Законодательство в области защиты прав субъектов персональных данных

Управление Роскомнадзора по Ульяновской областиУправление Роскомнадзора по Ульяновской области

ЮРИДИЧЕСКИЙ АСПЕКТ

Основные нормативно-правовые акты

Конвенция Совета Европы от 28.01.81

Директивы Европейскогопарламента и Совета Европейского союза

N 152-ФЗ «О персональных данных»

от 27.07.2006 г.

ППРФ-687..об особенностях ..без использования средств

автоматизации

ППРФ-781Положение об обеспечении

безопасности ПДн ..

Приказ N 55/86/20Порядок

проведения классификации

ИСПДн

Базовая модель угроз безопасности ПДн при их

обработке в ИСПДн (ФСТЭК)

Приказ ФСТЭК №58 «.. положение о методах и

способах защиты информации в ИСПДн»

Методические рекомендации по

обеспечению с помощью криптосредств.. (8 Центр

ФСБ России) Типовые требования по

организации и обеспечению

функционирования шифровальных

(криптографических) средств .. (8 Центр ФСБ

России)

Приказ Роскомнадзора № 482 от 16.07.10г. «Об утверждении образца формы уведомления об обработке ПДн»

Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Основные положения Федерального Закона от 27.07.06г. №152-ФЗ «О персональных данных» (вступил в силу с 26 января 2007 г.)

• «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени» • «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения» • «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»• «Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом»

4

Федеральный Закон «О защите персональных данных»

Федеральные органы государственной власти

Центральные аппараты, территориальные органы федеральных органов исполнительной власти

Организации различных форм собственности, общественные организации, физические лица

5

Любая организация – оператор персональных данных

Исполнительные органы государственной власти субъектов РФ

Правительства и Администрации субъектов РФ, их структурные подразделения

Государственные органы

ГУПы, в т.ч. Центры занятости населения

Органы местного самоуправления

ОМСУ всех уровней

Муниципальные органыБольницы, детские сады, коммунальные службы и др.

Сфера действия Закона

Коме того, действия закона распространяются и на:

Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации

Основные положения Федерального Закона от 27.07.06г. №152-ФЗ «О персональных данных»

Действие Федерального закона не распространяется на отношения,

возникающие при:

обработке ПДн физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

обработке ПДн документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

обработке сведений о физических лицах, подлежащих включению в в ЕГРИП, если такая обработка осуществляется в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

Сфера действия Закона

6

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных

Основные понятия Закона 7

Оператор – это государственный орган, муниципальный орган, юридическое и физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Принципы обработки персональных данных

законность целей и способов обработки персональных данных и добросовестности;

соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

8

Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:

определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера;

Конфиденциальность персональных данных

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться

конфиденциальность таких данных

ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

9

учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;

регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

применение мер технической защиты информации.

Меры по охране конфиденциальности персональных данных, понимаются разумно достаточными, когда

исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;

обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.

Меры по обеспечению безопасности персональных данных при их обработке

10

от неправомерного или случайного доступа к ним

Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных

или обозначения принадлежности персональных данных, содержащихся в государственных или Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической

защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.информационных системах персональных данных

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе

использовать шифровальные (криптографические) средства:

уничтожения изменения блокирования копирования

распространения персональных данных

распространения от иных неправомерных действий

Уведомление об обработке персональных данных 11

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки таких данных:

относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения

являющихся общедоступными персональными данными

включающих в себя только фамилии, имена и отчества субъектов персональных данных

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка

обрабатываемых без использования средств автоматизации

Формулирование цели обработки ПДн

«В поле «Цель обработки персональных данных» указываются цели обработки персональных данных (а так же их соответствие полномочиям оператора).

Под «целью обработки персональных данных» понимаются как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных».

(Приказ Россвязькомнадзора от 17 июля 2008 г. №08 «Об утверждении образца формы уведомления об обработке персональных данных»)

Цель обработки необходимо формулировать особенно тщательно, так как она определяет:- законность обработки;- соответствие цели заявленной при сборе (указывается в согласии) цели обработки;- необходимый состав персональных данных;- сроки хранения персональных данных в ИСПДн;

Проработка юридических вопросов

1. Формулирование целей обработки персональных данных.

