Выполнение закона о защите персональных данных

Оглавление:

На страже безопасности, или Локализация персональных данных

Наделавший немало шума закон о локализации персональных данных россиян вступил в силу с 1 сентября и действует уже два месяца (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Закон требует, чтобы при сборе персональных данных, в том числе посредством Интернета, оператор обеспечивал запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России (ст. 2 Закона № 242-ФЗ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Однако исполнить это требование оказалось не так просто, поскольку многие нюансы законодатель не уточнил, что вызвало немало вопросов у представителей бизнеса.

Тем не менее, к моменту вступления Закона № 242-ФЗ в силу, многие из этих вопросов нашли ответ – во многом этому поспособствовали размещенное на сайте Минкомсвязи России официальное разъяснение ведомства, а также активная позиция юристов. Дискуссия продолжается и по сей день – так, ряд наиболее значимых вопросов был затронут экспертами на конференции, организованной газетой The Moscow Times в конце сентября. Разберемся в наиболее важных выводах и рекомендациях, высказанных специалистами.

Прежде чем углубляться в вопросы реализации этого закона, председатель Временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова призывает понять, какие именно цели преследует этот закон. «Нужно понимать актуальность и необходимость этого документа, так как только в условиях нахождения персональных данных российских граждан на территории своей страны государство может гарантировать их надлежащую защиту», – заявляет она. Вместе с тем Людмила Бокова отмечает, что любой правовой акт должен отвечать принципу правовой определенности, поскольку только в этом случае правовая мера будет действительно эффективной и способной достичь той цели, которая преследуется в законе. Однако еще до вступления в силу Закона № 242-ФЗ стало ясно, что он данному требованию не отвечает, это и вызвало потребность в разъяснении целого ряда нюансов, связанных с применением этого акта.

Что такое база данных?

В тексте Закона № 242-ФЗ не уточнено, какие именно базы данных, содержащие персональные данные россиян, должны находиться на территории нашей страны. В связи с этим возник закономерный вопрос, может ли база данных быть представлена в любой форме, в том числе бумажной, или все-таки к ней предъявляются какие-то объективные требования?

Отвечая на него, Минкомсвязь России напоминает, что базой данных является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (абз. 2 ч. 2 ст. 1260 ГК РФ). В связи с этим ведомство уточняет, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным только при условии наличия данных в электронной форме.

Кому необходимо выполнять требования закона?

Если руководствоваться положениями Закона 242-ФЗ, очевидно, что его требования адресованы оператору персональных данных, однако руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков отмечает, что перечень таких лиц гораздо шире и, хотя прямо в тексте закона это не указано, по его смыслу требования о локализации обязаны соблюдать следующие субъекты.

Оператор персональных данных (например, работодатель) – то есть лицо, самостоятельно или совместно с другими организующее и/или осуществляющее обработку персональных данных, а также определяющее цели такой обработки, состав персональных данных и действия, с ними совершаемые (п. 2 ст. 3 закона о персональных данных). Отдельно стоит упомянуть об иностранных организациях, чьи представительства действуют на территории России. Как правило, персональные данные работников таких представительств направляются в головную компанию, находящуюся за рубежом. Но несмотря на то, что такая ситуация встречается достаточно часто, большинство руководителей не учитывают один существенный нюанс – операторами персональных данных иностранные компании в этом случае не являются.

Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании «Пепеляев Групп»:

«Лицом, которое в силу закона обязано осуществлять обработку этих данных является исключительно работодатель, то есть то лицо, с которым соответствующий работник заключил трудовой договор. Вопрос: на каком основании персональные данные передаются в головную иностранную организацию? Точно не в рамках осуществления трудовых отношений между российским юридическим лицом и российским гражданином. Для каких целей эта передача осуществляется? Чаще всего такая передача осуществляется исключительно в интересах самого иностранного юридического лица – для статистических целей, аналитики, даже для принятия решений по кадровым перемещениям российских работников в рамках российского юридического лица. Но по закону прямого подчинения российского работника иностранному юридическому лицу нет. Более того, если мы говорим, что иностранное юридическое лицо действует в интересах российского юридического лица, то у нас опять же по закону требуется поручение российского юридического лица третьей стороне осуществить какие-либо действия с персональными данными. И появляется еще одна категория лиц, которые участвуют в обработке персональных данных – лицо, не являющееся оператором, но которое осуществляет соответствующую обработку (ч. 3 ст. 6 закона о персональных данных). И в этом случае так называемым заказчиком должно быть выдано исполнителю-обработчику соответствующее поручение».

Обладатель информации (например, компания, обладающая сведениями о коммерческой тайне контрагента) – то есть лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать к ней доступ (п. 5 ст. 2 Федерального закона от от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – закон об информации).

Оператор операционной системы (например, пейролл-провайдеры, которые осуществляют обработку персональных данных работников в целях администрирования и расчетов с персоналом компании) – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных, то есть собственник технических средств, используемых для обработки содержащейся в базах данных информации или лицо, с которым он заключил договор об эксплуатации информационной системы (п. 12 ст. 2, ч. 2 ст. 13 закона об информации). Под это понятие подпадают не только операторы персональных данных, но и лица, которые помогают им заниматься теми или иными вопросами.

Получается, что требования по локализации персональных данных должно выполнять любое лицо, которое имеет на основании закона право так или иначе распоряжаться соответствующей информацией вне зависимости от того, считается ли он оператором персональных данных или нет.

Обязательно ли локализовать иностранные базы данных, если персональные данные уже локализованы в России?

Из текста Закона № 242-ФЗ не вполне ясно, распространяется ли требование о локализации на случаи внесения персональных данных россиян в зарубежные базы данных, если эти данные ранее уже были локализованы. Этот вопрос актуален, прежде всего, для тех операторов, которые задействуют в своей деятельности несколько баз данных, в том числе зарубежных. В том случае, когда персональные данные уже обработаны ими на территории России, локализация каждой из таких иностранных баз данных приведет к существенному и необоснованному увеличению затрат.

В связи с этим Минкомсвязь России уточняет, если в отношении определенного набора персональных данных ранее уже были выполнены требования закона, то повторная локализация таких данных не требуется, поскольку цели закона достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории России, то впоследствии они могут вноситься оператором в принадлежащую ему электронную базу данных, находящуюся за пределами нашей страны.

Допускается ли параллельная обработка персональных данных россиян с помощью российских и зарубежных баз данных одновременно?

Минкомсвязь России придерживается мнения, что обработка персональных данных россиян на территории другого государства возможна, но только если:

такая деятельность подпадает под предусмотренные законом случаи – например, для достижения целей, предусмотренных международным договором, для осуществления правосудия, для исполнения полномочий органов государственной власти, для осуществления профессиональной деятельности журналиста и др. (п. 2-4, п. 8 ч. 1 ст. 6, ч. 5 ст. 18 закона о персональных данных);

на территории России находятся базы данных, в которых содержится равный или больший находящегося за пределами нашей страны объем персональных данных. Таким образом, если персональные данные субъекта претерпели какие-либо изменения, то уточнения необходимо внести, прежде всего, в информацию, содержащуюся в российских базах данных, и уже потом, если это необходимо, актуализировать ее за рубежом.

Допустима ли трансграничная передача персональных данных?

Поскольку Закон № 242-ФЗ не затронул положений о трансграничной передаче данных, Минкомсвязь России делает вывод, что она возможна. Персональные данные граждан, первоначально внесенные в базу данных на территории нашей страны, могут, как отметило ведомство, далее передаваться в базы данных, расположенные за пределами России с соблюдением положений о трансграничной передаче данных. Такие «вторичные» базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. Более того, Минкомсвязь России отдельно подчеркнула, что предоставление удаленного доступа к российским базам данных с территории другого государства не запрещается.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, обеспечивающим адекватную защиту прав субъектов персональных данных (ст. 3, ст. 12 закона о персональных данных).

Как определить, что персональные данные принадлежат россиянам?

Далеко не все операторы используют конкретизирующую информацию, которая могла бы подтвердить гражданство субъекта (паспортные или иные данные). Поэтому существует риск того, что ограничить круг лиц, чьи персональные данные должны быть локализованы, гражданами России не удастся.

Разрешая этот вопрос, Минкомсвязь России отметила, что поскольку вопрос о порядке определения гражданства субъектов персональных данных в нормативном порядке не урегулирован, операторы могут решать данный вопрос самостоятельно, а если этот вопрос оператором не решен, то применение требований Закона № 242-ФЗ возможно ко всем персональным данным, сбор которых был осуществлен на территории России.

На данный момент все наиболее существенные вопросы, связанные с локализацией персональных данных россиян, действительно нашли свои ответы. «Большая часть того, что было необходимо бизнесу для комфортного ведения своей деятельности, было учтено. Так или иначе я отношу эту работу к маленькой, но победе. Понимание и ясность в исполнении закона сдвинулось в нашу пользу со стороны запретительной и непонятной в сторону, очевидную к исполнению», – отмечает Интернет-омбудсмен Дмитрий Мариничев.

Однако юристы советуют не воспринимать позицию Минкомсвязи России как панацею. «Насколько комментарии ведомства можно считать официальными и подлежащими применению, остается вопросом, потому что так или иначе эти разъяснения не имеют законной силы – силы, равной закону. И со временем толкование закона может меняться. Надеемся, что в ближайшие полгода практика применения закона сложится, и уже можно будет понимать, насколько успешно закон будет функционировать», – рассуждает Дмитрий Зыков.

Надежда, что в будущем разъяснения примут характер закона, есть – работа над толкованием Закона № 242-ФЗ продолжается, и наиболее актуальные проблемы его применения становятся предметом обсуждения Временной комиссии Совета Федерации по развитию информационного общества. «На площадке комиссии мы стараемся найти ответы на все вопросы, чтобы оператору было понятнее, что делать, – делится Людмила Бокова. – И вполне возможно, что в дальнейшем сформулированные выводы найдут свое отражение в нормативном регулировании».

БЕСПЛАТНЫЙ СЕМИНАР

СПЕЦПРЕДЛОЖЕНИЕ

КОНСУЛЬТАЦИЯ

ТЕМАТИЧЕСКИЕ СТАТЬИ

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.

Основные положения Закона «О персональных данных»

  • Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
  • Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
  • В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
  • Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
  • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
  • Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
  • Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.
  • Комплекс мероприятий по обеспечению защиты персональных данных

    Организационные меры по защите персональных данных включают в себя:

  • Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
  • Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
  • Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
  • Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
  • Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.
  • Технические меры по защите персональных данных предполагают внедрение и использование программно — аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.

    Требования к информационным системам персональных данных

    Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.

    Помимо этого, детализированные требования по защите персональных данных установлены, в частности:

  • приказом ФСТЭК № 21 от 18.02.2013 г;
  • приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).
  • Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.

    Контроль за выполнением законодательства возложен на следующие органы:

  • Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
  • ФСБ – основной надзорный орган в части использования средств шифрования;
  • ФСТЭК – надзорный орган в части использования технических средств защиты информации.
  • Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

    Типичные позиции операторов персональных данных

  • ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.

  • Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.

    Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.

    “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.

    В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

    Классическая ситуация: реализовать своими силами, или приглашать консультантов?

    Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:

  • Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
  • Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
  • Может ли руководство компании оценить сроки и стоимость такого проекта?
  • Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
  • Каким образом необходимо подавать уведомление в регулирующие органы?
  • Если вышеперечисленные задачи не могут быть реализованы собственными силами, следует привлекать внешних консультантов.

    Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:

  • Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
  • Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
  • Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
  • Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
  • Построение модели угроз и модели нарушителя безопасности персональных данных;
  • Проектирование системы защиты персональных данных;
  • Закупка и внедрение средств защиты;
  • Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
  • Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;
  • А также:

  • Сопровождение проверок Роскомнадзора;
  • Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.
  • Владельцам сайтов: изменения в законе
    о персональных данных

    Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

    1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

    Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

    Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

    Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

    • Email
    • Телефон
    • Имя, фамилия, отчество (и по отдельности)
    • Адрес
    • Дата рождения
    • Фотография
    • Ссылка на персональный сайт и профиль в соцсетях
    • Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

      Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

      Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

      Какая информация должна быть в соглашении об обработке персональных данных

      Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

      наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

    цель обработки персональных данных;

    перечень персональных данных , на обработку которых дается согласие субъекта персональных данных;

    наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

    перечень действий с персональными данными , на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

    срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

    Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

    Что нужно знать о 152-ФЗ

    С 1 июля 2017 года штрафы за нарушение ФЗ-152 «О персональных данных» значительно вырастут, поэтому тем, кто работает с российской аудиторией, важно убедиться, что на сайте нет нарушений.

    Везде, где посетитель сайта оставляет свои персональные данные, он должен дать согласие на обработку этих данных. Форма обратной связи, заполнение контактов в корзине, онлайн-чаты — всё попадает под действие закона о персональных данных.

    Данный материал призван ответить руководителям отделов, руководителям частных компаний и бюджетных предприятий на следующие вопросы:

    Что регулирует закон «О персональных данных»?

    Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и тд.) персональных данных физических лиц юридическими лицами, индивидуальными предпринимателями и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать персональные данные физических лиц.

    Под персональными данными понимается любая информация, относящаяся физическому лицу. На практике даже связка «ФИО» или «имя» с «адресом электронной почты» уже относится к персональным данным.

    В организациях обрабатываются, как минимум, персональные данные следующих физических лиц: сотрудников; близких родственников сотрудников; кандидатов на вакантную должность; клиентов, являющихся физическими лицами.

    Какие бывают персональные данные?

    Персональные данные бывают разных категорий:

  • специальные персональные данные — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни — биометрические персональные данные
  • персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность
  • общедоступные персональные данные — данные, сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках
  • иные персональные данные — все персональные данные, не попавшие ни в одну из вышеуказанных категорий.
  • К обработке специальных и биометрических персональных данных предусмотрены особые требования.

    Кто попадает под действие закона?

    Под действие закона попадают все предприниматели, юридические лица и бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных. В первую очередь закон касается компаний, работающих в следующих сферах:

  • финансы и кредитование;
  • медицина и фармакология;
  • телекоммуникации;
  • образование;
  • оффлайн и онлайн ритейл;
  • гостиничное дело;
  • реклама и digital;
  • бюджетные организации и др.
  • Компании из вышеуказанных сфер деятельности наиболее часто работают с персональными данными, поэтому главный регулятор в этой сфере, Роскомнадзор, внимательно следит за ними.

    Примеры обработки персональных данных

    В первую очередь отслеживается следующие виды обработки персональных данных:

    1. Персональные данные используются для выдачи карт лояльности
    2. Персональные данные используются для рекламных и новостных рассылок
    3. Персональные данные используются для трудоустройства сотрудника и оформления ему ДМС
    4. Персональные данные используются для оказания услуг
    5. Персональные данные используются для определения кредитоспособности клиента
    6. Персональные данные используются для регистрации на сайтах и информационных системах
    7. Персональные данные данные используются для звонков потенциальным клиентам

    Какие основные требования закона?

    Для простоты требования закона «О персональных данных» к операторам персональных данных можно разделить на 4 группы:

  • Подготовить пакет организационно-распорядительной документации
  • Привести процессы работы с персональными данными в соответствие с законом
  • Реализовать техническую защиту персональных данных в информационных системах.
  • Хранить базы с персональными данными на территории Российской Федерации
  • Далее будет разобрана каждая группа требований.

    Требования закона по подготовке внутренних организационно-распорядительных документов

    Закон в ст.18.1 требует от операторов персональных данных наличие локальных актов и политик, регламентирующих обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

    При этом главный регулирующий орган в области персональных данных, Роскомнадзор, во время проверок компаний запрашивает перечень необходимых документов и сведений, которые, на практике, ему передают в виде копий внутренних документов.

    В связи с тем, что точного перечня документов не существует, каждый оператор составляет их по своему усмотрению на основании текста закона и подзаконных актов.

    Как выглядит полный перечень необходимых документов, которых достаточно для соответствия требованиям, смотрите здесь.

    Требования закона по приведению процессов работы с персональными данными в соответствие

    Персональные данные данные клиентов необходимо правильно собирать, обрабатывать и передавать.

    Со всеми физическими лицами, у которых вы собираете персональные данные, должен быть заключен договор или взято согласие на обработку персональных данных.

    С каждым третьим лицом, которому вы передаете, предоставляете в доступ или от которого получаете персональные данные, необходимо заключить соглашение о поручении персональных данных на обработку.

    Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

    В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

    Требования закона по технической защите персональных данных в информационных системах

    Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в 1С: Бухгалтерии, в базе данных сайта, CRM и других), то их необходимо защищать техническими средствами.

    Для этого необходимо определить уровень защищенности персональных данных в информационных системах, составив соответствующий акт, разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

    После этого происходит разработка проекта системы защиты и непосредственно внедрение средств защиты. Внедрением средств защиты может заняться сама компания или компания, имеющая определенную лицензию ФСТЭК России.

    Требования закона по хранению баз персональных данных на территории Российской Федерации

    С 01 сентября 2015 года действует обязательное требование закона по необходимости собирать и хранить персональные данные граждан Российской Федерации только на территории России.

    Особенно это требование касается иностранных компаний и российских компаний, чьи информационные системы полностью или частично располагаются за пределами Российской Федерации.

    Также о месторасположении баз персональных данных необходимо уведомить Роскомнадзор.

    При этом Роскомнадзор дал операторам персональных данных срок до конца февраля 2016 года, чтобы выполнить новые требования закона.

    Кем проверяется выполнение требований закона?

    Выполнение требований закона «О персональных данных» контролируют 3 государственных органа:

    • главный контролирующий орган, Роскомнадзор, который проверяет правильность обработки персональных данных и документы по персональным данным
    • ФСТЭК России, проверяющий выполнение требований по технической защите
    • ФСБ России, проверяющий выполнение требований по применению криптографии при обработке персональных данных
    • Наиболее активным из них является Роскомнадзор, который проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ не более сотни проверок гос. сектора.

      Какие основные риски при невыполнении закона?

      По итогам проверок, мер систематического наблюдения и жалоб физических лиц, Роскомнадзор и другие проверяющие органы, могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

    • наложение на организацию штрафа до 300.000 рублей
    • наложение на должностных лиц штрафа до 10.000 рублей
    • разрыв трудового договора с должностным лицом
    • запрет руководителю занимать руководящие должности на срок до 3х лет
    • блокировка сайта организации по жалобе физического лица
    • внесение компании в реестр нарушителей прав субъектов персональных данных
    • С начала 2015 года, по данным Роскомнадзора, было взыскано штрафов в общей сложности на 174.000.000 рублей с организаций и должностных лиц.

      С 01 сентября 2015 года Роскомнадзор имеет право без проверки на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

      Как лучше всего выполнить требования закона?

      Есть 5 способов выполнить требования закона:

      1. собственными силами;
      2. привлечь юриста;
      3. обратиться к системному интегратору;
      4. «ждать, пока грянет гром»;
      5. использовать сервисы автоматизированной подготовки документов по персональным данным.
      6. Далее мы рассмотрим каждый из них по отдельности.

        Как лучше всего выполнить требования закона? Собственными силами

        Один из самых доступных и дешевых способов выполнения закона — делегировать обязанности на определенного сотрудника. Но данный способ только на первый взгляд кажется таким привлекательным.

        Чтобы выполнить требования закона, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно- распорядительной документации.

        На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практики уйдет достаточно много времени, превышающее 1 и даже 2 месяца. И это время сотрудник должен заимствовать из времени, затрачиваемого на исполнение должностных обязанностей. К тому же сотрудник никогда не даст гарантии на результат и может не захотеть быть ответственным за выполнение закона.

        Как лучше всего выполнить требования закона? Привлечь юриста

        Привлечение юриста в вопросах касающихся законодательства, это то, что приходит в голову многим руководителям. Это достаточно хороший способ выполнить закон, если вы много лет работаете с юристом или юридической компанией и у них имеются необходимые знания в информационной безопасности.

        Закон «О персональных данных» относится к законодательству по информационной безопасности и его преподают соответствующим специалистам в ВУЗах.

        Для подготовки документов по персональным данным помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

        При выборе такого варианта, уточняйте у юриста, какие именно документы он будет разрабатывать, будет ли он в них отображать технические моменты и имеет ли он опыт взаимодействия с Роскомнадзором.

        Как лучше всего выполнить требования закона? Обратиться к системному интегратору

        К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

        Из плюсов данного способа можно выделить высокий уровень оказываемых услуг квалифицированными специалистами по информационной безопасности, гарантии на качество услуг и работу под ключ (разработка документации по персональным данным и внедрение технической защиты).

        К минусам данного способа можно отнести высокую стоимость (в большинстве случаем переваливающую за 1.000.000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес- процессов.

        Как лучше всего выполнить требования закона? «Ждать, когда грянет гром»

        Это способ выбирается некоторыми российскими организациями, которые не хотят решать вопрос с персональными данными.

        Из плюсов данного способа можно отметить отсутствие затрат, как финансовых, так и временных, но только в краткосрочной перспективе.

        Из минусов — то, что рано или поздно закон придется выполнить, и Роскомнадзор даже в случае наложения штрафов потребует выполнить требования закона.

        И лучше это сделать, пока требования по закону не ужесточились окончательно. Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30.000 рублей и максимальных 300.000 рублей за одно нарушение.

        Как лучше всего выполнить требования закона? Использовать сервисы автоматизированной подготовки документов по персональным данным

        Один из самых распространенных способов выполнения закона «О персональных данных».

        К плюсам данного способа относится его простота и доступность людям, не являющимися специалистами по информационной безопасности, невысокая стоимость, срок подготовки документов и консультации экспертов по безопасности. Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

        К явным минусам можно отнести то, что он не подойдет крупным государственным компаниям, и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в гос. секторе ФСТЭК России и ФСБ России.

        Почему стоит решить вопрос с выполнением требований закона «О персональных данных»

        Выполнять требования закона «О персональных данных» это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

        Многие контрагенты стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

        Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

        Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

        Смотрите еще:

        • Заявление о признании недействующими нормативных правовых актов Статья 251. Подача заявления об оспаривании нормативных правовых актов Постановлением Конституционного Суда РФ от 18 июля 2003 г. N 13-П норма, содержащаяся во взаимосвязанных пункте 2 части 1 статьи 26, частях 1, 2 и 4 статьи 251, частях […]
        • Нотариус новинский бульвар Нотариусы района Москвы Арбат Ниже представлен список нотариусов в выбранной категории. Чтобы посмотреть подробную информацию по конкретному нотариусу, кликните по ФИО нотариуса. Нотариус Афанасьева Надежда Викторовна Телефон: +7 (495) […]
        • Юристы в г Самара Юридические консультации в Самаре онлайн, помощь юриста по телефону +7(927)603-07-37 Центр правовых технологий в г. Самаре. Здравствуйте, уважаемые посетители Интернет-сайта "Центра правовых технологий" Юридическая компания сегодня — […]
        • Ст 15 закон ооо Федеральный закон "Об ООО" Федеральный закон от 8 февраля 1998 г. N 14-ФЗ"Об обществах с ограниченной ответственностью" С изменениями и дополнениями от: 11 июля, 31 декабря 1998 г., 21 марта 2002 г., 29 декабря 2004 г., 27 июля, 18 […]
        • Фед закон 152-фз Закон "О персональных данных" Федеральный закон от 27 июля 2006 г. N 152-ФЗ"О персональных данных" С изменениями и дополнениями от: 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 […]
        • Ст 112 113 ук рф Статья 112. Умышленное причинение средней тяжести вреда здоровью См. комментарии к статье 112 УК РФ Федеральным законом от 7 декабря 2011 г. N 420-ФЗ в часть 1 статьи 112 внесены изменения 1. Умышленное причинение средней тяжести вреда […]
        • Приказ мо рф по обращениям граждан Приказ Министра обороны РФ от 18 августа 2014 г. N 555 "О мерах по реализации в Вооруженных Силах Российской Федерации Федерального закона от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" Приказ […]
        • Правило богданова Богданова Екатерина Комментарии А КАК ЧИТАТЬ ПО ДИАГОНАЛЕ? Я ВОТ ПОПЫТАЛСЯ НО ЧЁТА БУКВЫ В СЛОВА НЕ СКЛАДЫВАЮТЬСЯ. Оценка 1 из 5 звёзд от Молодчага 04.11.2017 19:09 Даже по диагонали читая, все равно не смогла одолеть. Непонятно Елена […]