Нормативные документы по защите персональных данных. Защита персональных данных в Российской Федерации: Проблемы и перспективы

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их - ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» - спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

Причин несколько:

• Этой информации итак много в интернетах и она более-менее однозначная.
• Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
• Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
• В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
• IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма . Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:

• перечень сведений конфиденциального характера;
• инструкция администратора информационной безопасности;
• приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
• перечень персональных данных, подлежащих защите;
• приказ об утверждении мест хранения персональных данных;
• инструкция пользователей информационной системы персональных данных;
• приказ о назначении комиссии по уничтожению персональных данных;
• порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
• план внутренних проверок режима защиты персональных данных;
• приказ о вводе в эксплуатацию информационной системы персональных данных;
• журнал учета носителей информации информационной системы персональных данных;
• журнал учета мероприятий по контролю обеспечения защиты персональных данных;
• журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
• правила обработки персональных данных без использования средств автоматизации;
• положение о разграничении прав доступа к обрабатываемым персональным данным;
• акт классификации информационной системы персональных данных;
• инструкция по проведения антивирусного контроля в информационной системе персональных данных;
• инструкция по организации парольной защиты;
• журнал периодического тестирования средств защиты информации;
• форма акта уничтожения документов, содержащих персональные данные;
• соглашение о неразглашении персональных данных;
• журнал учета средств защиты информации;
• журнал проведения инструктажа по информационной безопасности;
• инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
• приказ о перечне лиц, допущенных к обработке персональных данных;
• положение об обработке и защите персональных данных;
• план мероприятий по обеспечению безопасности персональных данных;
• модель угроз безопасности в информационной системе персональных данных.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно - чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

• Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
• Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
• Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
• Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
• Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
• В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее - ПДн) - это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан. Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. "О персональных данных").

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

• своевременного обнаружения несанкционированного доступа к ПДн;
• недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
• возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
• постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн - данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн - данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта ( не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

4. Биометрические персональные данные - информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и , защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

1. Гарантии - совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

• свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
• определение личного представителя для защиты своих персональных данных;
• получение полной информации о ПДн и их обработке;
• выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
• обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и , персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей - для физических лиц; от 5000 до 10000 рублей - должностных лиц, от 20 тысяч до 50 тысяч рублей - для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей - для физических лиц, от 4 до 5 тысяч рублей - для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

• штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
• исполнительных работ на срок до 12 месяцев;
• ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

• штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
• лишения права занимать определенные должности на срок от 2 до 5 лет;
• ареста на срок от 4 до 6 месяцев.

Александр

Здравствуйте! Посмотрел свою кредитную историю, которая собирается на данных бюро кредитных историй. Вижу, что по мне делали запросы в БКИ без моего согласия два банка. У одного из них и моих персональных данных быть не должно. Законны ли запросы в БКИ этих двух банков? Что делать?

Сергей (старший юрист)

Здравствуйте, Александр! В соответствии с законом о кредитных историях банки могут делать запросы о кредитных историях граждан только при условии наличия на это их согласия. Это прямо прописано в ст. 6 указанного закона. Поэтому без получения Вашего согласия такие запросы являются незаконными.

Дмитрий

Здравствуйте. некое ООО "благоустройство" рассылает платежки с указанием моих ФИО адрес,кол-во прописанных и зарегистрированных людей при этом ни договора на обслуживание ни договора на обработку персональных данных я не подписывал. не нарушают ли они закон

Сергей (старший юрист)

Здравствуйте, Дмитрий! Распространение персональных данных людей таким образом, чтобы они стали доступными для неограниченного числа лиц является нарушением законодательства. В зависимости от обстоятельств дела это может быть квалифицировано как административное правонарушение или уголовное преступление.

Анна

Добрый день! Подскажите пожалуйста, представитель управляющей компании создал общую группу в вацапе, куда были добавлены все жители нашего дома. Соответственно данная группа содержит информацию по номерам телефонам всех жильцов. Имеет ли право управляющая компания создавать такие группы и открывать данные по номерам телефонов жителей, а также их ФИО без их согласия? По договору с управляющей компании, она имеет право передавать информацию по персональным данным третьим лицам только в целях выполнения своих обязанностей по договору

Сергей (старший юрист)

Здравствуйте, Анна! Право на создание групп в социальных сетях и мессенджерах имеют все граждане в соответствии с условиями пользования таких мессенджеров и социальных сетей. Скорее всего, в данную группу были приглашены жильцы дома, которые могут всегда отказаться от участия в такой группе. Кроме того, не доказано, что создание группы не направлено на достижение целей по выполнению обязательств управляющей компании перед жильцами. Поэтому в данной ситуации очень спорно наличие нарушения законодательства о персональных данных.