2. Правовое основание обработки персональных данных. (Наличие ФЗ, устанавливающего цель, условия получения ПДн, круг субъектов ПДн, полномочия оператора.

3. Необходимость получения согласия, в том числе – на передачу третьим лицам.

4. Форма получения согласия.5. Правовые акты, определяющие срок хранения

персональных данных.6. Определение перечня 3-х лиц, оснований, порядка,

перечня ПДн, передаваемых 3-м лицам.7. Разработка формы договоров при передаче ПДн.8. Заключение соглашений со своими сотрудниками о

неразглашении ПДн.

Права субъектов персональных данных

• Право решать когда, кому и какие данные предоставлять• Контролировать как обрабатываются и кому передаются его ПДн• Требовать уточнения своих персональных данных• Требовать блокирования или уничтожения своих персональных данныхВ каких случаях согласие должно быть в письменной форме?

• при включении персональных данных для информационного обеспечения в общедоступные источники (в том числе справочники, адресные книги) – ст.8.1; • при обработке специальных категорий персональных данных – ст. 10.2, п.1; • при обработке биометрических персональных данных – ст. 11.1; • при трансграничной передаче персональных данных – ст. 12.3 п.1; • в случае, когда решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимается на основании исключительно автоматизированной обработки его персональных данных – ст. 16.2; • в случаях прямо предусмотренных иными федеральными законами (например, ст. 88ТК РФ, ст. 53 Закона «О связи»)

Основные обязанности операторов ИСПДн

• принимать необходимые организационные и технические меры для защиты персональных данных;• предоставлять субъекту информацию об обрабатываемых ПДн:

• по запросу субъекта (ст. 14 ч. 4 152-фз);• при начале обработки данных, полученных у 3-х лиц (кроме обработки на основе ФЗ или общедоступных ПДн) (ст. 18 ч. 3 152-фз);

• блокировать ПДн если они недостоверны или при неправомерных действиях с ПДн;• прекратить обработку, уничтожить соответствующие ПДн, и уведомить субъекта в случаях отзыва согласия или достижения цели обработки;• уведомить субъекта об устранении нарушений или об уничтожении ПДн, если устранить невозможно;• подать уведомление об обработке в Роскомнадзор;•Привести в соответствие с требованиями закона информационные системы персональных данных не позднее 01.01.2011

Реальная защита или формальное выполнение требований

Возможные линии поведения операторов:1. Игнорирование требования законодательства

Возможные негативные последствия:- Гражданско-правовые иски со стороны клиентов и работников- Принудительное приостановление или прекращение обработки ПДн

в компании- Привлечение компании и (или) ее руководителя к административной

или иным видам ответственности- Приостановление деятельности или аннулирование лицензии (при

определенных условиях)- Репутационные риски- Риски недобросовестной конкуренции

2. Формальное выполнение требований (занижение класса ИСПДн, упрощение описания системы)

Во время проверки легко выявляется «упрощения», негативные последствия могут быть те же, что в п. 1

3. Создание реальной системы защитыДостоинства:- Устранение недостатков п. 1- Персональные данные могут быть одновременно коммерческой

тайной- Наведение порядка, документирование системы, как следствие,

уменьшается зависимость от отдельных сотрудников.

Типовые нарушения в области персональных данных 17

Отсутствие у оператора (в учреждении, организации, на предприятии и т.д.) Положения об обеспечении информационной безопасности (персональных данных).

Отсутствие Приказа руководителя о назначении должностных лиц ответственных за обеспечение безопасности информации (персональных данных).

Отсутствие согласия (в письменной форме) субъектов персональных данных (сотрудников учреждений, работников организаций, абонентов, клиентов и т.д.) на обработку их персональных данных (передачу персональных данных третьим лицам - территориальным органам (учреждениям) федеральной налоговой службы, пенсионного и социального обеспечения, учреждения медицинского страхования, в районные военные комиссариаты и другие органы исполнительной власти субъектов Российской Федерации).

