О защите персональных данных по 152 фз – Закон о персональных данных — с 1 января 2018 с комментариями, последняя редакция, что является, нарушение банком, основные положения

xn--152-1dd8d.xn--p1ai

Каковы требования к защите персональных данных по 152-ФЗ?

Требования к защите персональных данных представляют собой перечень законодательно определенных характеристик, которым должна соответствовать система обеспечения безопасности информации о сотрудниках, хранящейся на предприятии. Из статьи далее вы узнаете, какие сведения могут быть отнесены к персональным данным и какие требования предъявляются законодателем к обеспечению их защиты от несанкционированного доступа. 

Персональные данные — понятие и сущность

Конфиденциальность персональных данных

Технические требования к обработке персональных данных по 152 ФЗ

Требования закона к 4-му и 3-му уровням защиты персональных данных на предприятии

Требования закона ко 2-му и 1-му уровням защиты

Читайте нас в Яндекс.Дзен

Персональные данные — понятие и сущность

Понятие «персональные данные» установлено п. 1 ст. 3 федерального закона «О персональных данных» № 152 от 27.07.2006, в соответствии с которым таковыми признается любая относящаяся к физическому лицу информация, на основании которой это лицо может быть определено. Таким образом, к персональным данным (далее — ПД) могут быть отнесены:

• Ф. И. О.;
• дата и место рождения;
• адрес регистрации и проживания;
• семейное и материальное положение;
• образование;
• место работы;
• размер дохода;
• профессия и пр.

Такие данные хранятся в любой организации, выступающей в качестве работодателя, т. к. еще на стадии трудоустройства каждый работник представляет пакет документации, содержащей сведения, позволяющие его идентифицировать. Работодатель в этом случае получает статус оператора ПД, под которым, в соответствии с п. 2 ст. 3 ФЗ № 152, понимается юридическое лицо, которое организует и осуществляет обработку таких данных, определяет цели такой обработки, состав обрабатываемых данных и перечень осуществляемых над ними операций.

Конфиденциальность персональных данных

Согласно положениям ст. 7 ФЗ № 152, работодатель обязан обеспечить защиту конфиденциальности используемых им ПД работника. За невыполнение требований законодателя оператор ПД может быть привлечен к административной и даже уголовной ответственности, а деятельность организации — приостановлена на основании требования Роскомнадзора.

Для обеспечения безопасности ст. 19 ФЗ № 152 вменяет оператору ПД обязанность по внедрению в практическую деятельность определенных организационных и технических мероприятий, позволяющих защитить используемые ПД от неправомерного доступа к ним третьих лиц, несанкционированного копирования, распространения, уничтожения, изменения и иных подобных действий.

К организационным мероприятиям, в частности, могут быть отнесены:

• формирование упорядоченных систем хранения ПД;
• разработка внутренней нормативной документации, определяющий порядок сбора, обработки и хранения ПД;
• обучение персонала, в обязанности которого входит работа с ПД.

В качестве технических мероприятий могут выступать:

• использование программных средств защиты информации;
• применение антивирусных программ и межсетевых экранов;
• создание VPN-каналов для передачи ПД за пределы созданной на предприятии системы защиты информации, и пр.

Технические требования к обработке персональных данных по 152 ФЗ

В тексте ФЗ № 152 не содержится прямых указаний на то, какие именно методики должен использовать оператор для технического обеспечения безопасности используемых данных. Однако ч. 3 указанной статьи содержит ссылку на принимаемые Правительством РФ постановления, устанавливающие требования к обработке персональных данных.

В частности, ч. 4 постановления Правительства РФ «Требования к материальным носителям…» от 06.07.2008 № 512 установлено, что материальные носители, используемые оператором для хранения ПД, должны обеспечивать:

1. Защиту от несанкционированного внесения третьими лицами исправлений и дополнений в информацию после ее извлечения из информационной системы ПД.
2. Обеспечение лицам, обладающим соответствующими полномочиями, доступа к хранящимся на носителе данным.
3. Возможность идентификации информационной системы, в которую были внесены ПД, и оператора, которым они были внесены.
4. Невозможность несанкционированного доступа к хранящимся на носителе ПД.

Срок использования оператором ПД материального носителя, в соответствии с п. 6 постановления № 512, не должен превышать указанного производителем максимального срока эксплуатации.

Примечание: действие указанных требований не распространяется на бумажные носители, хранящие ПД работников.

Требования закона к 4-му и 3-му уровням защиты персональных данных на предприятии

Помимо ссылки на постановление Правительства РФ № 512 ч. 3 ст. 19 ФЗ № 152 содержит ссылку на постановление Правительства «Об утверждении требований…» № 1119 от 01.11.2012. Установленные данным актом требования (далее — Требования) определяют общие вопросы, касающиеся защиты данных, обрабатываемых оператором ПД.

Согласно п. 4 Требований, оператор ПД может самостоятельно определить перечень программных продуктов, применяемых для защиты ПД, но при этом ему стоит руководствоваться нормативными актами, принимаемыми ФСБ РФ и ФСТЭК РФ. Уровень защиты информации, который должен обеспечить оператор, зависит от того, какие угрозы актуальны для конкретной системы хранения информации, внедренной на предприятии. Виды угроз определены п. 6 Требований, п. 8 устанавливает условия, при наличии которых оператор ПД обязан обеспечить определенный уровень защиты (от 4-го до 1-го).

Так, для обеспечения 4-го уровня защиты необходимо (п. 13):

1. Ограничить круг лиц, имеющих доступ к помещениям, в которых хранятся ПД, а также предотвратить возможность несанкционированного доступа к таким хранилищам.
2. Обеспечить сохранность носителей, содержащих ПД.
3. Определить круг сотрудников, имеющих доступ к ПД.
4. Использовать средства, обеспечивающие защиту ПД, характеристики которых соответствуют законодательно установленным требованиям.

Для обеспечения 3-го уровня защиты оператору необходимо выполнить перечисленные выше требования, а также назначить сотрудника, на которого будут возложены обязанности по обеспечению безопасности размещенных в информационной системе данных (п. 14).

