Федерального закона 152 фз о персональных данных. Соблюдаем закон о персональных данных: что надо учесть. Исключения из сферы действия нормативного акта

Законодательство РФ содержит нормативные акты, гарантирующие защиту личных данных граждан. Основным источником права соответствующего типа является Федеральный закон № 152-ФЗ. В нем содержатся положения, в достаточной мере детально регламентирующие осуществление оборота персональных данных россиян. Какие из них можно назвать ключевыми? В чем заключается смысл ФЗ № 152?

Сфера действия нормативного акта

Закон "О персональных данных" № 152-ФЗ распространяется на правоотношения, которые связаны с обработкой информации главным образом личного характера. К ней можно отнести Ф.И.О., адрес, телефон, паспортные данные человека. Персональные данные, которые защищает рассматриваемый закон, могут обрабатываться как юридическими, так и физическими лицами. ПД могут быть и биометрическими, то есть представлять собой отпечатки пальцев гражданина или снимок сетчатки его глаз.

В чем смысл регулирования оборота ПД?

Основная идея ФЗ № 152 "О персональных данных" в том, что гражданин, являющийся владельцем ПД, сам может определять то, кому он разрешает пользоваться соответствующими данными и каким образом. То есть, если соответствующего разрешения не получено, другое лицо не вправе каким-либо образом обрабатывать ПД, принадлежащие другому субъекту. Закон устанавливает ряд исключений из этого правила. Далее в статье мы рассмотрим данный аспект и иные особенности применения положений закона № 152-ФЗ подробнее.

Чаще всего оборот ПД осуществляют компании-работодатели, органы власти на различных уровнях, сервисные службы. Поэтому они должны наиболее внимательно изучать закон "О персональных данных" и обеспечивать соответствие своей работы его положениям. Рассмотрим то, на какие нормы, что содержатся в указанном нормативном акте, следует обращать внимание в первую очередь.

Основные нормы ФЗ № 152

Изучая закон "О персональных данных" (152-ФЗ), следует в первую очередь разобраться в терминологии, которая в нем отражена. Так, ключевыми понятиями, которые содержит соответствующий источник права, можно считать:

• собственно «персональные данные» - определяемые как любая информация, касающаяся физического лица;
• «оператор персональных данных» - организация или физлицо, осуществляющие обработку ПД;
• «информационная система» - ресурс, на котором размещаются ПД.

Можно отметить, что в законе приведена в достаточной мере широкая трактовка понятия ПД - нет каких-либо четких критериев их определения. Это, как считают многие юристы, значительно способствует повышению уровня защищенности личной информации граждан, поскольку, в силу положений закона, практически все ее виды могут быть классифицированы как персональные данные.

Операции с ПД

Законодательство о ПД регламентирует операции, которые могут быть, в принципе, осуществлены с соответствующими данными:

• распространение;
• предоставление;
• блокирование;
• обезличивание;
• трансграничная передача;
• уничтожение.

Закон "О персональных данных" требует от операторов ПД осуществления указанных действий при условии соблюдения:

Конфиденциальности ПД (если иное не установлено законом);

Целостности ПД.

То есть персональные данные должны быть защищены, во-первых, от несанкционированного просмотра, а во-вторых - от уничтожения или неправомерной корректировки. Изучим то, каким образом должна осуществляться собственно защита ПД в соответствии с нормами закона № 152-ФЗ.

Защита персональных данных по закону № 152-ФЗ

Выполнение главного обязательства, которое предусмотрено законом, оператор ПД должен осуществлять с помощью:

• внедрения передовых технологических решений, позволяющих защитить данные от несанкционированного прочтения и изменения;
• применения правовых методов защиты информации.

Решая указанные задачи, оператор ПД, как это предписывает закон "О защите персональных данных", должен:

• классифицировать информацию, обработку которой он осуществляет, по уровням защищенности;
• установить требования к качеству носителей персональных данных;
• определить особые критерии защищенности биометрических данных.

Прежде чем начать обработку ПД, их оператор должен получить соответствующую информацию в распоряжение. Как он может сделать это законным способом?

Как владельцу ПД разрешить их использование?

