Сегодня мы вам рады дать пояснения по Закону о защите персональных данных ФЗ-152-ФЗ.

Закон о защите персональных данных призван обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных (ПД), в том числе защиты прав на неприкосновенность частной жизни, личную и семейные тайны.

Какие важные даты в связи с законом?

1. Дата вступления ФЗ в силу — 23 января 2007 года. После вступления закона в силу обработка ПД осуществляется в соответствие с законом

2. Операторы ПД обязаны направить уведомление об обработке ПД не позднее 1 января 2008 года.

3. ИС ПД, созданные до вступления в силу ФЗ, должны быть приведены в соответствие с требованиями ФЗ до 1 января 2010 года.

Термины, встречающиеся в законе:

Субъекты ПД — физические лица.

Персональные Данные (ПД) — данные о физическом лице (ФИО и т.д и т.п.)

Информационные Системы ПД — совокупность ПД в базе данных, а также информационные технологии и технические средства, которые позволяют обрабатывать ПД с применением средств автоматизации или без оных.

Оператор ПД — любая организация, юридическое или физическое лицо, которое осуществляет или организует обработку ПД, определяющее цели и содержание обработки ПД

Регуляторы деятельности по защите ПД — Роскомнадзор, ФСТЭК, ФСБ

Кто может быть субъектом ПД?

- Штатные сотрудники организации

- Внештатные сотрудники и сотрудники, осуществляющие трудовую деятельность по контракту (столовая, уборщицы и т.п.)

- Клиенты — физические лица (действующие и потенциальные)

- Представители клиентов-юрлиц (действующих и потенциальных)

- Представители субподрядчиков, контрагентов

- Прочие (Члены семей сотрудников и т.п. ...)

Какие существуют категории персональных данных?

К4 - обезличенные и (или) общедоступные ПД, доступ к которым предоставлен неограниченному числу лиц с согласия субъекта ПД или на которые в соответствии с законами РФ не распространяется требования конфиденциальности.

К3 - информация, позволяющая идентифицировать субъекта ПД.

К2 - данные, позволяющие не только идентифицировать субъекта, но и получить о нем дополнительную информацию.

К1 - данные, в которых отражены расовая, национальная принадлежность, политическиевзгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь.

Что является обработкой ПД?

- Сбор

- Систематизация

- Накопление

- Хранение

- Уточнение (обновление, изменения)

- Использование

- Распространение и передача

- Обезличивание

- Блокирование

- Уничтожение

Какие существуют требования к обработке?

1. Обработка персональных данных возможна только с согласия субъекта персональных данных, за исключением:

1.1. Обработка данных в целях исполнения договора с субъектом ПД (т.е. сам договор является согласием)

1.2.статистическая обработка – только в обезличенной форме

1.3.для защиты жизни и здоровья

2.Не допускается обработка ПД специальных категорий:

2.1.Расовая и национальная принадлежность

2.2.Политические взгляды

2.3.Религиозные и философские убеждения

2.4.Состояние здоровья

2.5.Интимная жизнь.

Исключение:

a)Согласие субъекта в письменной форме

b)Общедоступные ПД

c)Защита жизни и здоровья при невозможности получить согласие

d)Медицинские услуги

e)Обработка соответствующих ПД в политических или религиозных объединениях

f)Правосудие, оперативно-розыскная деятельность

3.Обработка данных для продвижения товаров и услуг путем прямых контактов с потенциальным потребителем (прямой маркетинг) - по согласию субъекта (потребителя)

4.Оператор обязан немедленно прекратить обработку ПД по требованию субъекта

5.Операторами и третьими лицами, получающими доступ к ПД, должна обеспечиваться конфиденциальность ПД, за исключением:

5.1.Обезличенность ПД

5.2.Использование общедоступных ПД (справочники, базы)

Что входит в понятие «согласие субъекта ПД»?

Субъект ПД дает согласие на обработку ПД в письменной форме с указанием следующей информации:

1. ФИО и паспортные данные

2. Наименование и адрес оператора ПД

3. Цель обработки ПД

4. Перечень ПД, на обработку которых дает согласие субъект

5. Перечень действий с ПД и способов обработки ПД оператором

6. Срок действия согласия и порядок его отзыва

Какие описаны права субъекта ПД?