Требования закона ко 2-му и 1-му уровням защиты

Ко 2-му и 1-му уровням защиты законодатель предъявляет более жесткие требования, чем к 4-му и 3-му. Для обеспечения 2-го уровня безопасности оператору необходимо выполнить требования, установленные для 3-го уровня, а также ограничить доступ к сведениям, хранящимся в электронном журнале сообщений, со стороны лиц, не имеющих полномочий по их использованию в ходе осуществления своей трудовой деятельности (п. 15).

Для обеспечения 1-го уровня защиты оператор ПД обязан выполнять требования, предъявляемые к системе безопасности 2-го уровня, а также (п. 16):

1. Автоматически фиксировать в электронном журнале безопасности сведения об изменениях объема полномочий сотрудников, обладающих доступом к хранящимся в информационной системе персональным данным.
2. Создать на предприятии подразделение, функционал которого включает обеспечение безопасности ПД, хранящихся в информационной системе, или возложить указанные обязанности на иное подразделение предприятия.

Итак, работодатель обязан обеспечивать сохранность конфиденциальности информации, получаемой им от работников и имеющей статус персональных данных. Законодатель устанавливает перечень определенных требований, которым должна отвечать система обеспечения безопасности обрабатываемых и хранимых организацией сведений. В зависимости от того, какие угрозы вероятны для используемой информации, устанавливаются различные уровни ее защиты. Чем выше уровень защиты, тем более жесткие требования к ее реализации предъявляет законодатель.

nsovetnik.ru

152 ФЗ о защите персональных данных: последние изменения, комментарии

Федеральный Закон 152 «О персональных данных» регулирует всю деятельность, связанную с обработкой персональных данных. Он призван защищать права и свободу любого гражданина Российской Федерации, защитить семейные тайны, личную и частную жизнь каждого человека.

Общие положения

Закон о персональных данных 152 регулирует все правоотношения и условия обработки личной информации любым органом, физическим или юридическим лицом. Краткое содержание закона в том, что любые органы или лица могут автоматизировать сбор и обработку персональных данных, вносить их в материальные носители или картотеки и имеют право на доступ к ним.

Использовать этот закон можно не только внутри правовых органов, но и в информационно-телекоммуникационных сетях и организациях. Принят он был 8 июля 2006 года Государственной Думой и 14 июля того же года одобрен Советом Федераций. Состоит из шести глав и 25 статей. Последние изменения в него были внесены первого июля 2017 года.

Структура закона:

• В первой главе объясняется суть закона, его цель, основные термины и понятия, на какую сферу влияет и распространяется;
• Во второй главе объясняется принцип работы с персональными данными в соответствии с законом. Какие условия должны соблюдаться, конфиденциальность данных пользователей, их согласие на обработку данных, специальные категории и т. д.;
• В третьей главе описываются права, которыми обладают субъекты, чьи данные собираются и используются;
• В четвертой главе описываются обязанности лиц, занимающихся сбором, анализом, использованием данных. Такие лица называются операторами;
• В пятой главе говорится об ответственности операторов и каким образом государство контролирует выполнение обязательств и служение закону;
• В шестой главе оформлены все дополнительные и заключительные положения.

С каждым изменением в законе растут требования по отношению к организациям, собирающим личную информацию граждан и к операторам.

Особенности использования персональных данных по ФЗ 152

Главное условие использования персональных данных по ФЗ 152 — сбор, обработка и использование должны быть на законных и справедливых основаниях.

Органы, которые могут использовать 152 федеральный закон:

• Федеральный орган государственной власти;
• Муниципальные органы;
• Органы государственной власти субъектов Российской Федерации;
• Органы местного самоуправления;
• Иные государственные органы.

Использование данных лицами разрешено в случаях:

• Предварительно определены законные и действительные цели для использования;
• Личная информация актуальна, полна и ее достаточно для выполнения поставленной цели. При недостаточном количестве информации для выполнения задач оператор дополняет их, при избыточном количестве информации, оператор ее удаляет;
• Если информация обрабатывается и используется в поставленные для этого сроки. Храниться данные должны в форме, позволяющей в любой момент определить субъекта. По достижению цели оператор обезличивает данные или удаляет всю информацию.

Описываемый закон принят Государственной Думой и использование личной информации для органов, организаций и определенных физических лиц разрешено Правительством Российской Федерации.

Какие были внесены поправки?

Начиная с 2009 года было внесено множество поправок в закон о персональных данных.

В статье номер 3 по последней поправке перечислены термины и определения этих терминов, статья называется «Основные понятия, используемые в настоящем Федеральном законе». В тексте объясняется что такое персональные данные, трансграничная передача персональных данных, кто такой оператор, что такое информационная система персональных данных, как происходит обработка и что это, обезличивание, автоматизация, распространение, уничтожение, предоставление и блокирование персональных данных.

В статье номер 5 последние поправки были произведены 25 июля 2011 года при помощи закона 261 ФЗ Согласно новой редакции 5 статьи, использование и обработка личной информации справедлива и законна. Все цели и задачи, по которым происходит сбор и обработка информации, законны и определены предварительно. В последней редакции 5 статьи определены условия хранения такого вида информации и способы обновления и удаления ее оператором.

В статье номер 7 по последним поправкам определена суть конфиденциальности персональных данных. Оператор не имеет права распространять ее третьим лицам без согласия на то субъекта.

Поправки произошли и в статье номер 9. Новая редакция этой статьи определяет согласие субъекта на распространение и обработку персональных данных. Дееспособный субъект может согласиться на условия оператора в любой доступной ему форме, в собственных интересах и по свободной воле. Субъект имеет право отозвать согласие.

Письменное согласие субъекта на предоставление персональных данных выглядит следующим образом:

• ФИО, адрес, идентификационный номер паспорта, информация о документе (дата и место) и т. д.;
• Информация из доверенности при наличии представителя субъекта;
• ФИО, адрес и должность оператора, получающего документ;
• Цель, для чего нужны данные субъекта;
• Перечень персональной информации субъекта, которая будет использована оператором;
• Список действий оператора, которые он произведет по согласию субъекта;
• Срок использования и способы отзыва документа;
• Подпись субъекта и оператора с расшифровками.

