Закон о персональных данных консультант. Защита персональных данных. В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных

Процесс анализа и обработки данных персонального характера играет важнейшую роль в любом цивилизованном государстве. В Российской Федерации данная процедура регламентируется законодательно - в 152-ФЗ "О персональных данных". Именно этот нормативный акт будет разобран в статье.

Основные термины

В законе № 152-ФЗ "О персональных данных" применяется ряд терминов. Первое и самое важное понятие - это, конечно же, «персональные данные». Согласно 152-ФЗ, это информация, которая косвенно или прямо относится к определенному физическому лицу. Обрабатыванием персональных данных занимается оператор - муниципальный или государственный орган, а иногда просто физическое лицо. Сам процесс обработки данных заключается в совершении совокупности операций, целью которых является сбор, систематизация, анализ и хранение персональной информации о каждом гражданине России.

Персональные данные могут быть переданы определенному кругу лиц, а порой и вовсе подлежать уничтожению или обезличиванию.

Общие положения ФЗ

Для чего создан № 152-ФЗ "О персональных данных"? В статье 2 говорится про цель закона. Это обеспечение защиты свобод и прав человека при обработке его персональных данных.

Что может регулировать представленный закон? Согласно статье 1, это любые отношения, связанные с процедурами обработки данных граждан России. Данный процесс осуществляется федеральными государственными инстанциями и властными органами субъектов РФ. Органы проводят систематизацию информации о пользователях, задают специальные алгоритмы поиска и фиксируют информацию о носителях данных. Но какие отношения не должны регулировать органы, занимающиеся персональной обработкой информации о гражданах?

Вот на что указывает закон:

  • Организация процессов хранения, учета и систематизации документации Архивного российского фонда и прочих инстанций, связанных с архивной работой.
  • Обработка персональных данных физическими лицами для семейных или бытовых нужд, если при этом происходит нарушение прав прочих субъектов персональной информации.

На каких принципах выстраивается и функционирует процесс обработки информации о гражданах? Об этом рассказано в статье 5.

О принципах и условиях обработки данных

На каких принципах базируется процедура обработки персональной информации о гражданах России? Статья 5 № 152-ФЗ "О персональных данных" гласит о законности и справедливой основе, об ограничении конкретными и законными целями. Так, недопустимой считается обработка данных, несовместимая с целями закона. То же самое касается процесса обработки, имеющего противоположные цели и задачи.

Содержание обрабатываемой информации должно строго соответствовать заявленным целям, которые согласованы с законом. Должна быть обеспечена точность и полнота персональной информации. Оператор обязан качественно исполнять свои трудовые функции. Хранение данных допускается только в той форме, что позволила бы точно и быстро определять субъекта системы персональной информации.

Ст. 6 № 152-ФЗ "О персональных данных" закрепляет ряд условий обработки персональной информации. Так, допускается процесс обработки лишь в следующих случаях:

  • Обработка и анализ производятся с письменного согласия субъекта персональных данных (статья 9 № 152-ФЗ "О персональных данных").
  • Осуществляется для достижения определенных целей, заявленных в законе.
  • Обработка необходима для защиты здоровья и жизни граждан.

Еще одним принципом осуществления обработки информации остается наличие специальных категорий, о которых будет рассказано далее.

О категориях персональных данных

В статье 10 рассматриваемого нормативного акта приведены основные категории данных, подлежащих обработке. Пункт 1 статьи говорит про политические, религиозные или философские убеждения, про состояние здоровья, национальную и расовую принадлежность. Все это выделяется в систему особых категорий, сбор которых не допускается на постоянной основе.

Существует лишь небольшой перечень случаев, когда обработка представленных видов информации допустима. Сюда следует отнести:

  • случаи, когда сам субъект обработки дал свое письменное согласие на предоставление информации особой категории;
  • когда особые персональные данные субъектов уже общедоступны;
  • когда это необходимо для защиты жизни, здоровья и интересов субъекта;
  • когда обработка подобного рода информации осуществляется в целях медицинского или профилактического характера;
  • в иных случаях, установленных Федеральным законом.

Сам субъект персональной информации обладает рядом прав.

О правах субъекта

Какими правами, согласно главе 3 рассматриваемого нормативного акта, обладают субъекты персональных данных? В статье 14 говорится о правах граждан на доступ к их персональной информации. Каким образом это возможно осуществить? Закон гласит о праве требовать от операторов уточнения тех или иных данных. Статья 15 закрепляет нормы, согласно которым существует возможность использовать свои персональные данные для продвижения и рекламирования определенных услуг, товаров, продукции и т. д. Политическая агитация также пополняет этот ряд.