Осуществлять запросы на получение базовой информации(*):

1. на предоставлении сведений об операторе ПД

2. на предоставлении сведений о местонахождении оператора ПД

3. на предоставлении сведений о наличии у оператора ПД, относящихся к субъекту

4. на ознакомление со своими ПД

Осуществлять запросы на получение расширенной информации (**):

1.подтверждение факта обработки ПД и цель обработки

2.информацию о способах обработки ПД

3.сведения о лицах, которые имеют доступ и которым доступ может быть предоставлен

4 перечень данных и источник их получения

5.сроки обработки ПД и сроки хранения

6.сведения о юридических последствиях обработки ПД для субъекта

Запрос делается в письменном виде и содержит информацию о паспорте субъекта и его подпись, существует возможность использования ЭЦП.

Субъект ПД имеет право на обжалование действий или бездействия оператора ПД в органах по защите прав субъектов ПД и в суде, с возможностью возмещение убытков и компенсацию морального вреда

Какие описаны обязанности оператора ПД?

В отношении субъектов ПД:

1.По запросу субъекта ПД предоставить ему базовую информацию (*), дать возможность ознакомиться с ней при обращении либо в течение 10 рабочих дней после получения запроса

2.При сборе ПД предоставить субъекту (по его просьбе) расширенную информацию (**)

3.При получении ПД не от субъекта, а от третьих лиц, до начала обработки ПД предоставить субъекту информацию:

3.1.Наименование и адрес оператора и его представителя

3.2.Цель обработки ПД и ее правовое основание

3.3.Предполагаемые пользователи ПД

3.4.Права субъекта ПД

4.При отказе — предоставить мотивацию на основе закона в течение 7 рабочих дней с момента обращения или получения запроса

5.Безвозмездно предоставлять субъекту доступ к ПД, а также внесение изменений в ПД, уничтожение и блокировку ПД. О внесенных изменениях оператор ПД обязан уведомить субъекта и третьих лиц, которым были переданы ПД.

В отношении ПД:

1.Обеспечивать организационные и технические меры по защите ПД от доступа, уничтожения, изменения, копирования, распространения и т.п.

2.При выявлении недостоверности ПД или неправомерных действий — блокировать ПД с момента получения запроса на период проверки

2.1.если недостоверны — обязан уточнить на основании документов субъекта ПД и снять блокирование

2.2.если неправомерные действия — устранить в 3-дневный срок. Если невозможно — уничтожить ПД. Об устранении или уничтожении — уведомить

3.В случае достижения цели обработки ПД, а также отзыва ПД субъектом — прекратить обработку и уничтожить ПД в 3-дневный срок и уведомить субъекта ПД

В отношении регулятора:

1.До начала обработки ПД — уведомить уполномоченный орган о намерении обработки ПД, за исключением:

1.1.Трудовые отношения с субъектами ПД (работники).

1.2.ПД, полученные в связи с заключением договора, если стороной является субъект, ПД не распространяются третьим лицам без согласия субъекта, используются оператором исключительно для исполнения договора

1.3.Члены общественных или религиозных объединений в этих объединениях.

1.4.Общедоступные ПД.

1.5.Если обрабатываются только ФИО.

1.6.Для однократного пропуска субъекта ПД на территорию оператора и аналогичных случаях.

1.7.Данные из федеральных АИС, государственных ИС.

1.8.Обрабатываемые без использования средств автоматизации при соблюдении нормативов о безопасности ПД и соблюдения прав субъектов ПД.

Уведомление регуляторов об обработке ПД

Осуществляется в письменной форме за подписью уполномоченного лица или в электронной форме с ЭЦП

Состав уведомления:

1.Наименование и адрес оператора

2.Цель обработки ПД

3.Категории ПД

4. Категории субъектов ПД

5.Правовое обоснование обработки ПД

6.Перечень действий с ПД, общее описание способов обработки

7.описание мер по защите ПД

8.дата начала обработки ПД

9.срок или условия прекращения обработки ПД

Сведения вносятся в реестр операторов ПД (http://pd.rsoc.ru/), сведения являются общедоступными, за исключение информации об используемых средствах обеспечения безопасности ПД.

Какова предполагается ответственность оператора ПД?

–КоАП Статья 5.39 – отказ в предоставлении гражданину информации- ответственность - штраф до 1 000 руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности)

–КоАП Статья 13.11 – нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах – ответственность - штраф до 1 000 руб

–КоАП Статья 13.12 –– нарушение правил защиты данных – ответственность – штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток

–УК Статья 137 – нарушение неприкосновенности частной жизни – может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев

–УК Статья 140 – отказ в предоставлении гражданину информации - ответственность - штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью

–УК Статья 171 – незаконное предпринимательство – ответственность – до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.