Дмитрий

Здравствуйте, ранее привлекался к уголовной ответственности, может ли работодатель запросить данные из полиции?

Сергей (старший юрист)

Здравствуйте, Дмитрий! Запросить, конечно, может, но ему могут ответить отказом, так как у него нет права на получение данной конфиденциальной информации. Но у работодателя всегда есть возможность получить информацию о Вас через неофициальные каналы. Поэтому при желании он всегда сможет получить нужную информацию о кандидате на работу.

Евгений

Здравствуйте, работаю водителем общественного транспорта, руководство обязывает по громкой связи в салон при входе пассажиров объявлять свою Ф.И.О, является ли это нарушением закона о защите персональных данных? Могу ли я отказаться делать это?

Сергей (старший юрист)

Здравствуйте, Евгений! Если Вы согласитесь это делать, то никакого нарушения не будет, так как соответствующую информацию Вы сообщили добровольно. Но Вы можете отказаться от этого, если в трудовом договоре или других обязательных для Вас документах (например, должностная инструкция) нет такой обязанности. Насколько нам известно, на федеральном уровне такой обязанности у водителей нет.

Игорь

Добрый день, у нас в WhatsApp есть закрытая группа людей связанных определённой профессией. Для идентификации и понимания с кем мы общаемся мы попросили всех участников написать имена и фамилии, а также предоставить свою фотографию. Является ли это правомерным? Пояснение Группа создана для общения и помощи друг другу в работе. Так же в группе есть определённые правила, например о том что запрещено передавать переписку и данные пользователей третьим лицам.

Сергей (старший юрист)

Здравствуйте, Игорь! Если граждане самостоятельно будут выкладывать свои данные (которые могут быть и недостоверными), то никакого нарушения персональных данных тут не будет.

Алексей

Здравствуйте! Недавно в приложении тинькофф-банк на айфоне нашёл возможность пригласить друзей оформить карту. Функционал приложения предполагал просто нажатие кнопки "пригласить" напротив контактов телефонной книги, после чего номера телефонов, как я понимаю, отправлялись в банк и операторы банка звонили по этом номерам и предлагали оформить карты. Перед отправкой приглашений мне нигде не предлагалось ставить никаких галочек о передаче моих перс. данных, однако операторы банка обзваниваемым людям говорили не только что их телефон банку дал Алексей, но и называли мою фамилию. Сразу хочу оговорить, что моя фамилия очень редкая, в моём регионе (нижегородской области) я единственный носитель этой фамилии, да и в России тоже мало у кого такая фамилия. На следующий день я начал получать претензии от своих знакомых что Я (разумеется, они поняли, что это я) дал их номера банку. Я обратился в банк с претензией о нарушении закона 152-фз, однако юристы банка мне сказали, что фамилия не является персональными данными, позволяющими идентифицировать человека как физ.лицо, что они (банк) ничего не нарушают, а мои знакомые после общения с операторами банка определили меня лишь на основании "личных предположений" - вот их цитата: "Это личные предположения Ваших знакомых, как они поняли, что это именно Вы предоставили номер, неизвестно.", вот ещё их первый ответ: "Согласно ФЗ №152 под персональными данными понимается любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Фамилии и имени недостаточно, чтобы отнести данные к конкретному лицу. Таким образом, нарушения законодательства нет, как Вам ранее сообщали сотрудники." Скажите, пожалуйста, есть ли в данном случае нарушение закона 152-фз и есть ли смысл мне идти в суд и привлекать людей, которые после общения с операторами банка определили мою личность, как свидетелей по данному делу.

Сергей (старший юрист)

Здравствуйте, Алексей! Возможно, что Вы уже дали согласие на обработку своих персональных данных, установив приложение Тинькофф-банка. Посмотрите внимательно условия лицензионного соглашения к данному приложению. Думаю, Вы будете неприятно удивлены. Поэтому с большой долей вероятности можно утверждать, что формального нарушения закона о персональных данных в Вашей ситуации нет.

