Сегодня мы вам рады дать пояснения по Закону о защите персональных данных ФЗ-152-ФЗ.
Закон о защите персональных данных призван обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных (ПД), в том числе защиты прав на неприкосновенность частной жизни, личную и семейные тайны.
Какие важные даты в связи с законом?
1. Дата вступления ФЗ в силу — 23 января 2007 года. После вступления закона в силу обработка ПД осуществляется в соответствие с законом
2. Операторы ПД обязаны направить уведомление об обработке ПД не позднее 1 января 2008 года.
3. ИС ПД, созданные до вступления в силу ФЗ, должны быть приведены в соответствие с требованиями ФЗ до 1 января 2010 года.
Термины, встречающиеся в законе:
Субъекты ПД — физические лица.
Персональные Данные (ПД) — данные о физическом лице (ФИО и т.д и т.п.)
Информационные Системы ПД — совокупность ПД в базе данных, а также информационные технологии и технические средства, которые позволяют обрабатывать ПД с применением средств автоматизации или без оных.
Оператор ПД — любая организация, юридическое или физическое лицо, которое осуществляет или организует обработку ПД, определяющее цели и содержание обработки ПД
Регуляторы деятельности по защите ПД — Роскомнадзор, ФСТЭК, ФСБ
Кто может быть субъектом ПД?
- Штатные сотрудники организации
- Внештатные сотрудники и сотрудники, осуществляющие трудовую деятельность по контракту (столовая, уборщицы и т.п.)
- Клиенты — физические лица (действующие и потенциальные)
- Представители клиентов-юрлиц (действующих и потенциальных)
- Представители субподрядчиков, контрагентов
- Прочие (Члены семей сотрудников и т.п. ...)
Какие существуют категории персональных данных?
К4 - обезличенные и (или) общедоступные ПД, доступ к которым предоставлен неограниченному числу лиц с согласия субъекта ПД или на которые в соответствии с законами РФ не распространяется требования конфиденциальности.
К3 - информация, позволяющая идентифицировать субъекта ПД.
К2 - данные, позволяющие не только идентифицировать субъекта, но и получить о нем дополнительную информацию.
К1 - данные, в которых отражены расовая, национальная принадлежность, политическиевзгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь.
Что является обработкой ПД?
- Сбор
- Систематизация
- Накопление
- Хранение
- Уточнение (обновление, изменения)
- Использование
- Распространение и передача
- Обезличивание
- Блокирование
- Уничтожение
Какие существуют требования к обработке?
1. Обработка персональных данных возможна только с согласия субъекта персональных данных, за исключением:
1.1. Обработка данных в целях исполнения договора с субъектом ПД (т.е. сам договор является согласием)
1.2.статистическая обработка – только в обезличенной форме
1.3.для защиты жизни и здоровья
2.Не допускается обработка ПД специальных категорий:
2.1.Расовая и национальная принадлежность
2.2.Политические взгляды
2.3.Религиозные и философские убеждения
2.4.Состояние здоровья
2.5.Интимная жизнь.
Исключение:
a)Согласие субъекта в письменной форме
b)Общедоступные ПД
c)Защита жизни и здоровья при невозможности получить согласие
d)Медицинские услуги
e)Обработка соответствующих ПД в политических или религиозных объединениях
f)Правосудие, оперативно-розыскная деятельность
3.Обработка данных для продвижения товаров и услуг путем прямых контактов с потенциальным потребителем (прямой маркетинг) - по согласию субъекта (потребителя)
4.Оператор обязан немедленно прекратить обработку ПД по требованию субъекта
5.Операторами и третьими лицами, получающими доступ к ПД, должна обеспечиваться конфиденциальность ПД, за исключением:
5.1.Обезличенность ПД
5.2.Использование общедоступных ПД (справочники, базы)
Что входит в понятие «согласие субъекта ПД»?
Субъект ПД дает согласие на обработку ПД в письменной форме с указанием следующей информации:
1. ФИО и паспортные данные
2. Наименование и адрес оператора ПД
3. Цель обработки ПД
4. Перечень ПД, на обработку которых дает согласие субъект
5. Перечень действий с ПД и способов обработки ПД оператором
6. Срок действия согласия и порядок его отзыва
Какие описаны права субъекта ПД?