Отсутствие списка лиц, допущенных к работе с персональными данными, утвержденных установленным порядком (списки лиц, допущенных к работе с персональными данными в информационных системах (с учетом программистов, администраторов ИСПДн), не утверждены оператором (Руководителем) или уполномоченным им лицом).

Отсутствие списка лиц, допущенных в помещение, где обрабатываются персональные данные работников организаций, абонентов, клиентов и т.д. (помещения бухгалтерии, инспектора по кадрам, серверная, …), утвержденных установленным порядком (списки лиц, допущенных к работе с персональными данными в информационных системах (с учетом программистов, администраторов ИСПДн), не утверждены оператором (Руководителем) или уполномоченным им лицом).

В трудовых договорах и должностных инструкциях работников, ответственных за обеспечение безопасности персональных данных и допущенных к обработке персональных данных отсутствуют обязанности по обеспечению безопасности (конфиденциальности) персональных данных, не указаны полномочия и ответственность в области обработки персональных данных.

Дела работников (субъектов персональных данных, в том числе и уволенных после прекращения трудовых отношений) хранятся в шкафах, не закрывающихся на замок. Документы установленным порядком своевременно в архивы не передаются. В сейфах вместе с трудовыми книжками работников хранятся документы (пропуска) уволенных работников, уничтожение их установленным порядком не организовано.

Отсутствие журнала учета письменных обращений граждан РФ, подлежащих обязательной регистрации в течение трех дней с момента поступления в государственный орган, орган местного самоуправления или должностному лицу.

Отсутствие журнала учета выданных выписок (копий) из документов, содержащих персональные данные работников (сотрудников).

Содержание электронного журнала обращений периодически не проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного им лица, меры по устранению недостатков своевременно не принимаются.

Результаты классификации информационных систем не оформлены актом оператора.Отсутствие журнала учета мероприятий по контролю.

Ответственность за несоблюдение законодательства

Статья Вид нарушения Ответственность

КоАП

ст. 13.11

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -

Штраф на должностных лиц - от пятисот до одной тысячи рублей;

на юридических лиц - от пяти тысяч до десяти тысяч рублей

КоАП

ч. 2

ст. 13.12

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)

Штраф на должностных лиц - от одной тысячи до двух тысяч рублей;

на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

Ответственность за несоблюдение законодательства

Статья Вид нарушения Ответственность

КоАП

ч. 1

ст. 13.13

Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)

Штраф на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой;

на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

КоАП

ст. 13.14

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей

штрафа на должностных лиц - от четырех тысяч до пяти тысяч рублей

Ответственность за несоблюдение законодательства

Статья Вид нарушения Ответственность

КоАП

ч. 1

ст. 19.5

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства

штраф на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет;

на юридических лиц - от десяти тысяч до двадцати тысяч рублей

КоАП

ч. 2

ст. 19.5

Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа

штраф на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет;

на юридических лиц - от двухсот тысяч до пятисот тысяч рублей

Ответственность за несоблюдение законодательства

Статья Вид нарушения Ответственность

УК РФ

ч. 1

ст. 137

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет

Ответственность за несоблюдение законодательства

Статья Вид нарушения Ответственность

УК РФ

ч. 2

ст. 137

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации с использованием своего служебного положения

наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок от одного года до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет

Ответственность за несоблюдение законодательства

Статья Вид нарушения Ответственность

УК РФ

ст. 140

Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет

УК РФ

ч. 1

ст. 272

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет

Тенденции законодательства

1. «Законопроект Резника» - поправки к 152-ФЗ. Основные моменты:- Соглашение (об обработке ПДн) может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектами ПДн условий договора, оферта которого предложена оператором.- Необязательность письменного соглашения в случаях: трансграничной передачи, обработки специальных категорий ПДн, обработки исключительно автоматизированным способом с юридическими последствиями для субъекта ПДн.

2. Парламентские слушания (октябрь 2009 г.) критика документов ФСБ за излишнюю строгость в отношении применения только сертифицированной криптографии.

3. Появление отраслевых стандартов (финансовые организации (СТО БР РС), операторы связи (НИР Тритон), Рособразование, Минздравсоцразвития).

4. Предоставление прав доступа к ПДн судебным приставам.