Статья о защите личных данных физических лиц

Закон о защите персональных данных №152-ФЗ: сфера регулирования, требования, штрафы

Статья о защите личных данных физических лиц
Закон о защите прав персональных данных

Закон о защите и хранении персональных данных относится к сфере информационного права Российской Федерации.

Он распространяется на всю территорию страны. В связи с тем, что он является Федеральным, ни один другой нормативный правовой акт, принятый на уровне субъектов РФ, не может ему противоречить.

В какой сфере действителен закон о защите персональный данных

Первая статья ФЗ №152 «О защите персональных данных» регламентирует сферу, на которую распространяется и оказывает влияние закон.

Сферой в данном случае являются те отношения, которые связаны с различными операциями с персональными данными, их обработкой и т.д.

Распространяется он на всех существующих субъектов: физических и юридических лиц, федеральные органы государственной власти, органы МСУ (местного самоуправления), органы гос. власти на уровне субъектов РФ, а также иными органами государственного управления.

Исходя из этого видно, что Федеральный Закон имеет влияние на все организации (коммерческие и государственные), которые обрабатывают информацию и личные данные граждан РФ в своих информационных системах. Стоит отметить, что от формы собственности и размера предприятия (организации) не зависит распространение закона.

Важно: среди государственных органов, осуществляющих свои полномочия в данной сфере, выделяют: ФСБ РФ, ФСТЭК России, Россвязькомнадзор.

Законодательство для владельцев сайтов

Естественно действие Федерального Закона о защите персональных данных в 2018 году затрагивает интересы и владельцев сайтов, а также иных интернет-ресурсов, деятельность которых связана со сбором личной информации граждан. Роскомнадозор осуществляет надзорные функции в отношении сайтов в текущем году более тщательно, чем в предыдущие. Большое количество интернет-ресурсов уже подверглось блокировке, а их создатели штрафам.

Открытие интернет-магазина от А до Я: пошаговая инструкция

При нарушении закона №152 «О персональных данных» владельцами сайтов действуют нормы КоАП РФ (кодекс об административных правонарушениях). Штрафные санкции предусмотрены достаточно крупные. С июля 2017 года размер штрафов устанавливается до 75 000 рублей. Налагаемый штраф будет зависеть от того, какая часть статьи 13.11 КоАП РФ нарушена.

Важно: возбуждать дела в данном случае будет не прокуратура, а Роскомнадзор. Примечательно, что протокол будет составляться по каждому отдельному виду нарушения (как за один визит, так и за несколько).

Юридическая ответственность

Закон о персональных данных регламентирует юридическую ответственность субъектов правовых отношений за нарушение данного нормативного правового акта. Статья 24 ФЗ №152 закрепляет положения о том, что лица несут ответственность в соответствии с законодательством страны.

Норма, которая соответствует каждому определенному правонарушению, определяется исходя из квалификации правонарушения. Стоит отметить, что нормы есть в различных источниках. КоАП РФ регламентирует систему штрафов за совершение правонарушения.

Если нарушается законодательство относительно персональных данных в сфере трудового права, то в таком случае регулятором выступает Трудовой Кодекс РФ. В соответствии с законом к правонарушителю могут быть применены следующие виды ответственности:

  1.  Дисциплинарная.
  2.  Гражданско-правовая.
  3.  Материальная.
  4.  Уголовная.
  5.  Административная.

Таким образом,  неправильное обращение с персональными данными может повлечь за собой даже лишение свободы. Такое бывает, например, когда затрагивается положение о неприкосновенности личной жизни.

Важно: штраф может быть отдельно за каждый вид нарушения, после составления протокола он суммируется.

Требования закона о персональных данных

Закон о неразглашении персональных данных имеет одновременно несколько направлений. Он разработан и принят для того, чтобы обезопасить частную жизнь граждан Российской Федерации посредством сохранения конфиденциальности персональных данных.

Благодаря действию закона №152 на территории РФ о персональных данных, граждане могут не беспокоиться о своей частной, личной информации. Акт направлен на защиту данных, возможны лишь способы передачи и хранения информации (устанавливаются допустимые рамки).

Как снизить риск участия в судебных разбирательствах

Порядок передачи и удаления информации регламентирован наиболее жестко, так как это наиболее важный момент.

Актуальная редакция

На данный момент актуальна редакция Федерального Закона «О персональных данных» от 27 июля 2006 года. Наиболее значительные изменения в данном законе были введены в июле прошлого 2017 года.