Поправки были внесены и в статью номер 19. В тексте этой редакции говорится о мерах безопасности, которые используются для защиты прав и свободы субъектов. Оператор обязан использовать все имеющиеся меры по безопасности и защите персональных данных от неправомерного или случайного доступа к ним третьих лиц. Происходит применение технических мер, контроль, установление порядка, установление правил, учет, восстановление и обнаружение фактов взлома и т. д. Требования к защите устанавливаются Правительством Российской Федерации. Каждая организация или орган принимают определенный устав или правовые нормы, положения которых обязуют сотрудников принимать определенные меры для безопасности личной информации субъектов и конфиденциальности.

Скачать последнюю редакцию ФЗ 152

Последняя редакция Федерального Закона номер 152 «О персональных данных» была произведена 29 июля 2017 года. Закон 152 ФЗ о защите персональных данных в последней редакции потерпел изменения в статьях 1, 2, 3 и 6.

Чтобы защититься от проникновения в личное пространство, защитить собственную свободу и права, субъект, чья личная информация используется, может изучить 152 Федеральный Закон.

Поправки и редакции Федерального Закона номер 152 «О персональных данных» можно скачать по ссылке.

Комментарии к ФЗ о защите персональных данных

Комментарии к закону 152 ФЗ о персональных данных предоставлены Атамановым Г. А. Комментарии постатейные, анализируется каждый пункт статей закона. В рамках комментариев, автор предлагает к вниманию советы, законы и статьи других стран и организаций.

В комментарии к 5 статье 2 главы автор анализирует принципы справедливости использования личной информации гражданина РФ. Он говорит об обобщенности фраз закона, дает советы по использованию.

Скачать комментарии можно по ссылке.

Если у Вас есть вопросы, проконсультируйтесь у юриста

lawlinks.ru

Федеральный закон РФ от 27 июля 2006 года «О персональных данных». ФЗ № 152: комментарии, изменения

Что представляет собой федеральный закон «О персональных данных» (ФЗ №152)? Какие основные требования и положения содержатся в этом проекте? На все эти вопросы будут даны ответы в статье.

Общие положения

Какие цели преследует рассматриваемый законопроект? Первое и самое основное — это регулирование отношений, связанных с обработкой информации. Речь идет о средствах автоматизации, информационных и телекоммуникационных сетях, материальных носителях и картотеках. Закон не регулирует защиту данных в конкретной бытовой сфере, семейной или личной. Важнейшим направлением работы представленного законопроекта является защита свобод и прав граждан путем качественного обрабатывания их персональных данных. Нужно это для качественного обеспечения неприкосновенности частной, семейной и личной жизни.

Закон «О персональных данных» направлен на защиту прав граждан. А что подразумевается под персональными данными? Если вкратце, то это абсолютно любая информация, косвенно или напрямую относящаяся к тому или иному лицу. Процесс обработки этих данных представляет собой ряд операций, направленных на хранение, блокирование, удаление или систематизацию информации.

Принципы

Закон «О персональных данных» (ФЗ №152) содержит в себе ряд основных принципов, на которых и держится весь процесс обработки информации. Что это за принципы? Здесь можно выделить следующее:

• Все действия должны осуществляться на справедливой и законной основе. Существование рассматриваемого законопроекта подтверждает этот принцип.
• Должна быть установлена конкретная, четкая цель. Любое отхождение от этой цели недопустимо (целью является защита прав граждан).
• Должна быть обеспечена точность, достаточность и актуальность заданных целей. Должно быть установлено содержание (его содержит закон о персональных данных).
• Хранение всех необходимых данных должно осуществляться в соответствии со всеми сроками, требованиями и целями.

Таким образом, рассматриваемый нормативный акт содержит в себе все необходимые принципы, на основе которых может строиться деятельность по защите информации.

Условия

Обработка персональных данных должна осуществляться не только в соответствии с определенными принципами, но и в строгом подчинении определенным условиям. Что это за условия и как они группируются? Вот что стоит выделить:

• Обязательное согласие гражданина на обработку его данных — важнейшее условие, которое содержит в себе закон «О персональных данных» (ФЗ №152).
• Вся обработка данных направлена в первую очередь на достижение определенных целей, регулируемых законами и договорами Российской Федерации.
• Обработка персональных данных направлена на осуществление правосудия или исполнение каких-либо правовых актов.
• Если получение согласия со стороны гражданина невозможно, обработка его данных все же должна производиться в случае, когда жизни или здоровью человека угрожает опасность.

Стоит также отметить, что обработка всех необходимых персональных данных должна осуществляться специальными, уполномоченными на то операторами. Обязанности этих специалистов будут приведены далее.

Категории

Положение о защите персональных данных содержит в себе определенные типы и категории тех элементов информации, которые должны подвергаться обработке. О чем именно идет речь? Если вкратце, то охарактеризовать основные категории можно как расовые, национальные, религиозные или любые иные убеждения, предусмотренные соответствующим законопроектом. Их обработка должны осуществляться только с непосредственного согласия гражданина и в соответствии со всеми нормами, стандартами и правилами.

Раскрыть основные категории персональных данных подробнее, надо сказать, весьма затруднительно. Но, как правило, это конфиденциальная информация о разного рода физических лицах, государственных служащих, военных и т.д. Все то, что гражданин не хотел бы оглашать прилюдно, должно находиться под защитой государства. Это личные паспортные данные, номера свидетельств или прав, мировоззренческие убеждения и прочее.

Права субъектов

Закон «О персональных данных» (ФЗ №152) гласит, что любой гражданин, чьи данные подвергаются обработке, имеет право в любой момент получить всю необходимую информацию как о своих данных, так и об уровне их защиты. Каждый человек может сделать специальный запрос, после чего любой освободившийся оператор должен предоставить все необходимые данные. При этом субъект имеет право:

• на просмотр всех необходимых данных;
• на уничтожение обрабатываемой информации;
• на внесение в информацию определенных изменений.

