Полезные cтатьи

Обзор Федерального закона «О персональных данных»

Что такое персональные данные и как регулируется работа с ними?

Персональные данные являются неотъемлемой частью функционирования любой организации, начиная от крупных коммерческих организаций, заканчивая различными интернет-ресурсами. Работа с клиентами, обеспечение трудовой деятельности собственных сотрудников, персонифицированные отзывы на сайтах – все это обработка персональных данных. Правильная обработка и своевременное обеспечение защиты персональных данных – гарантия снижения информационных рисков, а также меньших вопросов со стороны государственных регуляторов.

Основным документом, регулирующим рассматриваемый вид деятельности, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон). Что же такое персональные данные? Чаще всего люди понимают под данным термином некую информацию, содержащуюся в официальных документах лица (паспортные данные, данные из трудовой книжки, финансовые данные и т.п.).

В самом законе прописано, что персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Исходя из определения, кроме официальных документов в указанную категорию могут включаться и сведения, которые при первом просмотре не производят впечатления относящихся к персональным данным.

Примеры персональных данных

Так, например, размещение на сайте отзыва о компании с указанием фамилии менеджера, который вел обслуживание, говорит об обработке персональных данных, ведь в рассматриваемом случае в отзыве косвенно упоминается конкретная личность (фамилия, должность, место работы). На размещение такой информации требуется согласие этого менеджера как субъекта персональных данных. В иных случаях публикация сведений является нарушением законодательства РФ и может грозить блокировкой сайта в случае непринятых вовремя мер.

Другой случай. На сайте присутствует форма обратной связи. Для того, чтобы ею воспользоваться, пользователю необходимо указать минимальный перечень данных: имя, номер телефона. Обработка таких данных позволяет обеспечить взаимосвязь между пользователями и сайтом, таких данных достаточно для обеспечения «таргетированной» рекламы, что уже говорит об их принадлежности к конкретному лицу. Использование таких сведений несет обязанность соблюдать требования Закона.

В любом случае, всегда необходимо внимательно относиться к той информации, которую Вы обрабатываете, ибо даже если Вы считаете, что не работайте с персональными данными, то субъект и Регуляторы могут решить иначе. Как говорится, незнание законов не освобождает от ответственности: Вас могут причислить к категории операторов персональных данных.

Оператор персональных данных

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Сразу стоит оговорить, что для обработки персональных данных не существует отдельных лицензий и сертификатов. Оператором персональных данных может стать любой желающий, требования к оператору предъявляются только если он начал обработку персональных данных.

Нормы при обработке персональных данных

В самом простом случае (если обрабатываются персональные данные только на бумажных носителях) законными основаниями обработки персональных данных являются либо согласие субъектов персональных данных, либо заключенный договор, для исполнения которого необходима обработка персональных данных. Требованием в данном случае является принятие ряда внутренних документов по организационной защите персональных данных (инструкции), а также принятия Политики об обработке и обеспечении безопасности персональных данных (либо же Положения об обработке персональных данных сотрудников, если лицо не работает с клиентами – физ. лицами).

Если ведется обработка с помощью информационных систем, то к лицу кроме вышеуказанных требований предъявляются требования Постановления Правительства № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказа № 21 ФСТЭК России, которые обязуют лицо проводить мероприятия по защите данных информационных систем, а также провести оценку эффективности принятых по защите мер.

Легитимная обработка персональных данных с помощью информационных систем

Для выполнения законодательных требований к обработке персональных данных с помощью информационных систем у лица существует несколько вариантов, в том числе:

  1. Аутсорс, т.е. привлечение лицензиата на деятельность по технической защите конфиденциальной информации;
  2. Самостоятельное получение лицензии по указанному виду деятельности, т.к. только лицензиат на деятельность по технической защите конфиденциальной информации имеет право осуществлять монтаж, настройку средств защиты информации и проводить оценку эффективности системы защиты персональных данных, а также оценку соответствия средств защиты информации.
Что такое обработка персональных данных

И тут возникает вопрос, что такое обработка персональных данных, какие действия и мероприятия подразумевает данное понятие. Согласно все тому же Закону обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Виды обработки персональных данных

Обработка персональных данных может быть, как автоматизированной, т.е. с применением средств вычислительной техники, либо неавтоматизированной – без использования таковых.

Подготовка шаблонов документов, переменная часть которых включает в себя персональные данные, на компьютере, при этом заполнение персональных данных прописью и хранение подготовленных документов в шкафу является неавтоматизированной.

В случае заполнения переменной части при помощи компьютера обработка будет считаться автоматизированной, даже если документы не будут храниться на компьютере. Размещение персональных данных на сайте, внесение данных в таблицу и более сложные технологические процессы представляют собой примеры автоматизированной обработки.

Принципы обработки персональных данных

Обработка персональных данных должна осуществляться при соблюдении следующих принципов (перечисленные далее принципы выполняются одновременно):

  1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
  2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
  7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Случаи допущения обработки персональных данных

Обработка персональных данных допускается в следующих случаях:

  1. Осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
  2. Необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
  3. Осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
  4. Необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта).
  5. Необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
  6. Необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
  7. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
  8. Необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  9. Необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
  10. Осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных.
  11. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
  12. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
В каких случаях 152-ФЗ не распространяется

Следует отметить, что не все вопросы в сфере персональных данных базируются на 152-ФЗ. Так, деятельность Закона не распространяется при:

  • обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных (не следует распространять данные без согласия супруга);
  • организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
  • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Категории персональных данных

Требования к обработке персональных данных зависят также и от непосредственно от той информации, действие с которыми совершает оператор. Всего существует четыре категории персональных данных: общедоступные, специальные, биометрические и иные.