В последних правках было ужесточение юридической ответственности за нарушения в данной сфере. Среди законов, которые вводили изменения, был ФЗ №242 (от 21 июля 2017 года). Именно он обновляет пункты и вносит необходимые законодательные поправки.

Источник: https://promdevelop.ru/business/zakon-o-zashhite-personalnyh-dannyh-152-fz-sfera-regulirovaniya-trebovaniya-shtrafy/

Персональные данные: в чём суть закона?

Статья о защите личных данных физических лиц

Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать.

Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных». Он был принят в июле 2016 года. С тех пор в этот закон было внесено немало поправок и дополнений.

Ознакомиться с его текстом можно в «Российской газете», месте официальной публикации правовых актов. И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё. Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства.

Мы решили подготовить краткий обзор нормативных документов по этой теме. В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке.

О каких данных идёт речь?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.

Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.

Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.

Кого касается закон?

Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.

Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Кого этот закон не касается?

Действие закона о персональных данных не распространяется на ситуации, когда:

  • данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
  • данные обрабатывают в официальных архивах;
  • данные отнесены к государственной тайне.

Согласие на обработку персональных данных

В ряде случаев согласие на обработку таких данных не требуется, например, если:

  • обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
  • обработка производится в судах;
  • обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.

При необходимости согласия оно должно включать в себя следующие сведения:

  • фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование и адрес оператора, получающего согласие;
  • цель обработки;
  • перечень данных, на обработку которых даётся согласие;
  • перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
  • срок, в течение которого действует согласие, а также способ его отзыва;
  • личную подпись.

Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

  • обрабатываются в соответствии с трудовым законодательством;
  • получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
  • относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
  • сделаны самим владельцем персональных данных общедоступными;
  • включают в себя только фамилию, имя и отчество субъекта;
  • необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
  • обрабатываются в целях транспортной безопасности.

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.

Кто контролирует исполнение норм?

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы.

Безопасность персональных данных

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

  1. Определение угроз безопасности.
  2. Применение организационных и технических мер по обеспечению безопасности.
  3. Применение средств защиты информации.
  4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
  5. Учёт съёмных носителей персональных данных.
  6. Обнаружение фактов несанкционированного доступа к данным.
  7. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  8. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
  9. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных.

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье.

Нужны ли лицензии или сертификаты?

Непосредственно для обработки персональных данных никакие лицензии не нужны. Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства.

Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации является лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется.

Заключение

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны. В этой статье мы попытались кратко осветить содержание и общую логику этих актов.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы. По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют.

О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье.

Источник: https://spark.ru/startup/1cloud/blog/42698/personalnie-dannie-v-chyom-sut-zakona

Российское и международное законодательство в области защиты персональных данных

Статья о защите личных данных физических лиц

В предыдущей публикации мы рассмотрели основные понятия и парадигму информационной безопасности, а сейчас перейдем к анализу российского и международного законодательства, регулирующего различные аспекты защиты данных, поскольку без знания законодательных норм, регулирующих соответствующие области деятельности компании, корректно выстроить систему управления риск- и бизнес-ориентированной информационной безопасностью невозможно. Штрафные санкции, а также репутационный ущерб от несоответствия законодательным нормам могут внести существенную коррективу в планы функционирования и развития организации: мы знаем, что, например, невыполнение норм защиты информации в национальной платежной системе может обернуться отзывом лицензии у финансовой организации, а несоответствие требованиям по месту первичного сбора и обработки персональных данных может привести к блокировке доступа к веб-сайту компании. Невыполнение же норм безопасности критической информационной инфраструктуры вообще может обернуться лишением свободы на срок до 10 лет. Разумеется, применимых законов и норм – огромное количество, поэтому в этой и двух последующих статьях сосредоточимся на защите персональных данных, защите объектов критической информационной инфраструктуры и информационной безопасности финансовых организаций. Итак, в сегодняшней серии – персональные данные, поехали!

Прежде всего, надо рассказать об основополагающем документе, который регламентирует порядок работы с различной информацией в РФ, в т.ч. и с персональными данными — речь идет о Федеральном Законе №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность — например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д. Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.

Российские нормы по защите персональных данных

Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.

Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками.

С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году.

Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.

Совместная работа стран-участников Конвенции продолжается и по сей день.

Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.

Источник: https://habr.com/ru/post/470888/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.