Для того чтобы получить всю необходимую информацию, субъект должен сделать запрос с предоставлением своего личного номера (удостоверяющего личность). При этом каждый гражданин имеет право делать повторные запросы в необходимые инстанции.

Стоит также отметить, что оператор вправе отказать субъекту в просмотре необходимой информации. Однако отказ этот должен быть мотивирован. Как правило, основными мотивами являются неверно оформленный запрос, неоконченная обработка данных или ограниченное правовое положение самого субъекта.

Обязанности оператора

Кто такие операторы? Речь об этих работниках уже шла выше, однако их основные функции так и не были обозначены. Соответствующее положение о защите персональных данных регламентирует здесь следующее:

• оператор обязан сообщать субъекту свою должность, фамилию и имя, а также адрес;
• работать должен в строгом соответствии с законом, на основе определенных правовых актов;
• обязан сообщать субъекту все необходимые правила пользования персональной информацией;
• обязан качественно обеспечивать запись, хранение, систематизацию, накопление и изменение всех защищаемых и обрабатываемых персональных данных.

Стоит также отметить, что оператор имеет право не предоставлять гражданину персональные сведения, если идет их активная обработка или же если сам субъект не соблюдал все необходимые правила и условия получения персональных данных.

Меры по обеспечению безопасности

Выше были обозначены основные функции и обязанности операторов — работников по обработке персональных данных. Одной из важнейших функций любого оператора остается обеспечение безопасного хранения информации в соответствующих ресурсах. Федеральный Закон РФ от 27 июля 2006 года (№152, ФЗ) регламентирует основные меры и методы, позволяющие обеспечивать качественную безопасность любых персональных данных. Вот что здесь можно выделить:

• эффективное и быстрое выявление угроз безопасности, их скорое устранение;
• четкое применение разного рода технических и организационных мер, позволяющих сохранять безопасность хранения;
• составление оценок для соответствующих процедур, анализ работы хранения и накопления;
• качественное обеспечение машинных носителей, а также разного рода технических элементов;
• быстрое восстановление доступа ко всем персональным данным в случае их утечки или потери.

Помимо того, некоторые изменения в законе касаются и установления определенных уровней защищенности, в соответствии с которыми можно качественно оценивать работу по обработке персональных данных.

Уполномоченный орган

Необходимо, наконец, рассказать об уполномоченном органе, в обязанности которого и входит контроль над персональной обработкой данных тех или иных граждан. Несложно догадаться, что уполномоченной инстанцией является орган исполнительной власти. Именно в его обязанности входит качественный контроль и надзор над эффективной работой по обработке информации. Что вправе делать уполномоченный орган? Вот что регламентирует закон №152 (ФЗ) «О персональных данных»:

• Комментарии исполнительного органа власти в отношение рабочих организаций, осуществляющих обработку информации, воспринимаются как запросы, требования или принятия решений. Таким образом, исполнительный орган вправе осуществлять полный контроль над работами по обработке данных.
• Уполномоченный орган занимается организацией, обеспечением и контролем над системой обработки информации. Он же делает запросы о финансировании рассматриваемой сферы.
• Уполномоченный орган ведет реестр операторов, инициирует введение поправок и изменений в работы по обработке информации. Помимо этого, исполнительная инстанция способна созывать специальный консультативный совет.

Таким образом, влияние уполномоченного органа на ведение работ по обработке данных очень велико.

Ответственность

Закон предусматривает введение ответственности за разного рода нарушения, что могут проявляться по ходу соответствующих работ. Что именно здесь можно выделить?

Как известно, всегда необходимо требовать согласие на обработку тех или иных данных. Если же таковая началась без согласия (за исключением некоторых случаев — согласие на персональные данные не требуется в случае наличия определенных угроз), то операторы и прочие работники соответствующих организаций обязаны нести ответственность в соответствии с законодательством РФ. То же самое касается и тех случаев, когда субъектам из-за проведения работ был нанесен моральный вред.

fb.ru

содержание и комментарии :: SYL.ru

Правовые вопросы, связанные с защитой персональных данных, волнуют юристов, которые ведут свою деятельность в разных сферах закона. Это связано с тем, что в любой области права имеется определенный перечень информации, которая требует обеспечения ее конфиденциальности и нераспространения третьим лицам теми, кому она была вверена в ходе исполнения ими должностных обязанностей.

Итак, рассмотрим далее то, какая информация относится к данной группе, а также особенности системы защиты персональных данных. Как она работает на предприятиях и в организациях? Кроме этого, рассмотрим то, что должно входить в структуру Положения о защите персональных данных работников (образец) и каким образом оно принимается.

Общее понятие

Если говорить об общем понятии, то конфиденциальная информация — это все те сведения, которые имеют непосредственное отношение к определенному физическому лицу. Как правило, это его личные данные. Если изъясняться юридическим термином, то данное лицо в практике специалистов в области права именуется субъектом персональных данных.

Какие данные законодатель относит к категории рассматриваемых? В первую очередь, это фамилия, имя и отчество человека, а также дата и место его рождения. Кроме этого, к группе таковых принадлежат сведения относительно места его проживания по факту, а также прописки. Сведения относительно семейного положения человека, а также его социального статуса, дохода и образования также относятся к группе конфиденциальной информации.

Законодательное регулирование работы с персональными данными в России. Основные нормативные акты

Что касается российского законодательства, то оно обеспечивает надлежащую защиту персональных данных людей, которые являются не только гражданами страны, но еще и пребывают на ее территории по любым обстоятельствам. Законодательство, которое регулирует данные вопросы, представлено несколькими нормативными актами. В частности, к группе таковых можно отнести основной Закон — Конституцию, а также ФЗ 152 «О защите персональных данных». Изменения в эти нормативные акты вносятся не очень часто, что позволяет специалистам более досконально изучить каждую новую поправку и применить ее на практике надлежащим образом.

