персональных данных. В тексте поправки четко оговаривается условие отсутствия необходимости в получении согласия: обработка персональных данных происходит в связи с нормами Жилищного кодекса Российской Федерации либо в связи положениями соответствующего договора. Но вышеприведенное условие фактически дублирует содержание пунктов 1 и 2 части 2 статьи 6 ФЗ-152. Таким образом, законодатель спускается от уровня регулирования типовых ситуаций (например, обработка персональных данных в связи с исполнением положений договора) до уровня регулирования конкретных ситуаций (договорных отношений в сфере ЖКУ). Кроме того, происходит девальвация значения и ценности других норм института согласия субъектов на обработку их персональных данных (в частности, пунктов 1 и 2 части 2 статьи 6 ФЗ-152).

Проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5

Проектом федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5 предлагается привести в соответствие законодательство Российской Федерации c вступающими в силу 1 июля 2011 года нормами пункта 2 статьи 7 Федерального закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». В соответствии с указанной нормой, органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги, не вправе требовать от заявителя предоставления документов и информации, которые находятся в распоряжении государственных органов, органов местного самоуправления.

Пунктом 2 статьи 1 вышеуказанного законопроекта уточняется порядок и условия обработки персональных данных заявителей и иных лиц в связи с предоставлением государственных или муниципальных услуг. В частности, предлагается закрепить в ст. 7 Федерального закона «Об организации предоставления государственных и муниципальных услуг» норму, согласно которой: «Для обработки государственными органами, органами местного самоуправления и организациями, участвующими в предоставлении предусмотренных частью 1 статьи 1 настоящего Федерального закона государственных и муниципальных услуг, персональных данных, имеющихся в распоряжении таких органов и организаций, для предоставления таких персональных данных в орган (организацию) предоставляющий государственную или муниципальную услугу по запросу заявителя, не требуется получение согласия субъекта персональных данных, по запросу которого осуществляется обработка, в соответствии с требованиями пункта 1 части 2 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Запрос заявителя в орган (организацию) о предоставлении государственной или муниципальной услуги приравнивается к согласию такого заявителя с обработкой его персональных данных в целях предоставления органом (организацией) соответствующей государственной или муниципальной услуги.

Главная » Гражданское право » Документы закон о персональных данных. Полномочия по надзору за обработкой персональных данных россиян отдадут РКН