Осуществлять запросы на получение базовой информации(*):
1. на предоставлении сведений об операторе ПД
2. на предоставлении сведений о местонахождении оператора ПД
3. на предоставлении сведений о наличии у оператора ПД, относящихся к субъекту
4. на ознакомление со своими ПД
Осуществлять запросы на получение расширенной информации (**):
1.подтверждение факта обработки ПД и цель обработки
2.информацию о способах обработки ПД
3.сведения о лицах, которые имеют доступ и которым доступ может быть предоставлен
4 перечень данных и источник их получения
5.сроки обработки ПД и сроки хранения
6.сведения о юридических последствиях обработки ПД для субъекта
Запрос делается в письменном виде и содержит информацию о паспорте субъекта и его подпись, существует возможность использования ЭЦП.
Субъект ПД имеет право на обжалование действий или бездействия оператора ПД в органах по защите прав субъектов ПД и в суде, с возможностью возмещение убытков и компенсацию морального вреда
Какие описаны обязанности оператора ПД?
В отношении субъектов ПД:
1.По запросу субъекта ПД предоставить ему базовую информацию (*), дать возможность ознакомиться с ней при обращении либо в течение 10 рабочих дней после получения запроса
2.При сборе ПД предоставить субъекту (по его просьбе) расширенную информацию (**)
3.При получении ПД не от субъекта, а от третьих лиц, до начала обработки ПД предоставить субъекту информацию:
3.1.Наименование и адрес оператора и его представителя
3.2.Цель обработки ПД и ее правовое основание
3.3.Предполагаемые пользователи ПД
3.4.Права субъекта ПД
4.При отказе — предоставить мотивацию на основе закона в течение 7 рабочих дней с момента обращения или получения запроса
5.Безвозмездно предоставлять субъекту доступ к ПД, а также внесение изменений в ПД, уничтожение и блокировку ПД. О внесенных изменениях оператор ПД обязан уведомить субъекта и третьих лиц, которым были переданы ПД.
В отношении ПД:
1.Обеспечивать организационные и технические меры по защите ПД от доступа, уничтожения, изменения, копирования, распространения и т.п.
2.При выявлении недостоверности ПД или неправомерных действий — блокировать ПД с момента получения запроса на период проверки
2.1.если недостоверны — обязан уточнить на основании документов субъекта ПД и снять блокирование
2.2.если неправомерные действия — устранить в 3-дневный срок. Если невозможно — уничтожить ПД. Об устранении или уничтожении — уведомить
3.В случае достижения цели обработки ПД, а также отзыва ПД субъектом — прекратить обработку и уничтожить ПД в 3-дневный срок и уведомить субъекта ПД
В отношении регулятора:
1.До начала обработки ПД — уведомить уполномоченный орган о намерении обработки ПД, за исключением:
1.1.Трудовые отношения с субъектами ПД (работники).
1.2.ПД, полученные в связи с заключением договора, если стороной является субъект, ПД не распространяются третьим лицам без согласия субъекта, используются оператором исключительно для исполнения договора
1.3.Члены общественных или религиозных объединений в этих объединениях.
1.4.Общедоступные ПД.
1.5.Если обрабатываются только ФИО.
1.6.Для однократного пропуска субъекта ПД на территорию оператора и аналогичных случаях.
1.7.Данные из федеральных АИС, государственных ИС.
1.8.Обрабатываемые без использования средств автоматизации при соблюдении нормативов о безопасности ПД и соблюдения прав субъектов ПД.
Уведомление регуляторов об обработке ПД
Осуществляется в письменной форме за подписью уполномоченного лица или в электронной форме с ЭЦП
Состав уведомления:
1.Наименование и адрес оператора
2.Цель обработки ПД
3.Категории ПД
4. Категории субъектов ПД
5.Правовое обоснование обработки ПД
6.Перечень действий с ПД, общее описание способов обработки
7.описание мер по защите ПД
8.дата начала обработки ПД
9.срок или условия прекращения обработки ПД
Сведения вносятся в реестр операторов ПД (http://pd.rsoc.ru/), сведения являются общедоступными, за исключение информации об используемых средствах обеспечения безопасности ПД.
Какова предполагается ответственность оператора ПД?
–КоАП Статья 5.39 – отказ в предоставлении гражданину информации- ответственность - штраф до 1 000 руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности)
–КоАП Статья 13.11 – нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах – ответственность - штраф до 1 000 руб
–КоАП Статья 13.12 –– нарушение правил защиты данных – ответственность – штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток
–УК Статья 137 – нарушение неприкосновенности частной жизни – может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев
–УК Статья 140 – отказ в предоставлении гражданину информации - ответственность - штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью
–УК Статья 171 – незаконное предпринимательство – ответственность – до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.
Регуляторы и нормативные документы:
1.Роскомнадзор является основным исполнительным и надзорным органом по защите прав субъектов ПД.