Александр

Мне позвонил некий сотрудник консалтинговой фирмы, представился и сказал, что когда-то он работал в некотором банке и при моем обращении на горячую линию этого банка помогал мне в некоторых операциях. На тот момент он являлся сотрудником банка и, соответственно, имел доступ к моим персональным данным. Скажите, его звонок как представителя фирмы, где мои данные (ФИО, телефон) появились незаконно, не подтверждает факт несанкционированной передачи моих персональных данных, т.е. нарушение Закона о персональных данных.

Сергей (старший юрист)

Здравствуйте, Александр! В данном случае, скорее, речь идет о неправомерном действии конкретного сотрудника, который мог воспользоваться имеющимся у него доступом к базе персональных данных клиента банка. В любом случае он не имел права копировать базу данных клиентов банка и использовать ее для работы в коммерческой организации.

Анна

Здравствуйте. Скажите пожалуйста, согласие на обработку ПД подписывается один раз при получении какой-либо услуги в больнице, или при каждом обращении?

Сергей (старший юрист)

Здравствуйте, Анна! Для точного соблюдения закона требуется, чтобы при каждом предоставлении персональных данных пациент давал согласие на их обработку. Но в то же время закон о персональных данных позволяет сделать вывод о том, что если человек уже неоднократно обращался к определенному оператору обработки персональных данных и уже предоставлял соответствующие персональные данные, то при отсутствии новых персональных данных получать согласие не требуется. Но для перестраховки больницы могут каждый раз требовать подписывать согласие на обработку персональных данных.

михаил

Высылаю алименты почтойимеется исполнительный лист, не указывая свое место работы,ежемесячноимеется задолженность, без просрочек, есть ли основание для вскрытия моей личной базы данных, бывшей женой, если я не являюсь злостным не плательщиком?

Сергей (старший юрист)

Здравствуйте, Михаил! Сторона исполнительного производства вправе знакомиться с материалами такого производства, в том числе содержащимися там персональными данными должника. Но при этом взыскатель по исполнительному производству не вправе разглашать такую информацию третьим лицам.

Елена

Здравствуйте! В сети в интернет в различных группах в открытом доступе гражданин,с которым у меня судебные разбирательства, выкладывает фотоматериалы из дела, в том числе с моими персональными данными ФИО, адрес, год рождения. Можно ли данного гражданина как-то привлечь к ответственности например за разглашение моих персональных данных? Спасибо

Сергей (старший юрист)

Здравствуйте, Елена! В действиях гражданина имеется факт нарушения Ваших персональных данных. Вы можете обратиться в прокуратуру или полицию для решения вопроса о возбуждении уголовного дела или привлечения гражданина к административной ответственности.

Иван Иванович

Является ли передача данных с видеокамер, администрацией рынка частному лицу, нарушением закона о персональных данных относительно меня.

Сергей (старший юрист)

Здравствуйте, Иван Иванович! Смотря для каких целей была передана запись. Если для раскрытия правонарушения или преступления, то такие действия не являются противоправными. Кроме того, само по себе видеоизображение территории, на которой находятся определенные лица, не содержит в себе никаких персональных данных и не позволяет идентифицировать человека по его фамилии, имени, адресу и т.д.

Александр

Здравствуйте! Некая организация, считающая, что я должен ей денег, хотя никаких договоров мы не заключали, прислало мне претензию открытым письмом, на листе бумаги, который попал не в мой почтовый ящик, по вменяемому долгу с указанием ФИО, адреса и суммы долга с пенями. Есть ли в этом факт нарушения моих прав на защиту персональных данных?

Сергей (старший юрист)

Здравствуйте, Александр! Нарушения законодательства о персональных данных нет, так как это письмо адресовалось именно Вам и отсутствуют доказательства умышленного распространения персональных данных. Кроме того, не известно, по какой именно причине письмо попало в чужой почтовый ящик. Может быть, это ошибка разносчика.

Александр

Здравствуйте, Сергей! А разве должностное лицо не запечатывая письмо с персональными данными не создаёт умышленно условия для их разглашения?

Сергей (старший юрист)

Нет. Письмо адресовалось Вам, а не размещалось для публичного обозрения. Конечно, Вы можете попытаться доказать обратное, но на это потребуется много времени и денег.