Регуляторы и нормативные документы:

1.Роскомнадзор является основным исполнительным и надзорным органом по защите прав субъектов ПД.

2.ФСБ решает вопросы защиты информации с использованием средств шифрования (криптографии)

3.ФСТЭК России осуществляет контроль защиты информации с применением технических средств. Одна из его компетенций: подтверждение отсутствия в средствах защиты информации недекларируемых ("шпионских") возможностей.

Права Роскомнадзора:

1.проводить проверку сведений, содержащихся в уведомлении, поданном оператором;

2.привлекать для такой проверки другие государственные органы (ФСБ, ФСТЭК);

3.принимать меры по приостановлению или прекращению обработки ПД, осуществляемой с нарушением требований закона;

4.обращаться в суд с исковыми заявлениями в защиту прав субъектов ПД и представлять их интересы в суде;

5.направлять заявления в орган, осуществляющий лицензирование деятельностиоператора, для рассмотрения вопроса о принятии мер по приостановлению действия еголицензии;

6.направлять в правоохранительные органы материалы для решения вопроса овозбуждении уголовных дел в связи с нарушением прав субъектов ПД;

7.привлекать к административной ответственности лиц, виновных в нарушении закона.

Информационные системы ПД

Каждая ИС должна быть отнесена к определенному классу. На необходимость отнесения к определенному классу влияют различные факторы: категория данных, распределенность информационной системы, количество записей ПД в ней, количество данных обрабатываемых за один раз, и т.д. Уровень защищенности ИС должен соответствовать критичности данных, поэтому для различных классов вводятся разные требования по степени защиты. Чем менее детальную информацию можно получить субъекте ПД, чем меньше записей в системе и чем менее она распределена – тем ниже требования к защитным механизмам. С практической точки зрения, чем система ПД относится к более "низшему" классу, тем ниже затраты на обеспечение защиты персональных данных

Документы и лицензии:

Организации, эксплуатирующие ИС определенных классов, должны получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Технические средства, которые будут использоваться для защиты ПД, должны быть сертифицировать в ФСТЭК.

Методики ФСТЭК должны быть положены в основу «модели угроз» для каждой информационной системы, обрабатывающей ПД. Этот документ предстоит разработать каждому оператору.

Организации, эксплуатирующие информационные системы ПД определенных классов и передающие ПД через общедоступные и международные сети, должны обеспечить их защиту с использованием криптографических средств. А деятельность по внедрению шифровальных(криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ.

Какие существуют регламентирующие документы:

Открытые документы:

руководящие документы ФСБ, ряд открытых актов по ПД, а также документы Роскомнадзора, регулирующие порядок регистрации оператора персональных данных можно найти по ссылке http://www.rsoc.ru/main/directions/874/916.shtml.

Закрытые документы:

"Основные мероприятия по организации и техническому обеспечению безопасности ПД,обрабатываемых в ИС ПД (информационной системе персональных данных)";

"Рекомендации по обеспечению безопасности ПД при их обработке в ИС ПД";

"Базовая модель угроз безопасности ПД при их обработке в ИС ПД";

"Методика определения актуальных угроз безопасности персональных данных при их обработке в ИС ПД".

Для получения закрытых документов все операторы, осуществляющие обработку ПД, могут обратиться по адресу: 105175, г. Москва, ул. Старая Басманная, 17

Выводы:

1. Каждая организация является оператором персональных данных, в минимальном варианте - по своим сотрудникам.

2. В определенных случаях по роду деятельности компания может не уведомлять Регулятора о намерении обрабатывать ПД (например, если в компании нет розничных клиентов — физических лиц, и т..), тем не менее, она обязана обрабатывать и защищать ПД в соответствии с законом, и выполнять все требования закона в отношении субъектов ПД

3. Законом предусматривается серьезная ответственность для юридических лиц и их руководителей

4. Времени осталось совсем мало, отсидеться не удастся.

Источники :

1.152-ФЗ

2. http://safe.cnews.ru/reviews/index.shtml?2009/05/15/347317_3

3. http://www.ippnou.ru/article.php?idarticle=003195

Удачи и процветания вам лично и вашему бизнесу.

Ведущая выпуска, Наталья Ильина