В статье 16 говорится о праве субъектов не допускать автоматическую обработку информации, а в статье 17 - о возможности обжаловать действия оператора. К слову, именно оператор является основным звеном во всей процедуре обработки данных. Это должностное лицо обладает рядом обязанностей, о которых будет рассказано далее.

Обязанности операторов

18 ст. 152-ФЗ "О персональных данных" (с изменениями от 01.07.2017) закрепляет основные функции операторов в области сбора персональной информации. Оператор должен предоставлять субъекту информации следующие данные:

  • цель обработки данных;
  • правовая основа обработки;
  • наименование оператора и его адрес;
  • источники приобретения информации.

Оператор обязан принимать ряд мер по обеспечению безопасности персональной информации, по устранению нарушений закона, уточнению, блокировке и ликвидации персональной информации в отдельных установленных законом случаях. Таким образом, № 152-ФЗ "О персональных данных" от 27.07.2006 является наиболее исчерпывающим источником в области сбора информации о российских гражданах.

Обеспечение безопасности обработки информации

Отдельно стоит рассказать про обязанности операторов в области обеспечения безопасности персональной информации.

Вот что закрепляет статья 19 № 152-ФЗ "О персональных данных":

  • нарушение закона или любые иные угрозы безопасности данных должны быстро и качественно определяться и пресекаться операторами;
  • операторы должны применять ряд организационно-технических средств по обеспечению безопасности данных;
  • операторы обязаны оценивать и анализировать применяемые процедуры по обеспечению безопасности;
  • учет машин, являющихся носителями информации, а также качественный контроль над ними входят в обязанности работников по обработке данных;
  • обязанность по восстановлению доступа к персональным данным, которые обрабатываются в информационной системе.

Не менее важен и контроль со стороны государства, о котором будет рассказано далее.

О государственном контроле обработки данных

Информация персонального характера должна охраняться и анализироваться отдельными государственными органами Российской Федерации. Что именно здесь стоит выделить? В статье 19 Федерального закона № 152-ФЗ "О персональных данных" (с комментариями от 2017 года) говорится про обязанности российского Правительства.

В частности, здесь стоит отметить:

  • установление требований к защите данных персонального характера;
  • закрепление специальных уровней защищенности персональной информации, которые зависят от степени угроз;
  • установление требований к носителям информации.

В статье 23 говорится про уполномоченный орган, коим является Правительство РФ. Здесь закрепляются основные права органа:

  • запрос информации у юридических и физических лиц для осуществления своих полномочий;
  • требование от оператора отдельных видов документации;
  • осуществление проверок в отношении сведений, которые содержатся в специальных информационных базах.

В статье 24 устанавливается норма, в соответствии с которой нарушители рассматриваемого закона будут подвержены ответственности.

Алексей Анашкин
Ведущий специалист
ООО "Комплексная защита информации"

27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в "Перечне сведений конфиденциального характера", утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные ), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152 , персональные данные -

любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация .

Таким образом, персональные данные – это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу - это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

С чего начать защиту, и нужна ли она вообще?

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ФЗ-152 ).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ-152 ).

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ-152 ).

Обработка персональных данных - это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ-152 ).

Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Что же необходимо сделать, чтобы защитить персональные данные?

Прежде всего, необходимо определить какие информационные системы ПДн есть и какого типа ПДн в них обрабатываются.

Классификация информационной системы персональных данных

Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г .

Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:

  • категория обрабатываемых персональных данных;
  • объем обрабатываемых персональных данных;
  • тип информационной системы;
  • структура информационной системы и местоположение ее технических средств;
  • режимы обработки персональных данных;
  • режимы разграничения прав доступа пользователей;
  • наличие подключений к сетям общего пользования и(или) сетям международного информационного обмена.

Согласно приказу № 55/86/20 , все информационные системы (ИС) делятся на типовые и специальные.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:

  • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

Как уже было сказано, классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, о которых поговорим чуть позже.

Согласие субъекта ПДн на обработку

Далее необходимо перейти к обработке этих данных, но перед тем как их обработка будет законной, необходимо получить согласие субъекта персональных данных на обработку (закон тем самым предотвращает незаконный сбор и использование персональных данных):

Статья 6 ФЗ-152:

Обработка персональных данных может осуществляться оператором с согласия субъектов ПДн, за исключением случаев:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Итак, если наш случай обработки ПДн предусмотрен частью 2 статьи 6 ФЗ-152, то получение согласия необязательно.

Также необходимо руководствоваться Трудовым Кодексом, Глава 14 . Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК ).

В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме . Письменное согласие субъекта персональных данных должно включать:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Положение, регламентирующее порядок обработки и защиты ПДн

Итак, оператор получил (если это необходимо) согласие на обработку персональных данных - персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных . Положение по обеспечению безопасности персональных данных - это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152 , а, следовательно, в нем должно быть указано:

Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением… под подпись.