Основной и во многих случаях единственный способ, с помощью которого владелец ПД может передать в распоряжение оператора свои персональные данные - в письменном виде дать согласие на их обработку. Как правило, оно представляет собой заявление, в котором человек перечисляет ПД, которые готов дать на обработку, указывает способы обработки ПД, которые он одобряет.

Закон "О персональных данных" в некоторых случаях не требует оформления соответствующего согласия - например, если речь идет об оформлении сотрудника на работу. Однако на практике многие компании, нанимающие работников, все же просят их предоставить согласие на обработку ПД. Это во многом связано с тем, что формально не все типы операций с кадровыми документами попадают под исключения, которые содержит закон "О защите персональных данных". Полезно будет рассмотреть их перечень отдельно.

В каких случаях ПД могут быть обработаны без согласия владельца?

Федеральный Закон 152 «О персональных данных» устанавливает, что оператору ПД не нужно запрашивать согласие у их владельца на обработку соответствующей информации, если она осуществляется:

• в силу положений какого-либо федерального закона;
• для исполнения договора, заключаемого между оператором ПД и их владельцем;
• в целях сбора статистических данных или при проведении научного исследования - но при условии, что ПД будут обезличены;
• в экстренной ситуации, когда это необходимо для оказания помощи владельцу ПД;
• в целях отправки почты;
• для осуществления расчетов между провайдерами и их клиентами, являющимися владельцами ПД;
• в рамках журналистской деятельности;
• в соответствии с законами, регулирующими деятельность государственных и муниципальных служащих.

Исполнение требований ФЗ № 152 операторами ПД может контролироваться компетентными государственными органами. Изучим данный аспект подробнее.

Контроль над исполнением положений ФЗ № 152

Закон "О персональных данных" (152-ФЗ) устанавливает, что контроль над исполнением его положений должен осуществлять компетентный орган власти. Он функционирует на федеральном уровне, и потому, ему подчинены различные региональные ведомства. Данный орган власти имеет право:

• получать у физлиц и организаций сведения, необходимые в целях реализации установленных для него полномочий;
• проверять сведения, включаемые в уведомления об обработке ПД;
• обращаться к другим государственным структурам за содействием в решении поставленных задач;
• предписывать оператору ПД корректировать, блокировать или же уничтожать данные, которые признаны недостоверными или получены в обработку незаконным путем;
• обращаться в судебные органы с исками в пользу защиты владельцев ПД, а также представлять их интересы в процессе слушаний;
• взаимодействовать с органами, выдающими лицензии для операторов ПД, на предмет аннулирования соответствующих разрешительных документов в тех случаях, если лицо, осуществляющее обработку ПД, нарушает требования закона;
• взаимодействовать с прокуратурой и силовыми структурами по вопросам защиты персональных данных граждан;
• предлагать правительству РФ меры по совершенствованию законодательства в области ПД;
• привлекать в административном порядке к ответственности тех лиц, что нарушают нормы ФЗ № 152.

Резюме

Таким образом, закон "О персональных данных" 152-ФЗ устанавливает детальный перечень правовых норм, защищающих оборот конфиденциальной информации о гражданах. Он определяет сущность ПД, статус их владельцев и операторов. Главная задача, которую решает федеральный закон "О персональных данных" - защита личной информации граждан от использования в интересах третьих лиц.

Положения соответствующего ФЗ предполагают, что человек сам должен давать согласие на обработку своих ПД, а оператор соответствующих данных получает право запрашивать ПД только в определенных законом случаях. Кроме того, рассматриваемый закон требует от лиц, использующих персональные данные граждан, обеспечения должного уровня их защиты.

Касательно первого критерия есть исключения - их тоже содержит закон. ФЗ «О персональных данных» - в достаточной мере прогрессивный нормативно-правовой акт, позволяющий вывести правовые механизмы защиты интересов граждан на новый уровень. Санкции за его нарушения могут быть предусмотрены весьма серьезные, поэтому операторам ПД: работодателям, сервисным службам и любым другим фирмам, работающим с личными данными гражданина - следует внимательно изучать положения соответствующего закона.

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

1. Приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Разберем порядок действий на отдельно взятой информационной системе.

ГИС или не ГИС

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной .

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

• связанные с наличием недекларированных возможностей в системном программном обеспечении;
• связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
• не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

• специальные;
• биометрические;
• общедоступные;
• иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

• до 100 тысяч;
• более 100 тысяч;
• ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер .

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер .

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН .

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»

• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Зачем России этот закон

Поводом для принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами Евросоюза . Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. Для сравнения, в Норвегии и Франции подобные законы были введены еще в конце девятнадцатого столетия. Осенью 2005 года Государственная дума ратифицировала конвенцию Совета Европы "О защите личности в связи с автоматической обработкой персональных данных".

По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.

Как утверждали и меняли закон

Передачу персональных данных на зарубежные сервера планируется ограничить

2006-2010 годы

В июле 2006 года был принят федеральный закон №152-ФЗ "О персональных данных". Закон вступил в силу в январе 2007 года.

В четверг 13 июня 2019 года в Государственную Думу внесен законопроект, по которому предусматриваются штрафы за нарушения хранения персональных данных (ПДн) граждан РФ до 18 миллионов рублей. В соответствии с законопроектом, ст. 13.11 Кодекса Российской Федерации об административных правонарушениях предлагается дополнить и установить штрафы в размере:

• от 30 до 50 тысяч рублей для физических лиц;
• от 200 до 500 тысяч рублей для должностных лиц;
• от 2 до 6 миллионов для юридических лиц.

Административные взыскания предусмотрены за невыполнение оператором при сборе ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. При повторном правонарушение штрафы возрастают:

• от 50 до 100 тысяч рублей для физических лиц;
• от 500 тысяч рублей до 1 миллиона рублей для должностных лиц;
• от 6 до 18 миллионов рублей для юридических лиц.

Идея данного законопроекта возникла после претензий Роскомнадзора к социальным сетям Twitter и Facebook . Компании отказались от предоставления сведений о месте нахождения баз данных российских пользователей, за что их смогли оштрафовать лишь по статье 19.7 КоАП РФ (непредставление или несвоевременное представление сведений, представление которых предусмотрено законом) в размере 3 тысяч рублей. Так как отдельной статьи за нарушение такого рода требований не предусмотрено, единственное наказание, которое можно было применить - штраф по 19.7 статье КоАП РФ.

Что мешает соблюдать закон?

Во-первых, серьезным препятствием являются технические проблемы. Несмотря на то, что обязательство использовать шифровальные (криптографические) средства было снято в новой редакции закона, операторы обязаны использовать комплекс технических и организационных средств защиты в соответствии с классом их системы. Мало того, для организации соответствующей защиты чаще всего компании необходимо практически полностью обновить парк технических средств. Компании специализированные или имеющие соответствующий штат, могут самостоятельно внедрять системы безопасности для защиты корпоративной информации, в том числе, включающей в себя и персональные данные о контрагентах и сотрудниках. Другие компании, которые по тем или иным соображениям не желают заниматься вопросами безопасности самостоятельно, обращаются в специализированные фирмы. Но в конечном итоге выбор средств защиты ложится на плечи того, кто их оплачивает, и война экономии и безопасности неизбежна. Выполнение формальных требований ФЗ-152 не обеспечивает реальную защиту конфиденциальной информации, в том числе персональных данных, от утечки и иных внутренних угроз.

Во-вторых, это проблемы с сертификацией. Ведь с точки зрения законодательства во главу угла становится не сама безопасность, а соответствие мер по защите персональных данных тем, которые определены в стандарте. И не исключено, что некоторые компании ограничатся только расходами на лицензирование. Уже сейчас, пробежавшись по первому десятку компаний из поисковой системы, которые занимаются аутсорсингом в сфере защиты информации , можно заметить, что большинство из них делают акцент не на разработку систем защиты, а на помощь в сборе документов для получения лицензии.

Третьей существенной проблемой на пути успешного внедрения закона является разбалансированность операторского рынка. В действительности необходимо различать требования безопасности, предъявляемые к разным источникам данных. Операторы данных могут напоминать в этой ситуации слепых котят - все разнообразие методов и способов защиты информации подведено регуляторами под одну гребенку, а существующие объединения на рынке решают вопросы узкого круга компаний и не отстаивают интересы участников рынка в целом.

Защита персональных данных

Хронология событий

2019: Роспотребнадзор предложил приравнять генетические данные к персональным

Автором законопроекта является Роспотребнадзор . Документ предлагает внести изменения в ст. 11 Федерального закона «О персональных данных» от 27 июля 2006 года в части обработки биометрических персональных данных.