Олег Богородский

На одном из сайтов по биржевой торговле требуют пройти верификацию счёта с предоставлением фотокопии паспорта первой страницы и с пропиской, а также документ подтверждающий прописку. Правомерно ли это.

Сергей (старший юрист)

Здравствуйте, Олег! Ничего противозаконного в установлении личности пользователя нет. Более того, законодательство о противодействии отмыванию преступных доходов обязывает отдельные организации принимать меры по верификации своих клиентов.

Евгения

Добрый день! Работаю в снт бухгалтером. В ходе прокурорской проверки председатель затребовал от меня и кассира объяснительные записки, в которых мы указали свои фио и должности. В результате делопроизводитель выложил в общий чат снт наши объяснительные без нашего согласия и уведомления. Существует ли в этом случае нарушение персональных данных и чести и достоинства со стороны делопроизводителя?

Сергей (старший юрист)

Здравствуйте, Евгения! Формально имеется нарушение законодательства о персональных данных, но вот говорить о нарушении чести и достоинства этим фактом нельзя. Для этого должны быть более веские основания.

Андрей

Добрый день Елена. Коллега занимался соисканием новой должности. Фирма после изучения его резюме предложила пройти собеседование. В течение этого взаимодействия с работниками кадровой службы фирмы, как потом выяснилось они записывали все телефонные переговоры безведома коллеги. Результатом работы с кадровиками стали некоторые предварительные договоренности об условиях работы в новой должности. Когда пришло время уходить со старого места работы, коллеге действующее руководство предложило повышение в должности и более выгодные условия, и он принял решение остаться на старом месте работы. Свое решение сотрудник сообщил и фирме, спустя некоторое время на старое место работы пришло письмо от фирмы с приложением телефонных разговоров коллеги и письмом поясняющим обстоятельства этих переговоров. Вопрос: Возможно ли привлечь фирму должностных лиц за совершенные ими действия, если возможно, какая ответственность предусмотрена законом. С уважением, Андрей

Сергей (старший юрист)

Здравствуйте, Андрей! В действиях данной организации и ее должностных лиц имеются признаки преступления, предусмотренного ч. 2 ст. 138 УК РФ, то есть нарушение тайны телефонных переговоров. Надо писать заявление в следственный комитет РФ о возбуждении уголовного дела.

Юля

Скажите пожалуйста. Мой бывший муж в стадии алкогольного опьянения протаранил своим внедорожником мою машину. Сын в это время все снимал на телефон. Вызвали полицию. Полиция попросила скинуть на флешку снятое видео. На следующий день в Контактах появилась фейковая страница, и выложено это видео. городок у нас маленький, опозорились, у 12 летней дочери нервный срыв. Больше видео кроме ментов не кому не показывалось и не скидывалось, налицо дело рук ментов. Скажите правомерны ли их действия, если нет, то куда обращаться?

Сергей (старший юрист)

Здравствуйте, Юля! Действия однозначно являются противозаконными. Вам необходимо обратиться к начальнику местного РОВД для организации проведения служебной проверки по факту распространения материалов, составляющих тайну предварительного следствия. Также можно обратиться в прокуратуру с жалобой на действия сотрудников полиции.

Александр

При ознакомлении с материалами проверки по моему заявлению сотрудники полиции отказываются предоставить мне для ознакомления объяснение человека, в отношении которого мной написано заявление, ссылаясь на закон о персональных данных. Законно ли поступают в данной ситуации сотрудники полиции. Если нет, предусмотрена ли за это какая-то ответственность? Спасибо.

Сергей (старший юрист)

Здравствуйте, Александр! Действия сотрудников полиции являются незаконными, так как Вы имеете право в соответствии с УПК РФ знакомиться со всеми материалами проверки, касающимися Вас лично. Как минимум, подобные действия полицейских нарушают УПК РФ, что может быть основанием для их привлечения к дисциплинарной ответственности.

Наталья

Здравствуйте! На работе сложилась неприятная ситуация!!! Мой непосредственный начальник дал мне указание выписать из личных карточек форма Т-2 конкретных работников сведения о ФИО, дате рождении, месте проживания и номере телефона - для отчёта. Выписка была произведена в присутствии кадрового работника. Директор в настоящее время проводит служебную проверку и пытается наложить дисциплинарное взыскание за работу с "личными делами". Пояснения моего начальника и мои в расчёт не берутся - нужна "кровь". При трудоустройстве все сотрудники подписывают Согласие на обработку персональных данных. Грозит ли мне дисциплинарное взыскание, если информация была изъята по устному распоряжению моего непосредственного руководителя, для формирования отчёта. Разглашение информации каким бы то ни было третьим лицам, в моих ЛИЧНЫХ интересах! не было. Хотелось бы получить ответ со ссылкой на нормативные акты, для предоставления комиссии по служебной проверке. Спасибо!

Сергей (старший юрист)

Здравствуйте, Наталья! Формально Вы и Ваш непосредственный руководитель нарушили законодательство, так как к персональным данным работников доступ может иметь только специально уполномоченное лицо. Это предусмотрено ст. 88 Трудового кодекса РФ. Поэтому для выстраивания Вашей позиции защиты надо изучить все локальные документы относительно персональных данных и Вашу должностную инструкцию и трудовой договор.

Оксана

Здравствуйте. На работе оставила на столе свои резюме. Сотрудница без моего ведома взяла один экземпляр и передала руководителю.Спустя месяц мне руководитель сказала, что "Случайно" нашла резюме в интернете, хотя это полная ложь, данное резюме у меня существует только в виде файла. Могу ли я привлечь к ответственности сотрудника?

Сергей (старший юрист)

Здравствуйте, Оксана! Оснований для привлечения сотрудницы к ответственности нет, так как она целенаправленно не собирала сведения о Вашей частной жизни, не доводила до сведения широкого круга лиц полученные о Вас сведения. Кроме того, возможность распространения Ваших персональных данных появилась вследствие Вашей неосторожности. Да и в суде Вы не сможете доказать, что именно эта сотрудница взяла и передала руководству Ваше резюме, если, конечно, они сами не признаются в этом.

Светоана

Моя мама обратилилась в районое отделение пенсионного фонда за получением надбавки к пенсии. Там ей сказали что неоходимы оригиналы свидетельств о рождении на детей. При этом сказано что "если не получиться то документы выбросят".куда обратится для привлечения к ответственности работника в случае утраты имдокументов, может при подаче документов необходимо написать список предоставляемых документов иначе потом не докажешь что они были?Какая предусматривается ответственность за утрату дркументов?

Сергей (старший юрист)

Здравствуйте, Светлана! По меньшей мере факт утраты документов будет образовывать дисциплинарный проступок, за который виновное лицо должно понести ответственность от своего начальства вплоть до увольнения. В самых неблагоприятных случаях можно попытаться привлечь чиновника к уголовной ответственности за халатность, но это маловероятно, так как будет необходимо доказать наличие факта причинения значительного ущерба охраняемым законом правам и интересам граждан.

Ирина

Здравствуйте! Работаю в ЧОО. На одном из КПП установлена камера видеонаблюдения,на этом же КПП было нарушение пропускного режима. Я засветилась на видео. Работодатель собрал всех охранников и показал это видео! Правомерны ли его действия? Документ о персональных данных я подписывала,но года 2 назад! Моё согласие на обзор этого видео никто не спрашивал... Что я могу предъявить работодателю?

Сергей (старший юрист)

Здравствуйте, Ирина! В действиях работодателя никакого нарушения нет, так как этим видео никакие Ваши персональные данные не разглашаются. Кроме того, на видео, скорее всего, не специально запечатлены именно Вы, а КПП, являющееся центром фокуса. Поэтому шансы что-то отсудить у работодателя практически равны нулю.

талияНа

сотрудница забежала ко мне в кабинет, назвала меня старой каргой, змеей, пожелала уходить на пенсию и пить с мужем чай. Заведующая не дает мне домашний адрес этой сотрудницы, чтобы я указала его в исковом заявлении об оскорблении личности, ссылаясь на защиту персональных данных. Как мне быть?

Сергей (старший юрист)

Здравствуйте! Действия начальницы являются правомерными, так как без согласия человека нельзя разглашать его персональные данные. Для получения домашнего адреса Вы можете сначала написать заявление в полицию, которая при получении объяснения с этой женщины узнает ее домашний адрес. Вы потом можете ознакомиться с материалами проверки.

Дмитрий

Здравствуйте. я Работаю в системе образования. Недавно органы власти областного уровня спустили сверху указание собрать сведения о родителях части воспитанников Ф.И.О и паспортные данные для того чтобы компенсировать расходы на питание в учреждении. Дело-то хорошее, но вот насколько законно с нашей стороны собирать такие данные?

Сергей (старший юрист)

Здравствуйте, Дмитрий! Сбор подобных данных не будет содержать признаков какого-либо правонарушения, если родители добровольно согласятся предоставить такую информацию. Если Вы им объясните для каких целей необходимы сведения, то, думаю, все родители правильно поймут Вас.

Ольга

Здравствуйте! Я главбух на предприятии. Сотрудница взяла кредит, указала телефон сменщицы кроме своего. Кредит не оплачен. При очередном звонке о задолженности сменщица указала мой личный сотовый телефон. Из вредности. Теперь кредит справляют с меня. Постоянно звонки и смс. На мои объяснения не реагируют. К кредиту отношения не имею совершенно. Как это прекратить? Что мне сказать или написать банку? И возможно привлечь к ответственности физлицо за разглашение моего телефона. Спасибо!

Сергей (старший юрист)

Здравствуйте, Ольга! Вы можете сказать при следующем звонке о том, что обратитесь в уполномоченные органы с заявлением о привлечении банк к административной ответственности за нарушение законодательства о персональных данных. Также можно написать в банк заявление о прекращении обработки Ваших персональных данных. С сотрудницы, которая оставила Ваш номер телефона, Вы можете потребовать компенсации морального вреда в судебном порядке.

Аннотация: Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора:

• Роскомнадзор (защита прав субъектов персональных данных)
• ФСБ (требования в области криптографии)
• ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

Так как ФЗ "О персональных данных" является лишь основой правового обеспечения защиты ПД, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов.

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные , касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

• субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
• обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
• обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия .

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной стороны, она характеризует физиологические особенности человека. Но человек с течением времени может сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

1. Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:
   • цель обработки ПД
   • способы обработки ПД
   • сроки обработки ПД
   • перечень допущенных к обработке ПД лиц
   • перечень обрабатываемых ПД и источник их получения
   • сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

   Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

2. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.
4. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

2.4. Обязанности оператора персональных данных

Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой персональных данных . Исходя из определения, можно сделать вывод о том, что все без исключения организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают сведения о своих клиентах, подрядчиках, поставщиках и партнерах в рамках своей основной деятельности. Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и,собственно, защита ПД.

Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:

1. если его связывают с субъектом трудовые отношения;
2. если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
3. если данные относятся к членам религиозных объединений и общественных организаций и обрабатываются в соответствии с учредительными документами и с законом.
4. если данные являются общедоступными;
5. если включают в себя только ФИО;
6. данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
7. если данные включены в федеральные автоматизированные информационные системы и государственные информационные системы персональных данных;
8. если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:

1. Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
2. Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
3. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.
4. Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

   Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

   Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

5. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ.

Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

1. обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
2. оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
4. обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
5. обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях оператор должен соблюдать требования российского законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

Об Уполномоченном органе по защите прав субъектов персональных данных подробно говорится в статье 21 законопроекта, а в некоторых других статьях законопроекта есть на него ссылки.

Как уже было сказано, во многих странах мира существуют уполномоченные по защите персональных данных и частной жизни или соответствующие комиссии/комитеты. Их главная задача – контроль над исполнением законодательства в этой области. Статус, структура и компетенция уполномоченных органов определяются в тех же законах о персональных данных и частной жизни. В большинстве законов (например, в Чехии, Дании, Австрии, Словакии, Польше и др.) это сделано подробно, в некоторых лишь закреплены общие положения (как, например, в Швеции). Российский законопроект близок ко второму варианту, однако, на наш взгляд, то, что касается Уполномоченного органа по защите прав субъектов персональных данных (далее будем называть его просто "Уполномоченный орган"), написано слишком кратко и расплывчато даже для этого варианта. Между тем, в финансово-экономическом обосновании к законопроекту сказано, что штат Уполномоченного органа составит 50 человек, и дана оценка бюджетным расходам на его функционирование. Отсюда видно намерение создать Уполномоченный орган непосредственно после принятия закона о персональных данных. Однако главное – статус, структура и компетенция Уполномоченного органа – почти не описаны. Было бы логично и последовательно конкретизировать их в законодательстве (как, например, в случае Уполномоченного по правам человека в Российской Федерации). Это сделает более реальными и прозрачными контрольно-надзорные, просветительские и иные функции Уполномоченного органа. Как следствие, это позволит ему завоевать доверие у людей и сделать возможным эффективное использование закона гражданами для защиты своих прав. Ведь не секрет, что российские граждане в целом критически относятся к государственным органам . Отсутствие в законодательстве целого ряда важных моментов, непосредственно касающихся Уполномоченного органа, мягко говоря, не прибавляют ему авторитет.