Список лиц, допущенных к обработке ПДн

Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн , т.е. перечень тех (по должностям), кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) – и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

Уведомление Роскомнадзора

Далее в соответствии со статьей 22 ФЗ-152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (на сегодняшний день это - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152 :

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных

Требования к уведомлению указаны в части 3 статьи 22 ФЗ-152 . Форму уведомления об обработке (о намерении осуществлять обработку) персональных данных можно заполнить в электронном виде на сайте Роскомнадзора: http://pd.rsoc.ru/operators-registry/notification/form/

Теперь можно приступать к обработке персональных данных, параллельно решая самый сложный и проблемный вопрос - обеспечение безопасности персональных данных при их обработке .

Обеспечение безопасности персональных данных при их обработке

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

  • получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;
  • привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;
  • отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;
  • устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

Что-то можно сделать самим, а где-то лучше довериться специалистам. Но защитить персональные данные необходимо, так или иначе.

Статья 19, ФЗ-152:

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

  • «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ № 781 от 17 ноября 2007 г.
  • «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено постановлением Правительства РФ № 687 от 15 сентября 2008 г.
  • «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утверждены постановлением Правительства РФ № 512 от 6 июля 2008 г.
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30 августа 2002 г. (ДСП)
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Выписка, при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа - ДСП)
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 16 ноября 2009 г.)
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ, 21 февраля 2008 г.
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ, 21 февраля 2008 г.

Мы не будем подробно рассматривать все требования, которые необходимо выполнить для обеспечения безопасности ПДн при их обработке в ИСПДн, - их много, и они сильно зависят от конкретной ИСПДн. Остановимся на основных моментах, часто вызывающих затруднения у операторов.

Лицензия – получать или не получать?

Законодательство, а также документы ФСТЭК говорят нам следующее:

Статья 16, часть 6 ФЗ-149 "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г.:

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Статья 17, часть 1, п.11 ФЗ-128 "О лицензировании отдельных видов деятельности" от 8 августа 2001 г.:

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации.

Постановление Правительства РФ № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" от 15 августа 2006 г.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и(или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Основные мероприятия… ФСТЭК
Пункт 3.14

В соответствии с положениями Федерального закона № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Так же на вопрос о необходимости лицензии отвечал начальник отдела Управления ФСТЭК России НАЗАРОВ Игорь Григорьевич на круглом столе, проведенном журналом "Connect! Мир связи" (http://www.connect.ru/article.asp?id=9406):

Вопрос: Нужно ли операторам, обрабатывающим персональные данные в ИСПДн, получение лицензии на техническую защиту конфиденциальной информации?

Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы. При этом для поликлиник, детских садов, аптек и т.п., имеющих ИСПДн 3 и 4 классов, получение таких лицензий не требуется.

В соответствии с постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с уполномоченным лицом - лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.

Итак, для небольших организаций более экономически-выгодным вместо получения лицензии ФСТЭК по ТЗКИ для проведения мероприятий по обеспечению безопасности ПДн (создание системы защиты ИСПДн, аттестация) будет привлечение лицензиата ФСТЭК, который проведет все необходимые работы.

Для крупных организаций (таких как операторы связи, крупные банки и т.п.) - выгоднее самим получить лицензию и выполнить все необходимые работы.

Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации » (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии:

а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Этапы создания СЗПДн

Согласно Основным мероприятиям по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, выпущенными ФСТЭК, создание системы защиты персональных данных (СЗПДн) состоит из следующих этапов:

1. Предпроектная стадия

1.1 обследование объекта информатизации:

  • установление необходимости обработки ПДн в ИСПДн;
  • определение перечня ПДн, подлежащих защите;
  • определение условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
  • определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов; физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения;
  • определение технических средств и систем, используемых в защищаемой ИСПДн, условий их расположения;
  • определение общесистемных, специальных и прикладных программных средств, используемых в защищаемой ИСПДн;
  • определение режима обработки информации в ИСПДн в целом и в отдельных компонентах;
  • проведение классификации ИСПДн;
  • определение степени участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой;
  • определение и составление перечня уязвимостей и угроз безопасности информации, оценка актуальности угроз безопасности информации;
  • разработка частной модели угроз.

1.2 разработка технического задания на создание СЗПДн, которое должно содержать:

  • обоснование необходимости разработки СЗПДн;
  • исходные данные ИСПДн в техническом, программном, информационном и организационном аспектах;
  • класс ИСПДн;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • конкретизацию мероприятий и требований к СЗПДн;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

2. Стадия проектирования и реализации СЗПДн

2.1 разработка проекта на создание СЗПДн;

2.2 разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

2.3 закупка сертифицированных средств защиты информации;

2.4 разработка и реализация разрешительной системы доступа пользователей и персонала к обрабатываемой в ИСПДн информации;

2.5 установка и настройка СрЗИ;

2.6 определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите ПДн;

2.7 разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (положений, приказов, инструкций и других документов);

2.8 выполнение других мероприятий, направленных на защиту информации.