В случае принятия законопроект закроет пробел в законодательстве в области защиты информации о человеке, полученной из его биоматериала, содержащего генетическую информацию. Подобная информация позволяет третьей стороне ознакомиться с дополнительными данными о человеке, например, о состоянии здоровья, образе жизни, чувствительности к лекарствам и аллергенам и т.д. В связи с этим авторы инициативы предложили приравнять подобную информацию к персональным данным, к которым должны применяться дополнительные меры защиты.

Целью законопроекта является обеспечение соблюдения конституционных прав граждан в сфере отношений, связанных с обработкой персональных данных, содержащих информацию о генетических особенностях человека.

Минкомсвязи России хочет ужесточить процедуру согласия на обработку персональных данных

Чиновник подчеркнул, что «наши граждане зачастую дают подобного рода согласие без четкого понимания правовых последствий и возможного их в дальнейшем использования». Именно по этой причине министерство и выступило с подобной инициативой – в рамках закона усовершенствовать как саму процедуру, так и порядок дачи согласия на обработку личной информации. Более того, как отметил Соколов, на данный момент прорабатывается возможность создания государственного ресурса, на котором бы велся учет данных согласий гражданами на обработку персональной информации для того, чтобы контролировать их использование.

Минкомсвязи также предлагает на законодательном уровне разграничить и выработать подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Чиновник отмечает: «Одной из наиболее обсуждаемых проблем является, так называемые, . Действующее законодательство не содержит такого или близкого по смыслу понятия, но устанавливает, что обработка персональных данных допускается для достижения конкретных, заранее обозначенных целей, после чего они подлежат обезличиванию или уничтожению. Таким образом, в интернет-сервисах накапливается огромный массив обезличенных персональных данных, не позволяющих идентифицировать личность. Кроме того, стремительное развитие интернета вещей, различного вида счетчиков, датчиков, бытовой техники порождает значительный объем иного вида данных, которые также не могут быть отнесены к персональным данным. С учетом этого, необходимо на законодательном уровне проработать вопрос разграничения и выработать различные подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Наши предложения будут готовы в первой половине 2017 года» Роскомнадзор необходимыми полномочиями для осуществления контроля и надзора за обработкой персональных данных. Такая информация содержится в материалах правительства.

Отмечается, что законопроект направлен на устранение правовой неопределенности в законодательстве. Так, в настоящий момент в России обязанность контролировать обработку персональных данных граждан в соответствии с законом не закреплена ни за одним органом. Эти полномочия и хотят закрепить за Роскомнадзором.

2012: Дмитрий Медведев утвердил изменения требований к защите персданных

Премьер-министр РФ Дмитрий Медведев 1 ноября 2012 года утвердил изменения требований к защите персональных данных при их обработке в информационных системах персональных данных. Соответствующий документ был опубликован на сайте правительства России .

Участники рынка утверждают, что меры хоть и позитивно скажутся на отрасли в целом, но их явно недостаточно и они до сих пор носят слишком консервативных характер.

Постановлением правительства устанавливаются четыре уровня защищенности персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищенности производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические , общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Постановлением также устанавливается требование использования средств защиты информации , прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Документ позволит операторам информационных систем, обрабатывающих персональные данные, определить требуемый уровень защищенности персональных данных, что в дальнейшем значительно упростит процедуру определения необходимых и достаточных мер по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

По словам ведущего инженера по ИБ департамента системной интеграции компании "Микротест " Сергея Борисова, новое постановление Правительства сократило количество обязательных требований до 14 против 34 в предыдущем документе. "Однако, на мой взгляд, новое постановление не облегчило жизнь компаниям", - сказал Сергей Борисов. - самое обременяющее требование - необходимость сертификации СЗИ - осталось обязательным для всех ИСПДн".

"Следующий пункт - классификация ИСПДн", - продолжил он. - Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно - придется обращаться в вышестоящую организацию или к консультанту".

Еще одной проблемой нового постановления Сергей Борисов видит утрату юридической значимости большей части документов ФСТЭК Р и ФСБ Р, разработанных во исполнение отмененного постановления. "Без новых документов нельзя будет даже провести установление уровней защищенности. А значит, ПП №1119 пока бесполезно", - подытожил Борисов.