Кроме российского законодательства, вопросы, связанные с защитой персональных данных, регулируются и международными нормативными актами. Кроме этого, данная деятельность ведется также и на основании нормативных актов, которые издаются органами местных властей, имеющимися в государстве. Законодатель отмечает, что в таких нормативных актах может содержаться регламент относительно обработки данных конкретного типа, но не могут быть предусмотрены правила, касающиеся ограничения определенных прав субъектов, которые являются носителями персональных данных.

Все законы и подзаконные акты, в которых прописаны требования относительно обработки персональных данных, а также обеспечения их защиты, в соответствии с законодательством, должны быть опубликованы официально на ресурсах, доступных для общества. Это правило имеет одно исключение, которое касается документов, регламентирующих работу с секретной информацией — данные сведения должны защищаться от доступа в довольно строгом порядке.

Принципы обработки данных персонального характера

В тексте ФЗ 152 «О защите персональных данных» говорится о том, что работа со сведениями, составляющими личную информацию, должна производиться исключительно в соответствии с определенными принципами. Какие они? Рассмотрим это далее более детально.

В первую очередь, все действия сотрудников органов и служб, которые имеют дело с обработкой личной информации, должны осуществляться с учетом основного принципа — законности. Это означает то, что все сведения, имеющиеся в базе, должны быть добыты законным путем, добросовестно и обработаны надлежащим образом, исключительно в рамках тех целей, для которых они были предоставлены. Кроме этого, должностное лицо, которое занимается обработкой вверенной ему информации, должно использовать те данные, которые позволяют рамки его полномочий.

Все способы обработки сведений, а также их характер, объем должны полностью соответствовать тем целям, для которых была принята в работу информация. В процессе деятельности не могут быть объединены сведения для обработки их в рамках нескольких целей единовременно. Исключением может стать только работа, производимая в информационной системе.

Все личные данные, которые предоставляются в обработку, должны быть достоверными — это также один из основных принципов работы с информацией рассматриваемого характера. Их объем должен быть достаточным для проведения операции в надлежащем виде, законодатель не допускает истребование у лица избыточных сведений, которые не требуются для проведения всех необходимых действий.

Условия, при которых возможна обработка сведений

В Положении о защите персональных данных предусматривается то, что вся работа с информацией, предоставленной на обработку, должна производиться на законных основаниях. Что это означает?

В первую очередь, следует помнить о том, что вся работа с личными данными должна осуществляться исключительно с согласия самого лица, которое является их обладателем. Что касается лица, которое совершает саму процедуру работы, то оно обязательно должно быть уполномоченным на то законом либо отдельным юридическим лицом, в котором производится обработка. В том случае, если лицо, которое принимает информацию, в ходе процесса работы со сведениями должен передать их иному сотруднику учреждения или организации, то в таком случае то самое иное лицо также обязано обеспечивать их сохранность.

В некоторых случаях законодатель предусматривает возможность использования личных данных без согласия на то субъекта, являющегося их непосредственным носителем. В частности, это касается того момента, когда производится использование данных для составления статистических отчетов, а также для достижения научных целей. Также это касается того случая, когда необходимо обеспечить исполнение договорных обязательств, защиту жизни и здоровья одного человека или целого общества. Кроме этого, наличие разрешения субъекта персональной информации не требуется в том случае, когда сведения используются в работе журналистами, в творческой или в научной деятельности. Однако, в Положении о защите персональных данных указывается то, что сведения могут быть применены исключительно профессиональной деятельности и только в том случае, если их раскрытие не принесет ущерб субъекту данной информации.

Обязательным к опубликованию без согласия на то самих носителей подлежат личные данные, которые принадлежат муниципальным служащим, лицам, которые замещают первые государственные должности, кандидатам, участвующим в выборах.

Особые категории персональной информации

Законодатель предусматривает определенный перечень персональной информации, которая представляет собой несколько категорий особого типа. К числу таковых относятся сведения о расовой принадлежности лица, о его философских и личных убеждениях, об интимной жизни, а также о состоянии здоровья. Данные группы сведений особенным образом охраняются законодательством и их разглашение ни в коем случае не допускается, за исключением определенных случаев. Какие они?

В первую очередь, следует обратить внимание на то, что согласие лица на раскрытие личных данных, относящихся к особым категориям, не требуется в том случае, если они уже являются общедоступными. По большей мере, это касается известных личностей, о жизни которых в открытых каждому источниках имеется немалое количество информации, в том числе, и личного характера.

В том случае, если субъект персональной информации особого характера дает свое письменное разрешение на разглашение сведений, они также могут быть раскрыты.

Что касается сведения относительно состояния здоровья человека, то защита персональной информации данной группы производится особым образом. В современной правовой практике имеется такое понятие, как «врачебная тайна». Именно благодаря ему и обеспечивается сохранность сведений медицинского характера, касающихся человека. Лица, которые, в силу своих должностных обязанностей, знают о состоянии здоровья пациента, не имеют права разглашать полученную информацию третьим лицам без письменного согласия на то самого клиента медицинского учреждения. В противном случае, лицо, которое не соблюдает данное правило, подвергается ответственности. Для получения доктором или иным профессиональным сотрудником медицинского или профилактического учреждения личной информации не требуется разрешение субъекта, так как неполучение специалистом информации относительно состояния здоровья человека может угрожать ему смертью или существенным ухудшением общего положения организма.

В современной практике также разрешается обработка информации личного характера, представленной в группе особых сведений, осуществляемая в процессе проведения следственных действий или судебного разбирательства дела по существу.

Персональные данные биометрического характера

В современную эпоху высоких технологий все большую популярность набирает новый вид личной информации — биометрические данные. Они представляют собой особую группу сведений. Обработка и защита персональных данных этого типа также производится на основании Закона РФ «О персональной информации».

В указанном акте говорится о том, что обработка данных биометрического характера, к числу которых относятся все те сведения, которые характеризуют биологические особенности конкретного человека, может быть произведена исключительно на основании письменного согласия, которое должно быть предоставлено субъектом личных данных непосредственно.

Однако, несмотря на такую строгость закона в отношении защиты конфиденциальности биометрических данных человека, и из этого имеется исключение. Оно заключается в отсутствии необходимости предоставления письменного согласия лица на обработку биометрической информации в случае ведения оперативно-розыскных мероприятий, которые могут производиться правоохранительными органами различных категорий, а также сотрудниками пограничных и миграционных служб.

Меры по обеспечению безопасности данных

После того, как личные данные субъектов принимаются в обработку, оператор и лица, которые принимают сведения на рассмотрение, обязаны обеспечивать их безопасность, которая заключается, в первую очередь, в отсутствии возможности попадания их к посторонним лицам. Какие предусматриваются требования к защите персональных данных?

Процедуры, связанные с обеспечением сохранности личных данных лиц, должны производиться с момента приема информации в обработку. Для этого оператор, который осуществляет данную деятельность, должен принимать меры технического и организационного характера, которые позволят обеспечить желаемую цель. Как правило, для этого используются средства шифровального типа (криптографические), которые препятствуют неправомерному и случайному доступу к внесенным сведениям, их копированию, блокированию, видоизменению и иных операций, которые могут быть произведены над данными, внесенными в открытом виде.

В том случае, если данные обрабатываются в рамках информационных систем, также должна обеспечиваться надлежащая безопасность. Определенные требования выдвигаются к материалам, на которых хранятся данные биометрического характера, а также к технологиям, при помощи которых обеспечивается сохранность элементов.

Над теми лицами и службами, деятельность которых связана со сбором, обработкой и хранением личных данных людей, законодатель устанавливает определенный контроль, который обеспечивает надлежащее исполнение ими всех предписанных в Законе №152 «О защите персональных данных» пунктов. В качестве контролирующих лиц и органов, в первую очередь, выступают представители исполнительной власти, призванные обеспечивать безопасность в различных сферах деятельности. Они имеют право производить контроль исключительно в пределах тех полномочий, которые представляются для них Законом, без возможности прямого доступа к конфиденциальной информации.

Любая контрольная и надзорная деятельность уполномоченных на то лиц или органов может быть осуществлена по индивидуальному заявлению лица, сохранность личных данных которых не была обеспечена, в связи с чем произошла их утечка. Контролирующий субъект обязан рассмотреть представленное обращение, после чего произвести проверку, в результате которой должны быть приняты меры относительно дальнейшего обеспечения безопасной сохранности вверенных личных сведений, а также устранения негативных последствий, которые повлекло за собой их разглашение. В том случае, если оператор незаконным путем получил сведения или запросил те данные, которые являются излишними, контролирующий орган обязан потребовать их полное удаление, а также блокирование.

О конфиденциальности персональных данных

Действующий Закон «О защите персональных данных» (ФЗ 152) предусматривает необходимость обеспечения конфиденциальности всех сведений, которые предоставляются субъектами в обработку. Данная обязанность, как правило, возлагается на самого оператора, который принимает данные в обработку, а на предприятиях — на определенных лиц, предусмотренных в специальном Положении. Однако в двух случаях законодатель все же разрешает снять конфиденциальность со сведений. Первый из них — это случай, когда данные полностью обезличиваются. Иными словами, они могут быть раскрыты, но только таким образом, чтобы по предоставленным третьим лицам сведениям невозможно было установить, о чьих конкретно личных данных идет речь.

Второй случай снятия конфиденциальности с информации относится к и без того открытой информации. Как правило, к таким личным данным относятся имя и фамилия человека, год рождения, город и точное место проживания, номер телефона, а также данные об образовании, профессии, карьерных достижениях и т. п. Однако, такое возможно лишь в том случае, когда сам субъект персональной информации дал свое письменное разрешение на снятие конфиденциальности со сведений.

Разрешение субъекта

Как уже упоминалось выше несколько раз, для обработки персональных данных субъекта требуется его письменное разрешение на работу с предоставленными оператору сведениями. Оно может быть оформлено в письменной форме и закреплено личной подписью. При желании, субъект имеет право в любой момент отозвать свое разрешение.

Рассматриваемое разрешение обязательно должно включать в себя определенный перечень сведений о субъекте. В их числе указываются имя, фамилия и отчество, его место жительства, а также данные документа, выданного государством, который удостоверяет личность. Кроме этого, в нем обязательно должна быть указана цель, с которой предоставляются сведения в обработку, а также определенный перечень сведений, которые были приняты оператором. Также субъект должен указать способ обработки сведений, на который он соглашается.

В самом конце документа обязательно должен быть указан срок, на протяжении которого действует согласие субъекта, а также определен порядок, в котором может состояться отзыв написанного документа.

После отметки всех представленных выше данных, субъект персональной информации обязан поставить дату, когда был составлен документ, а также свою подпись.

В том случае, если лицо не имеет возможности дать согласие на обработку данных в связи со своей смертью, это должны сделать за него наследники. Если же лицо является недееспособным, либо по физиологическим причинам не имеет возможности собственноручно написать согласие, то это могут сделать его законные представители.

Обязанности оператора

ФЗ 152 «О защите персональных данных» представляет вниманию всех заинтересованных лиц определенный перечень обязанностей, которые должен соблюдать оператор, работающий с личными данными субъектов.

По первому же запросу (устному или письменному) оператор обязан предоставить субъекту, который является носителем личной информации, все сведения относительно того, для каких целей будут использованы все предоставленные им данные, каким именно образом произведется их обработка, а также то, в течение какого времени будет производиться процедура. В обязательном порядке данные сведения также должны быть предоставлены в момент приема сведений и их фиксации.

В том случае, если личные сведения должны быть предоставлены в обязательном порядке, оператор должен уведомить субъекта об этом, а также разъяснить возможные юридические последствия его отказа от данной процедуры.