3. Стадия ввода в действие СЗПДн

3.1 опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

3.2 приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта;

3.3 оценка соответствия ИСПДн требованиям безопасности информации – аттестация (декларирование) по требованиям безопасности информации.

4. Техническое обслуживание и сопровождение системы защиты информации

Организационно-распорядительная документация по защите ПДн

Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн. Таких документов достаточно много, основные из них:

1. Положение по обеспечению безопасности ПДн – в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим – в нем должно быть указано:

  • цель и задачи в области защиты персональных данных;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор и хранение персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в пределах фирмы имеет к ним доступ;
  • принципы защиты ПДн, в том числе от несанкционированного доступа;
  • права работника в целях обеспечения защиты своих персональных данных;
  • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

2. Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, - Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн – чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем.

3. Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) – разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

  • угрозы утечки информации по техническим каналам;
  • угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
  • угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и(или) сетей международного информационного обмена.

Разработанная модель угроз утверждается руководителем.

4. На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн . Требования, как и модель угроз, - это самостоятельный документ, который должен быть утвержден руководителем организации.

Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

5. Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.

Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами ).

Что обязательно сертифицировать, а что нет?

Часто возникает заблуждение, что все используемое программное обеспечение (ПО), должно быть сертифицировано, а сертификация стоит дорого и занимает много времени.

Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО . Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.

Игорь Назаров: …сертификация по контролю отсутствия НДВ касается функционала безопасности , именно средств защиты, а не всего программного обеспечения, которое используется в информационной системе (http://www.connect.ru/article.asp?id=9406).

Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее:

В ИСПДн должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты.

Основные мероприятия…

Пункт 4.2 : …в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения.

Пункт 4.3 : Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное программное обеспечение), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ.

Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно – это можно делать по желанию оператора.

Практика создания систем защиты ПДн показывает, что необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу). Если в ИСПДн устанавливаются криптографические средства защиты информации (СКЗИ) , то они также должны быть сертифицированы по требованиям ФСБ России.

Следует отметить, что устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ – лицензиат ФСБ.

Аттестация

Финальным этапом создания системы защиты ИСПДн должна стать аттестация (декларирование соответствия) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - Аттестата соответствия (Заключения) подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия.

Вопрос: Кто может аттестовать рабочие места на соответствие требованиям законодательства и нормативных документов в области персональных данных?

Игорь Назаров: Аттестацию ИСПДн на соответствие требованиям по безопасности информации имеют право проводить лицензиаты ФСТЭК, которые имеют лицензию на деятельность по технической защите конфиденциальной информации (http://www.connect.ru/article.asp?id=9406).

Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн.

В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы:

  • анализ исходных данных по аттестуемой ИСПДн;
  • проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов;
  • проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;
  • анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.

Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.

Ответственность и риски за неисполнение требований закона

При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и(или) ее руководителя к административной или иным видам ответственности, а при определенных условиях – к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152 ):

  • Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);
  • Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
  • Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

И что в итоге?…

Многие сейчас говорят о том, что сегодняшнее законодательство и нормативно-методические документы имеют много неточностей и в чем-то даже перегибов.

Многие уповают на то, что в декабре 2009 года было принято решение о продлении сроков по исполнению требований ФЗ-152 до января 2011г.

Но независимо от этого необходимость защиты ПДн остаётся.

А поэтому не стоит откладывать решение этой проблемы в долгий ящик и уже сейчас нужно принимать необходимые меры по обеспечению безопасности персональных данных.

Закон N 152-ФЗ "О персональных данных" создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными в законе признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Государственной Думой

Советом Федерации

(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,

от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ,

от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ,

от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ,

от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ)

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

(часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

(п. 5 введен Федеральным законом от 28.06.2010 N 123-ФЗ)

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

(часть 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

По поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица - 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные - это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте - можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, - это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения - это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников - это уже нарушение.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор . Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды» , правила продажи, официальное уведомление, как у «М-видео» , политика конфиденциальности, как у «Рестора» , «Адидаса» или «Озона» . Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк .

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные - нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

В законе про персональные данные много непонятного. Мы разобрались и ответили на

В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Основание Размер штрафа
Физлица Должностные лица Юрлица ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб. 		предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. предупреждение или штраф — от 4000 до
10 000 руб. 		предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до
10 000 руб. 		от 25 000 до 50 000 руб. от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.