Сергей Борисов видит в новом постановлении Правительства потенциальный рост расходов компаний на защиту персональных данных в связи с тем, что большая часть данных, которые раньше относились в малозначительным, сейчас переведены в другую категорию, требующую более высокую степень защиты.

Эксперты Российской ассоциации электронных коммуникаций уверены, что в настоящее время законодательство о персональных данных не учитывает современного уровня развития интернета и существенно замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.

РАЭК продолжает настаивать на создании межведомственной рабочей группы с участием представителей интернет-отрасли, экспертов по информационной безопасности , представителями Минкомсвязи РФ, Минэкономразвития РФ, ФСБ, ФСТЭК, Роскомнадзора для более четкого формулирования позиций отрасли по вопросам законодательства и его изменения. В частности, в приведении в соответствии с международным законодательством и стандартам существующих документов и постановлений.

2011

Жилищный кодекс и персональные данные

16 июня 2011 года вступил в силу Федеральный закон от 4 июня 2011 года № 123-ФЗ «О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации», статья 5 которого внесла очередную новеллу в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Корректировке подверглась часть 2 статьи 6 ФЗ-152, дополненная новым пунктом следующего содержания:

«5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;…»

Вышеуказанный пункт дополнил ряд ситуаций, когда оператору персональных данных не требуется получать согласие субъекта на обработку персональных данных.

С одной стороны, эта поправка логично вписывается в новый правовой режим управления многоквартирными домами, который на уровне федерального законодательства закрепляет права и обязанности участников соответствующих общественных отношений и определяет специфику данных отношений. С точки зрения законодательства о персональных данных рассматриваемое изменение не вносит принципиальных изменений в существующий режим регулирования обработки и защиты персональных данных, но в определенной степени упрощает жизнь многочисленным организациям, осуществляющим управление многоквартирными домами, а также предоставление коммунальных услуг и осуществления расчетов с собственниками помещений.

С другой стороны, появление очередного исключения наводит на грустные мысли о целостности и применимости норм института согласия субъектов на обработку их персональных данных. В тексте поправки четко оговаривается условие отсутствия необходимости в получении согласия: обработка персональных данных происходит в связи с нормами Жилищного кодекса Российской Федерации либо в связи положениями соответствующего договора. Но вышеприведенное условие фактически дублирует содержание пунктов 1 и 2 части 2 статьи 6 ФЗ-152. Таким образом, законодатель спускается от уровня регулирования типовых ситуаций (например, обработка персональных данных в связи с исполнением положений договора) до уровня регулирования конкретных ситуаций (договорных отношений в сфере ЖКУ). Кроме того, происходит девальвация значения и ценности других норм института согласия субъектов на обработку их персональных данных (в частности, пунктов 1 и 2 части 2 статьи 6 ФЗ-152).

Проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5

Проектом федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5 предлагается привести в соответствие законодательство Российской Федерации c вступающими в силу 1 июля 2011 года нормами пункта 2 статьи 7 Федерального закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». В соответствии с указанной нормой, органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги, не вправе требовать от заявителя предоставления документов и информации, которые находятся в распоряжении государственных органов, органов местного самоуправления.

Пунктом 2 статьи 1 вышеуказанного законопроекта уточняется порядок и условия обработки персональных данных заявителей и иных лиц в связи с предоставлением государственных или муниципальных услуг. В частности, предлагается закрепить в ст. 7 Федерального закона «Об организации предоставления государственных и муниципальных услуг» норму, согласно которой: «Для обработки государственными органами, органами местного самоуправления и организациями, участвующими в предоставлении предусмотренных частью 1 статьи 1 настоящего Федерального закона государственных и муниципальных услуг, персональных данных, имеющихся в распоряжении таких органов и организаций, для предоставления таких персональных данных в орган (организацию) предоставляющий государственную или муниципальную услугу по запросу заявителя, не требуется получение согласия субъекта персональных данных, по запросу которого осуществляется обработка, в соответствии с требованиями пункта 1 части 2 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Запрос заявителя в орган (организацию) о предоставлении государственной или муниципальной услуги приравнивается к согласию такого заявителя с обработкой его персональных данных в целях предоставления органом (организацией) соответствующей государственной или муниципальной услуги.

В случае, когда для предоставления государственной или муниципальной услуги необходимо предоставление документов и информации об иных лицах, не являющихся заявителем, то при обращении за получением государственной или муниципальной услуги заявитель дополнительно представляет документы, подтверждающие его полномочия действовать от имени указанных лиц (их законных представителей), и выражающие согласие указанных лиц (их законных представителей) на обработку персональных данных таких лиц.»

В связи со сложной геополитической обстановкой в мире, Россия предпринимает определенные меры по защите личной жизни своих граждан. На законодательном уровне, это выражается внесением изменений в закон о защите персональных данных. В данном тексте вы узнаете суть происходящих изменений в законодательстве о персональных данных, а также об ответственности, которая наступает в связи с нарушением этого законодательства.

С развитием Всемирной сети Интернет у государства появились новые заботы – как обезопасить миллионы людей от несанкционированного использования их личных данных в мошеннических, либо других незаконных целях. Ежедневно в Сети совершается множество операций, предусматривающих, что человек даст доступ к определенному набору собственных данных и абсолютное большинство людей, не имеет ни малейшего понятия об элементарных правилах безопасности поведения в Интернете. Поэтому, государство старается возложить обязанности по защите персональных данных на организации, которые используют эти самые данные.

Как именно происходит их защита, кто должен принимать меры по ограничению доступа к персональным данным, что принесут изменения в закон о персональных данных от 01.09.2015 года и какая ответственность за нарушение этого закона? Все это вы узнаете в данной статье.

Краткий обзор закона №152-ФЗ

Основным законом, регулирующим обработку персональных данных различными субъектами, является от 27.07.2006 года №152-ФЗ (далее – закон 152-ФЗ).

Под его сферу попадают субъекты, которые осуществляют действия по обработке персональных данных с применением средств автоматизации (учитывая информационно-телекоммуникационные сети), либо без использования таких средств, при условии, что подобные действия позволяют совершать поиск или предоставлять доступ к персональным данным в базах, размещенных на материальном носителе или находящихся в картотеках, либо других систематизированных собраниях данных.

Не попадают под сферу регулирования закона 152-ФЗ следующие действия:

• Обработка чужих персональных данных физическими лицами для собственных нужд (личных и семейных), при условии, что такая обработка не нарушает права владельца персональных данных;
• Действия по организации архивов, которые попадают в сферу регуляции законодательства об архивном деле в РФ;
• Обработка персональных данных, которые содержат сведения, отнесенные в соответствии с действующим законодательством РФ, к государственной тайне;
• Персональные данные, относящиеся к деятельности судов, предоставленные в порядке, закрепленном соответствующими законодательными актами.

В п. 1 ст. 3 закона 152-ФЗ закреплено понятие «персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъекты, которые совершают действия по обработке персональных данных, называются «операторы». Расшифровка этого понятия закреплена в п. 2 ст. 3 закона 152-ФЗ: «оператор» - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

П.3 ст.3 закона 152-ФЗ раскрывает понятие «обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Учитывая вышесказанное, можно подытожить, что действие закона 152-ФЗ распространяется, кроме прочего, на всех предпринимателей и организации, которые в процессе своей деятельности берут у клиентов данные, относящиеся к персональным, и осуществляют их обработку.

Вступающие в силу с 01.09.2016 года изменения в закон 152-ФЗ, будут вносить серьезные коррективы в деятельность бизнес структур и организаций, которые расширили свой бизнес в сеть Интернет и при помощи собственных сайтов собирают определенные персональные данные.

Закон о персональных данных: изменения

От 21.07.2015 года (далее – закон 242-ФЗ), с момента его принятия в середине 2014 года, в народе он получил название «закон о переносе серверов». Все, кто попадет под определение «оператор» и собирают персональные данные посредством своих сайтов, то есть предлагают совершать какие-либо рассылки, получить фирменную карту, скидки в обмен на имя, фамилию, e-mail, телефон, адрес проживания (для отправки фирменной корреспонденции) граждан РФ и так далее, с момента вступления изменений в силу обязаны будут хранить эти сведения в базах данных, которые находятся на территории России.

В противном случае, Роскомнадзор, по результатам проверки, может внести Интернет-ресурс, который не соответствует законодательным требованиям, в так называемый «черный» список, а его владельца привлечь к ответственности, в том числе к административной и уголовной.

Остается совсем мало времени до вступления изменений в силу и такие гиганты как eBay и Google уже вплотную занялись коррективами собственной деятельности под действующее российское законодательство, а Lenovo и Samsung уже завершили все действия по переносу баз данных.

В данной ситуации, у всех операторов, попадающих под действие этих изменений, еще есть немного времени, что бы совершить перенос баз данных, так как в законе №242-ФЗ нет видимых лазеек для его обхода.

Так как нет ясной картины целей, которые преследует государство, внося данные изменения, скорее всего к концу года будет понятно, зачем так срочно понадобилось переместить все персональные данные о гражданах России на «отечественные» сервера. Также, почти без сомнений, нас ждет обширная судебная практика, касающаяся данного вопроса.

Ответственность за нарушение закона о персональных данных

Исходя из норм ст. 24 закона 152-ФЗ, лица, нарушившие требования данного закона, несут ответственность предусмотренную законодательством РФ.

Административная ответственность установлена статьями 13.11, 13.14 и 19.7 КоАП РФ.

Уголовная ответственность устанавливается при наличии в составе преступления, признаков нарушения неприкосновенности частной жизни. В таком случае применяется статья 137 УК РФ.

Учитывая объемы и состав действий, нарушающих нормы закона 152-ФЗ, могут быть применены и иные статьи КоАП РФ и УК РФ.

Об обновлении закона в 2019 году

Летом 2017 года Госдума РФ рассмотрела и одобрила новую версию закона о персональных данных, который получил новое название: Федеральный закон от 29.07.2017 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья».

Алексей Кондратов
Сооснователь и руководитель юридического отдела сервиса сайт, специалист в области защиты персоальных данных, юридического сопровождения стартапов и судебной защиты бизнеса.

Образование: юридический факультет Поморского государственного университета. Ранее работал на позиции CEO в компании «Иски Онлайн».

С 1 июля 2017 года вступили в силу изменения в российском Кодексе Административных правонарушений. Увеличились размеры взысканий за нарушения по закону №152-ФЗ «О защите персональных данных», изменились некоторые формулировки. Новые правила заставили многих владельцев сайтов забеспокоиться о том, насколько их ресурсы соответствуют нормам закона. Пробуем разобраться.

Начнем с небольшой вводной информации. 152-ФЗ – первый в России современный закон о персональных данных. Он начал разрабатываться в 2000 году и вступил в силу 27 июля 2006 года. Основным положением закона стало обязательное согласие человека на обработку информации о нем в любых целях. Во время разработки 152-ФЗ были введены два новых термина, которыми закон оперирует до сих пор – субъект персональных данных и оператор персональных данных. Легко догадаться, что субъект – человек, личность которого можно установить, используя определенную информацию. Оператором же может стать как физическое, так и юридическое лицо, которое имеет доступ к личным данным субъекта. Последнее определение крайне важно для нас, поэтому остановимся на нем подробнее.

Кто по закону 152-ФЗ считается оператором персональных данных?

Органы государственной власти и муниципального управления, суды, образовательные и медицинские учреждения, работодатели, любые компании и организации, предоставляющие персональные услуги: банки, юридические фирмы, операторы мобильной связи, строительные компании, интернет-ресурсы – всё это операторы персональных данных, поскольку они в разной мере имеют доступ к личной информации людей.

Какие персональные данные пользователей могут быть на вашем сайте?

Чаще всего под персональными данными (ПДн) понимаются:

• фамилия,
• возраст,
• место рождения,
• фото,
• адрес проживания,
• номер телефона.

Также к персональным данным относятся сведения:

• о семейном положении,
• религиозных, философских и политических взглядах,
• интимной жизни,
• состоянии здоровья.

Обезличенные персональные данные и автоматически собираемая информация:

• e-mail,
• IP-адрес,
• геолокация,
• файлы cookie.

Какие есть формы сбора персональных данных на сайте?

• Форма регистрации.
• Форма заказа.
• Форма обратной связи.
• Кнопка «Заказать обратный звонок».
• Форма подписки на e-mail рассылку.