2.ФСБ решает вопросы защиты информации с использованием средств шифрования (криптографии)
3.ФСТЭК России осуществляет контроль защиты информации с применением технических средств. Одна из его компетенций: подтверждение отсутствия в средствах защиты информации недекларируемых ("шпионских") возможностей.
Права Роскомнадзора:
1.проводить проверку сведений, содержащихся в уведомлении, поданном оператором;
2.привлекать для такой проверки другие государственные органы (ФСБ, ФСТЭК);
3.принимать меры по приостановлению или прекращению обработки ПД, осуществляемой с нарушением требований закона;
4.обращаться в суд с исковыми заявлениями в защиту прав субъектов ПД и представлять их интересы в суде;
5.направлять заявления в орган, осуществляющий лицензирование деятельностиоператора, для рассмотрения вопроса о принятии мер по приостановлению действия еголицензии;
6.направлять в правоохранительные органы материалы для решения вопроса овозбуждении уголовных дел в связи с нарушением прав субъектов ПД;
7.привлекать к административной ответственности лиц, виновных в нарушении закона.
Информационные системы ПД
Каждая ИС должна быть отнесена к определенному классу. На необходимость отнесения к определенному классу влияют различные факторы: категория данных, распределенность информационной системы, количество записей ПД в ней, количество данных обрабатываемых за один раз, и т.д. Уровень защищенности ИС должен соответствовать критичности данных, поэтому для различных классов вводятся разные требования по степени защиты. Чем менее детальную информацию можно получить субъекте ПД, чем меньше записей в системе и чем менее она распределена – тем ниже требования к защитным механизмам. С практической точки зрения, чем система ПД относится к более "низшему" классу, тем ниже затраты на обеспечение защиты персональных данных
Документы и лицензии:
Организации, эксплуатирующие ИС определенных классов, должны получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Технические средства, которые будут использоваться для защиты ПД, должны быть сертифицировать в ФСТЭК.
Методики ФСТЭК должны быть положены в основу «модели угроз» для каждой информационной системы, обрабатывающей ПД. Этот документ предстоит разработать каждому оператору.
Организации, эксплуатирующие информационные системы ПД определенных классов и передающие ПД через общедоступные и международные сети, должны обеспечить их защиту с использованием криптографических средств. А деятельность по внедрению шифровальных(криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ.
Какие существуют регламентирующие документы:
Открытые документы:
руководящие документы ФСБ, ряд открытых актов по ПД, а также документы Роскомнадзора, регулирующие порядок регистрации оператора персональных данных можно найти по ссылке http://www.rsoc.ru/main/directions/874/916.shtml.
Закрытые документы:
"Основные мероприятия по организации и техническому обеспечению безопасности ПД,обрабатываемых в ИС ПД (информационной системе персональных данных)";
"Рекомендации по обеспечению безопасности ПД при их обработке в ИС ПД";
"Базовая модель угроз безопасности ПД при их обработке в ИС ПД";
"Методика определения актуальных угроз безопасности персональных данных при их обработке в ИС ПД".
Для получения закрытых документов все операторы, осуществляющие обработку ПД, могут обратиться по адресу: 105175, г. Москва, ул. Старая Басманная, 17
Выводы:
1. Каждая организация является оператором персональных данных, в минимальном варианте - по своим сотрудникам.
2. В определенных случаях по роду деятельности компания может не уведомлять Регулятора о намерении обрабатывать ПД (например, если в компании нет розничных клиентов — физических лиц, и т..), тем не менее, она обязана обрабатывать и защищать ПД в соответствии с законом, и выполнять все требования закона в отношении субъектов ПД
3. Законом предусматривается серьезная ответственность для юридических лиц и их руководителей
4. Времени осталось совсем мало, отсидеться не удастся.
Источники :
1.152-ФЗ
2. http://safe.cnews.ru/reviews/index.shtml?2009/05/15/347317_3
3. http://www.ippnou.ru/article.php?idarticle=003195
Удачи и процветания вам лично и вашему бизнесу.
Ведущая выпуска, Наталья Ильина
- Главная
- →
- Выпуски
- →
- Бизнес и карьера
- →
- Закон
- →
- Закон о защите персональных данных
Закон
Группы по теме:
Популярные группы
- Рукоделие
- Мир искусства, творчества и красоты
- Учимся работать в компьютерных программах
- Учимся дома делать все сами
- Методы привлечения денег и удачи и реализации желаний
- Здоровье без врачей и лекарств
- 1000 идей со всего мира
- Полезные сервисы и программы для начинающих пользователей
- Хобби
- Подарки, сувениры, антиквариат