В некоторых случаях оператор может получать личные данные лиц не от них самих, а через посредников. В таком случае он обязан уведомить субъекта персональной информации о том, кто предоставил его сведения, а также цель, для которой данное действие было совершено.

Обработка и защита персональных данных полностью возлагается на оператора, который принимает сведения от лица. Именно он и несет ответственность за ненадлежащее исполнение этой своей прямой обязанности.

Защита персональных данных в организациях и на предприятиях

На любого человека, который ведет трудовую деятельность на каком-либо предприятии или в организации, имеется заведенное, в соответствии с требованиями законодательства, личное дело, в котором отражается огромное количество сведений, представляющих собой персональную информацию. Их сохранность также должна обеспечиваться надлежащим путем. Все требования к данному процессу отражены в содержании Положения о защите персональных данных работников, которое должно составляться на каждом предприятии индивидуально. Следует отметить, что имеется единая рекомендательная форма данного нормативного акта, имеющего локальный характер, однако в ней, по большей части, представлены основные принципы и требования к содержанию. При желании, на любом предприятии может быть принято свое индивидуальное Положение о защите персональных данных работников. Образец данного документа не предусматривает особенностей ведения деятельности конкретного предприятия, что может быть исправлено в случае разработки и принятия индивидуального документа.

Что касается обеспечения сохранности сведений и защиты персональных данных работников, то данные функции могут осуществляться в порядке ведения зашифрованной базы данных, в которую вносятся все индивидуальные данные, предоставленные работниками. Такие информационные системы, как правило, имеют локальный или системный характер, кроме того, на предприятии их может быть несколько. В числе данных, внесенных в такие базы, как правило, содержатся данные относительно должности, оклада, сертификатов, научных званий, наград, списка индивидуальных клиентов, социального статуса и т. п.

Разработка Положения и сопутствующих документов

Процесс разработки рассматриваемого Положения также прописан в ФЗ «О защите персональных данных». Закон отмечает, что данный документ должен быть разработан и принят путем согласования каждого пункта. В первую очередь, следует разработать проект документа, в котором должны быть отмечены все основные положения, в числе которых обязательно необходимо предусмотреть порядок обработки сведений личного характера о сотрудниках.

В связи с тем, что любой субъект персональной информации должен дать свое разрешение на обработку его личных данных, на всех предприятиях и в организациях должны быть разработаны два дополнительных проекта: согласия на обработку предоставленных сведений, а также уведомления о том, что все данные будут включены в общую базу. Кроме этого, предприятие обязано создать документ, в содержании которого будет даваться обязательство относительно надлежащего хранения информации, имеющей статус ограниченного доступа.

О том, что на предприятии будет вестись рассматриваемая база данных, должен быть издан приказ, который обязан подписать руководитель или лицо, уполномоченное на то. В его тексте необходимо указать само название базы, утвердить Положение, которое вводится в структурном подразделении или на всем предприятии в целом, а также определить нововведения в деятельности должностных лиц, чья деятельность связана непосредственно с обработкой личной информации и ее хранением.

После составления проектов всех вышеперечисленных документов, на предприятии должна быть собрана комиссия для обсуждения представленных в них положений. Только после того, как все лица, вошедшие в состав комиссии, будут удовлетворены каждым положением, документы могут быть подписаны и введены в действие.

Для осуществления защиты персональных данных изменения могут быть произведены и в структурных подразделениях предприятий. Нередко с этой целью вводятся новые штатные должности или изменяются обязанности лиц, занимающих уже имеющиеся места. В Законе «О защите персональных данных» не устанавливается конкретный перечень сотрудников, которые являются ответственными за сохранность вверенных сведений. Как правило, такой круг лиц определяется Положением на каждом предприятии отдельно.

Структура Положения о защите персональных данных (образец)

Персональные данные работников любого предприятия должны охраняться надлежащим образом. Именно для этого, создавая Положение по предприятию, необходимо четко знать то, какие моменты в нем должны быть рассмотрены. Итак, рассмотрим примерную структуру Положения о защите персональных данных (образец).

Персональные данные, которые находятся под охраной и относятся к категории личных, должны быть в точности определены в данном документе. Как правило, в локальных актах большинства предприятий их перечень указывается сразу после вступительной части, в которой должны быть прописаны общие положения и основные понятия, которые могут быть использованы в документе. В Положении следует четко определить тот порядок, в котором будет осуществляться доступ к данным, а также круг лиц, имеющих право на это. В том случае, если на предприятии или в организации имеется определенный перечень личных сведений, которым присвоен статус особой секретности, доступ к ним должен быть определен отдельно.

В Положении обязательно должен предусматриваться четкий комплекс действий и мер, с помощью которых будет осуществляться охрана данных, ответственность за нарушение установленных требований, наказание разглашение персональных данных, а также за халатное отношение к своим должностным обязанностям, связанным с приемом, обработкой сведений и обеспечением их сохранности.

В образце Положения о защите персональных данных также говорится о том, что в его структуре должен быть раздел, посвященный правам и обязанностям, имеющимся у работников, связанных с обработкой их личных сведений.

При необходимости, в связи со спецификой деятельности предприятия, в Положении могут быть указаны и дополнительные требования и понятия.

Устранение нарушений в процессе обработки предоставленных личных сведений

Вся ответственность за отсутствие сохранности личных сведений субъекта, в соответствии с ФЗ «О защите персональных данных», полностью возлагается на самого оператора, который совершал прием сведений и их обработку. В случае нарушения требований, выдвинутых законодательством, он обязан принять все меры, которые необходимы для устранения нарушения.