Размеры штрафов после изменений 1 июля 2017 года

Номер статьи	Возможные нарушения	Размер штрафа
ч.1 ст.13.11 КоАП	Запрос сканов документов у посетителей сайта. SMS- и e-mail рассылка без согласия клиента. Любая дезинформация пользователей относительно цели ввода данных в форму на сайте.	Для физ. лиц - до 3 т.р. Для юр. лиц - до 50 т.р.
ст.13.11 КоАП	Обработка, сбор и хранение любых ПДн, в том числе IP-адресов и cookie, без электронной подписи пользователей. Отсутствие на сайте документов «Политика конфиденциальности» и «Пользовательское соглашение». Несоответствие документов требованиям закона, которое может возникнуть из-за ошибок при составлении. Отсутствие дисклеймера при первом посещении сайта пользователем.	Для физ. лиц - до 5 т.р. Для юр. лиц - до 75 т.р.
ч. 3 ст.13.11 КоАП	Отсутствие свободного доступа к Политике конфиденциальности для каждого посетителя сайта.	Для физ. лиц - до 1.5 т.р. Для ИП - до 10 т.р. Для юр. лиц - до 30 т.р.
ч. 4 ст.13.11 КоАП	Отказ, игнорирование или ложь в ответ на требование пользователя предоставить полную информацию о том, как хранят и обрабатывают его персональные данные.	Для физ. лиц - до 2 т.р. Для ИП - до 15 т.р. Для юр. лиц - до 40 т.р.
ч. 5 ст.13.11 КоАП	Отказ удалить ПДн из публичного доступа по желанию пользователя. Другие действия, нарушающие право субъекта отозвать согласие на обработку ПДн.	Для физ. лиц - до 2 т.р. Для ИП - до 20 т.р. Для юр. лиц - до 45 т.р.
ч. 6 ст.13.11 КоАП	Хакерская атака, взлом базы данных третьими лицами, распространение ПДн пользователей.	Для физ. лиц - до 2 т.р. Для ИП - до 20 т.р. Для юр. лиц - до 50 т.р.

При совершении уголовного преступления к штрафу прибавляются дополнительные меры взыскания, в том числе блокировка ресурса и арест нарушителя.

Как это работает?

Чтобы выявить нарушения, Роскомнадзор проводит плановые, внеплановые (по заявлениям граждан) и документарные (с запросом документов) проверки сайтов. Например, в ходе проверки в 2016 году «Тамбовскую городскую юридическую компанию» оштрафовали за размещение формы обратной связи без сопроводительных документов, а зимой 2017 года за подобные нарушения были оштрафованы несколько астраханских сайтов.

Как избежать штрафа и блокировки сайта: 5 шагов

1. Перенесите базы данных на российские сервера. Это требование закона N149-ФЗ «Об информации, информационных технологиях и о защите информации». Нарушение закона может привести к блокировке ресурса – так, например, прекратила свою деятельность на территории России деловая социальная сеть LinkedIn.
2. Составьте два документа – «Политику обработки персональных данных» и «Пользовательское соглашение». Обратите внимание, что публичная оферта заменяет документ о политике конфиденциальности. Крайне важно, чтобы документы не содержали в себе фактических и юридических ошибок. Лучше всего доверить эту работу профессиональному юристу. В 9 статье закона указано, что виртуальный документ равнозначен документу на бумажном носителе, поэтому никаких физических документов не потребуется.
3. Подключите форму с согласием на обработку ПДн и обязательным чекбоксом ко всем полям сбора персональных данных на сайте.
4. Убедитесь, что страница с «Политикой обработки персональных данных» доступна для прочтения каждому пользователю сайта.
5. Отправьте бумажное и электронное уведомление в Роскомнадзор по установленной форме – ее можно найти на сайте Роскомнадзора. В соответствии со 22 статьей закона этот пункт является обязательным.

Если вы сомневаетесь в своей юридической компетенции или просто не хотите тратить много времени на формальности, есть более простое и практичное решение проблемы – сервис . Это простое, дешевое и быстрое решение для Вашего сайта и бизнеса.

Среди наших предложений, Вы, наверняка, сможете подобрать удобное Вам. Если Вы не хотите затягивать с решением проблемы, то можете уже сейчас. Возникающие юридические вопросы можно задать по телефону нашей службы поддержки 8 800 100 43 45 или ниже в форме комментариев.