К общедоступным персональным данным относятся те сведения, которые были открыты самим субъектом персональных данных, например, опубликовал и распространил о себе сведения путем размещения их на своей странице в социальных сетях (в Интернете). Существует также ряд общедоступных источников (справочники и адресные книги), формирование которых требует письменного согласия субъекта. Такие данные оператор может использовать без личного согласия субъекта. Стоит отметить, что по отзыву согласия или же при удалении данных со страницы в Интернете оператор обязан прекратить обработку таких данных.

Наиболее ценными для субъекта персональных данных является категория специальных данных. Сюда относятся сведения, касающееся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни человека. В виду их ценности в большинстве случаев обработка таких данных допускается только при наличии письменного согласия субъекта. Без письменного согласия в силу своих полномочий специальную категорию могут обрабатывать медицинские, религиозные учреждения, государственные и муниципальные органы власти. Но следует сказать, что письменное согласие является гарантом законной обработки таких данных.

Отдельной категорией выделяют биометрические персональные данные. Это те сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность. Такие сведения могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключения случаев, связанных с противодействием терроризмом, обеспечением безопасности и оперативно-розыскной деятельности.

Остальные сведения, не входящие в состав уже рассмотренных, и предоставляемые только оператору, относятся к иным. ФИО, паспортные данные, трудовая книжка, финансовые данные и т.п. сотрудника или клиента и отданные на обработку определенному кругу лиц классифицируются как иные.

Согласие на обработку персональных данных

Ключевым элементов взаимодействия между оператором и субъектом персональных данных является согласие. Согласие на обработку персональных данных может быть дано субъектом его представителем в любой позволяющей подтвердить факт его получения форме, за исключением случаев, когда требуется письменное согласие. Электронный документ, подписанный ЭП, является равнозначным письменному согласию

Письменное согласие должно включать в себя следующие реквизиты:
  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

Согласие не требуется в случае, если соблюдаются иные условия обработки персональных данных.

Требования к оператору персональных данных

Обработка персональных данных накладывают на оператора ряд обязанностей. В первую очередь, оператор должен выполнять законодательство. Оператор сам определяет каким способом и какими мерами это делать, за исключением случаев, когда Закон предъявляет требования. Ряд основных требований предоставлен ниже:

  • назначить ответственное за обработку персональных данных лицо;
  • издать Политику обработки персональных данных и ряд уточняющих её документов, Политика должна быть общедоступным документом, т.е. либо опубликована на сайте оператора, либо на стендах, либо другим возможным способом;
  • защищать персональные данные;
  • осуществлять контроль внутренних процессов, связанных с обработкой персональных данных, в том числе обучить своих сотрудников работе с персональными данными;
  • оценить вред субъектам, в случае нарушения Закона.
Органы, контролирующие легитимность обработки персональных данных

Контроль за выполнением требований Закона в силу своих полномочий осуществляют следующие органы государственной власти:

  • Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) в части, касающейся процессов обработки персональных данных, их организационной и технологической составляющей, её законности;
  • ФСТЭК, в части технической защиты информационных систем персональных данных;
  • ФСБ России, в части криптографической защиты информации.

Кроме того, существует ряд специализированных органов, которые также могут заинтересоваться обработкой персональных данных, если оператор попадает в их сферу деятельности, например, ЦБ, Роструд, Роспотребнадзор.

Информационные системы персональных данных и уровни их защищенности

В случае обработки персональных данных с помощью средств вычислительной техники такие системы называются информационными системами персональных данных (далее - ИСПДн). В зависимости от категории обрабатываемых данных, от количества субъектов и от актуальных угроз ИСПДн могут относится к одному из четырех уровней защищенности, представленных в таблице ниже.

Тип ИСПДн Сотрудники оператора Количество субъектов Тип актуальных угроз
1
(НДВ ОС)
2
(НДВ ПО)
3
(Без НДВ)
ИСПДн-С (специальные) Нет > 100 000 УЗ-1 УЗ-1 УЗ-2
Нет < 100 000 УЗ-1 УЗ-2 УЗ-3
Да
ИСПДн-Б (биометрические) УЗ-1 УЗ-2 УЗ-3
ИСПДн-И (иные) Нет > 100 000 УЗ-1 УЗ-2 УЗ-3
Нет < 100 000 УЗ-2 УЗ-3 УЗ-4
Да
ИСПДн-О (общедоступные) Нет > 100 000 УЗ-2 УЗ-2 УЗ-4
Нет < 100 000 УЗ-2 УЗ-3 УЗ-4
Да

Для каждого уровня защищённости прописан ряд требований по обеспечению технической защиты персональных данных. Требования содержаться в Приказе № 21 ФСТЭК России от 18.02.2013 г.

Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации.

Чем грозит нарушение законодательных норм

За нарушение норм законодательства о персональных данных предусматривается как административная, так и уголовная ответственность. Так для организаций-нарушителей штраф может исчисляться в размере от 40 000 до 300 000 руб., может быть заблокирован сайт и приостановлена деятельность организации на срок до 90 суток, а по отношению к руководителю организации могут быть применены следующие санкции: штраф в размере от 100 000 до 300 000 руб., лишение свободы на срок до 4 лет.



Условия доставки

Информационный центр заботится о Вашем комфорте и предлагает оформить доставку сертификата ЭЦП (КЭП) в удобное Вам место и время на следующих условиях: