СОДЕРЖАНИЕ

 

СОДЕРЖАНИЕ 2

Введение 3

1. Федеральный  закон №152-ФЗ "О персональных  данных": причины и следствия 4

2. Требования  и сфера действия 152-ФЗ 6

3. Санкции и  ответственность 8

4. Федеральный закон № 261-ФЗ о внесении изменений в федеральный закон “О персональных данных” 11

5. Проблемные  вопросы при защите персональных  данных 15

6. Возможные  организационно-технические решения 17

Список литературы 20

Приложение 1. Программа  I Областной научно-практической конференции «Защита персональных данных» 21

Приложение 2. Каталог  программно-аппаратных средств «Код Безопасности» и VipNet 22 
 
 
 
 
 
 
 

 

       Введение

       6 октября 2011 года компания ЗАО  «Калуга Астрал» при поддержке  Правительства Калужской области  провела I областную научно-практическую конференцию «Защита персональных данных» по адресу: г. Калуга, пл. Старый торг, 2, конференц-зал Администрации Губернатора Калужской области.

       В работе конференции приняли участие  представители контролирующих органов  в сфере информационных технологий (Роскомнадзор, ФСБ, ФСТЭК), органов власти (Администрация Калужской области), ведущие специалисты российских компаний, занимающихся разработкой программного обеспечения в сфере защиты информации, эксперты в области информационных систем и технологий.  

         Программа конференции ориентирована  на разъяснение и последующее  обсуждение участниками основных  тенденций развития направления  защиты персональных данных в  соответствии с Федеральным законом  от 27.07.2006 № 152-ФЗ «О персональных  данных», демонстрацию программного  обеспечения и примеров его  применения для решения задач  организаций по построению эффективной  системы защиты информации, а  также презентацию специализированных  партнерских решений. Детальную программу конференции см в Приложении 1.

       В данном отчете отмечены основные требования и положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а так же дополнений и исправлений  к нему, рассмотрены установленные  законодательством РФ санкции за несоблюдение требований рассматриваемого закона и указаны информационные источники и web-порталы, касающиеся затронутой темы. 

 

       1. Федеральный закон  №152-ФЗ "О персональных  данных": причины и следствия

       27 января 2007 года вступил в силу  Федеральный закон №152-ФЗ "О  персональных данных", обязательный  для исполнения всеми, кто осуществляет  обработку персональных данных (ПДн), а это примерно 90% организаций и компаний, осуществляющих деятельность на территории России.

       Появление этого закона было обусловлено, в  первую очередь, международными требованиями. Если быть более точными, то закон  стал следствием другого Федерального Закона от 19 декабря 2005 года №160 "О  ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных". В западных странах, особенно в государствах Европейского Союза, существует дифференцированный подход к компаниям из стран с  различными стандартами охраны персональных данных. Для компаний из государств с низкой культурой обработки  приватных сведений могут создаваться  искусственные ограничения. Поэтому  в значительной мере принятие российского  закона было вызвано тем, чтобы снять  такие возможные ограничения  для деятельности российских компаний.

       Некоторая поспешность в появлении данного  закона в российском правовом поле сопровождалась практически нулевой  нормативной базой. Некоторые инструкции и руководящие документы вообще долго время находились под грифом ДСП (для служебного пользования). Первоначальные требования к операторам были крайне избыточны и могли привести к существенным финансовым затратам в части обязательного лицензирования и приобретения дорогостоящих средств защиты. Отсутствие времени на глубокую проработку закона привело к тому, что день "икс" неоднократно переносился, и в полную силу закон заработал лишь в 2011 году, спустя 4,5 года с момента принятия.

       Но  положительные аспекты появления  данного закона стали очевидны практически сразу с момента его вступления в силу. Например, практически полностью исчезли из широкой продажи базы данных по имуществу и адресным данным физических лиц, сократилось количество утечек персональных данных, значительно ужесточилась ответственность за преступления по краже личности (к примеру, в социальных сетях).

       5 июля 2011 года Государственная дума завершила рассмотрение пакета поправок к №152-ФЗ. 25 июля 2011 федеральный закон № 261-ФЗ о внесении изменений в федеральный закон “О персональных данных” был подписан президентом РФ.  Данные поправки переопределяют и уточняют некоторые основные понятия закона, а также частично снижают избыточные требования к операторам персональных данных.

       Таким образом, Россия продолжает интеграцию в мировое сообщество, в котором  персональная информация считается  несомненной ценностью, поэтому  повышение качества обработки и  сохранности персональных данных может  со временем стать необходимым условием успешного развития в любой сфере  деятельности.

 

       

       2. Требования и сфера  действия 152-ФЗ

        Действие Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" распространяется на всех операторов персональных данных, которые ведут  автоматизированную обработку сведений о физических лицах.

       Рис. 1 Операторы персональных данных.

       Согласно  закону, а также ряду подзаконных  актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы должны выполнить ряд требований по защите персональных данных физических лиц обрабатываемых в информационных системах организаций и предприятий, а также предпринять ряд действий, в числе которых:

• направление уведомления об обработке персональных данных в территориальный орган Роскомнадзора;
• получение письменного согласия субъектов персональных данных на обработку своих персональных данных;
• обеспечение должного уровня защищенности персональных данных;
• приведение ИСПДн в соответствие с нормативными требованиями.

       Уведомление об обработке персональных данных и  письменное согласие субъекта персональных данных не являются обязательными, если субъекта персональных данных с оператором связывают трудовые отношения и  если обработка персональных данных осуществляется только для исполнения договора, заключенного с субъектом, а также:

• если персональные данные являются общедоступными;
• если персональные данные включают только ФИО;
• если персональные данные необходимы только для однократного пропуска физического лица на территорию организации или в аналогичных целях;
• если обработка персональных данных осуществляется без использования средств автоматизации в соответствии с законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.

 

       3. Санкции и ответственность

       В 2010 году Роскомнадзором было проведено 1253 проверки в отношении операторов, осуществляющих обработку персональных данных, по результатам которых выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях. По результатам рассмотрения представленных материалов, судами вынесены постановления о привлечении операторов к административной ответственности в виде штрафа на общую сумму 4 480 000 рублей, что почти в 60 раз больше показателей 2009 года. Согласно порталу http://www.rsoc.ru/, где представлена информация о деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций как Уполномоченного органа по защите прав субъектов персональных данных, в Калужской области по состоянию на 30 сентября 2011 года зарегистрировано 2221 операторов ПДн. 

       Рис. 2. Проверки Роскомнадзора в отношении ОПДн. 

       Меры  ответственности за невыполнение и/или  нарушение требований закона "О  персональных данных":

       В крайних случаях, по итогам проверки о соблюдении положений ФЗ -152 "О персональных данных" помимо наложения штрафов, может начаться уголовное преследование должностных лиц.

       Кроме того, штраф накладывается за зафиксированное  нарушение. Но это не означает, что  за это же нарушение нельзя оштрафовать  снова. При фиксации нарушений выдается предписание о немедленном устранении нарушений в течение n дней. И через этот срок проверка может прийти снова и вновь наложить штрафные санкции, добавив к ним весомую ст.19.5 Административного кодекса с максимальным размером – 500 тыс рублей.

       Хотя, конечно, в большинстве случаев  самой распространенной практикой  является квалификация нарушений по ст.13.11 Административного кодекса  РФ, предусматривающая штрафные санкции  от 5 до 10 тыс. руб. 

 

       4. Федеральный закон № 261-ФЗ о внесении изменений в федеральный закон “О персональных данных”

       ФЗ  №261 внес поправки в основные определения  и термины ФЗ №152. Для сравнения  приведены статьи №3 указанных законов.

       Статья 3 ФЗ №152:

       1) персональные данные - любая информация, относящаяся к определенному  или определяемому на основании  такой информации физическому  лицу (субъекту персональных данных), в том числе его фамилия,  имя, отчество, год, месяц, дата  и место рождения, адрес, семейное, социальное, имущественное положение,  образование, профессия, доходы, другая информация;

       2) оператор - государственный орган,  муниципальный орган, юридическое  или физическое лицо, организующие  и (или) осуществляющие обработку  персональных данных, а также  определяющие цели и содержание  обработки персональных данных;

       3) обработка персональных данных - действия (операции) с персональными  данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение  (в том числе передачу), обезличивание,  блокирование, уничтожение персональных  данных;

       4) распространение персональных данных - действия, направленные на передачу  персональных данных определенному  кругу лиц (передача персональных  данных) или на ознакомление с  персональными данными неограниченного  круга лиц, в том числе обнародование  персональных данных в средствах  массовой информации, размещение  в информационно-телекоммуникационных  сетях или предоставление доступа  к персональным данным каким-либо  иным способом;