В соответствии с ФЗ «О защите персональных данных», если субъект обращается в контролирующие органы с жалобой на ненадлежащую работу оператора, принявшего его личные сведения, эти данные должны быть немедленно заблокированы на тот период, пока будет проводиться проверка. После того, как нарушение будет установлено, оператор обязан устранить все недочеты — это следует сделать в течение трех суток с момента вынесения постановления контролирующим органом. В Законе «О защите персональных данных» говорится о том, что устранение нарушений должно быть произведено путем удаления информации о субъекте. То же самое следует сделать и в том случае, если субъект отозвал свое разрешение на обработку личной информации. Так, например, любое Положение о защите персональных данных работников (образец) обязательно должно иметь в своем содержании правила относительно удаления сведений о сотруднике, который отозвал свое разрешение на обработку своих личных данных.

www.syl.ru

Закон о персональных данных, обзор изменений

В связи со сложной геополитической обстановкой в мире, Россия предпринимает определенные меры по защите личной жизни своих граждан. На законодательном уровне, это выражается внесением изменений в закон о защите персональных данных. В данном тексте вы узнаете суть происходящих изменений в законодательстве о персональных данных, а также об ответственности, которая наступает в связи с нарушением этого законодательства.

С развитием Всемирной сети Интернет у государства появились новые заботы – как обезопасить миллионы людей от несанкционированного использования их личных данных в мошеннических, либо других незаконных целях. Ежедневно в Сети совершается множество операций, предусматривающих, что человек даст доступ к определенному набору собственных данных и абсолютное большинство людей, не имеет ни малейшего понятия об элементарных правилах безопасности поведения в Интернете. Поэтому, государство старается возложить обязанности по защите персональных данных на организации, которые используют эти самые данные.

Как именно происходит их защита, кто должен принимать меры по ограничению доступа к персональным данным, что принесут изменения в закон о персональных данных от 01.09.2015 года и какая ответственность за нарушение этого закона? Все это вы узнаете в данной статье.

Краткий обзор закона №152-ФЗ

Основным законом, регулирующим обработку персональных данных различными субъектами, является Федеральный закон «О персональных данных» от 27.07.2006 года №152-ФЗ (далее – закон 152-ФЗ).

Под его сферу попадают субъекты, которые осуществляют действия по обработке персональных данных с применением средств автоматизации (учитывая информационно-телекоммуникационные сети), либо без использования таких средств, при условии, что подобные действия позволяют совершать поиск или предоставлять доступ к персональным данным в базах, размещенных на материальном носителе или находящихся в картотеках, либо других систематизированных собраниях данных.

Не попадают под сферу регулирования закона 152-ФЗ следующие действия:

• Обработка чужих персональных данных физическими лицами для собственных нужд (личных и семейных), при условии, что такая обработка не нарушает права владельца персональных данных;
• Действия по организации архивов, которые попадают в сферу регуляции законодательства об архивном деле в РФ;
• Обработка персональных данных, которые содержат сведения, отнесенные в соответствии с действующим законодательством РФ, к государственной тайне;
• Персональные данные, относящиеся к деятельности судов, предоставленные в порядке, закрепленном соответствующими законодательными актами.

В п. 1 ст. 3 закона 152-ФЗ закреплено понятие «персональные данные» — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъекты, которые совершают действия по обработке персональных данных, называются «операторы». Расшифровка этого понятия закреплена в п. 2 ст. 3 закона 152-ФЗ: «оператор» — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

П.3 ст.3 закона 152-ФЗ раскрывает понятие «обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Учитывая вышесказанное, можно подытожить, что действие закона 152-ФЗ распространяется, кроме прочего, на всех предпринимателей и организации, которые в процессе своей деятельности берут у клиентов данные, относящиеся к персональным, и осуществляют их обработку.

Вступающие в силу с 01.09.2016 года изменения в закон 152-ФЗ, будут вносить серьезные коррективы в деятельность бизнес структур и организаций, которые расширили свой бизнес в сеть Интернет и при помощи собственных сайтов собирают определенные персональные данные.

Закон о персональных данных: изменения

Федеральный закон №242-ФЗ от 21.07.2015 года (далее – закон 242-ФЗ), с момента его принятия в середине 2014 года, в народе он получил название «закон о переносе серверов». Все, кто попадет под определение «оператор» и собирают персональные данные посредством своих сайтов, то есть предлагают совершать какие-либо рассылки, получить фирменную карту, скидки в обмен на имя, фамилию, e-mail, телефон, адрес проживания (для отправки фирменной корреспонденции) граждан РФ и так далее, с момента вступления изменений в силу обязаны будут хранить эти сведения в базах данных, которые находятся на территории России.

В противном случае, Роскомнадзор, по результатам проверки, может внести Интернет-ресурс, который не соответствует законодательным требованиям, в так называемый «черный» список, а его владельца привлечь к ответственности, в том числе к административной и уголовной.

Остается совсем мало времени до вступления изменений в силу и такие гиганты как eBay и Google уже вплотную занялись коррективами собственной деятельности под действующее российское законодательство, а Lenovo и Samsung уже завершили все действия по переносу баз данных.

В данной ситуации, у всех операторов, попадающих под действие этих изменений, еще есть немного времени, что бы совершить перенос баз данных, так как в законе №242-ФЗ нет видимых лазеек для его обхода.

Так как нет ясной картины целей, которые преследует государство, внося данные изменения, скорее всего к концу года будет понятно, зачем так срочно понадобилось переместить все персональные данные о гражданах России на «отечественные» сервера. Также, почти без сомнений, нас ждет обширная судебная практика, касающаяся данного вопроса.

Ответственность за нарушение закона о персональных данных

Исходя из норм ст. 24 закона 152-ФЗ, лица, нарушившие требования данного закона, несут ответственность предусмотренную законодательством РФ.

Административная ответственность установлена статьями 13.11, 13.14 и 19.7 КоАП РФ.

Уголовная ответственность устанавливается при наличии в составе преступления, признаков нарушения неприкосновенности частной жизни. В таком случае применяется статья 137 УК РФ.

Учитывая объемы и состав действий, нарушающих нормы закона 152-ФЗ, могут быть применены и иные статьи КоАП РФ и УК РФ.

Об обновлении закона в 2018 году

Летом 2017 года Госдума РФ рассмотрела и одобрила новую версию закона о персональных данных, который получил новое название: Федеральный закон от 29.07.2017 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья».

Настоящий Федеральный закон вступает в силу с 1 января 2018 года.

yconsult.ru