Статус, структура и компетенция Уполномоченного органа могут быть определены как в настоящем законе (предпочтительный вариант), так и в подзаконных актах, которые необходимо принять незамедлительно после вступления настоящего закона в силу.

Базовым свойством, определяющим статус Уполномоченного органа, является его независимость. Это свойство вытекает из самого смысла деятельности Уполномоченного органа, призванного способствовать устранению и предупреждению нарушений законодательства о частной жизни, допускаемых, в том числе, и государственными структурами. Есть естественные и понятные различия в подходах к защите прав человека органа, созданного и функционирующего в рамках исполнительной власти, и независимой структуры, например, такой как Уполномоченный по правам человека. Опираясь и в том и в другом случае на закон, правительственный орган не может избежать влияния "своего" министерства и других органов власти, в то время как независимый уполномоченный орган исходит, прежде всего, из неотъемлемых прав человека. Поскольку основной функцией Уполномоченного органа является защита прав субъектов данных (то есть, работа с обращениями и жалобами конкретных лиц), а одним из нарушителей прав граждан и норм закона неизбежно будут государственные структуры, Уполномоченный орган должен быть независимой структурой. В противном случае, он не сможет выполнять свою миссию. Заметим, что и Уполномоченный по правам человека в Российской Федерации "при осуществлении своих полномочий независим и неподотчетен каким-либо государственным органам и должностным лицам".

Независимый статус уполномоченных по защите персональных данных закреплен в соответствующих законах разных стран мира. Уполномоченный орган может быть назначаем парламентом страны, правительством или президентом, однако практически всегда закон придает ему независимый статус. Уполномоченный орган обязан ежегодно публиковать отчеты о своей работе, но должен руководствоваться законом о защите данных, а не инструкциями и пожеланиями исполнительной власти. Решения Уполномоченного органа обычно не могут быть обжалованы в каких-либо государственных структурах, кроме суда. Финансирование Уполномоченного органа идет отдельной строкой в бюджете.

Требования Европейского Союза относительно соблюдения персональных данных в странах-членах ЕС включают создание надзорных органов по соблюдению законодательства о защите частной жизни. Особо подчеркивается независимый статус создаваемых органов .

Таким образом, механизмы отработаны годами. И раз уж новый закон "О персональных данных" перенимает лучшие международные принципы защиты персональных данных, законодателям нужно быть последовательными и принять основной принцип всех европейских законов о защите персональных данных: наделить надзорный орган независимым статусом.

В законопроекте это сделано лишь отчасти, косвенно: в п.5 ст.21 речь идет о возможности обжалования решений Уполномоченного органа в суде.

В российском законодательстве независимый статус Уполномоченного органа может быть изложен подобным образом:

При осуществлении своих функций Уполномоченный орган по защите прав субъектов персональных данных действует независимо. Его решения в соответствии с настоящим законом не могут быть обжалованы в порядке подчиненности.

Какие требования следует предъявить к человеку, который возглавит Уполномоченный орган? От этого, в значительной степени зависит доверие людей к структуре, призванной, согласно законодательству, на защиту их прав. Глава Уполномоченного органа должен, как минимум:

а) быть гражданином Российской Федерации, постоянно проживать на ее территории,

б) иметь высшее образование и значительный (допустим, не менее пяти лет) профессиональный опыт работы в области юриспруденции и/или информационных прав,

в) иметь познания в области защиты права на неприкосновенность частной жизни и персональных данных;

г) не иметь судимостей.

Авторитетный и высокопрофессиональный глава Уполномоченного органа с безупречной репутацией формирует лицо всей команды сотрудников Уполномоченного органа. В стране, где традиционно большое значение придается личности-лидеру, это особенно важно.

Вполне логично выглядело бы в этом свете и требование к главе Уполномоченного органа не состоять ни в каких партиях, не совмещать работу в Уполномоченном органе с работой на иных должностях и с коммерческой деятельностью. (Исключение может быть сделано для преподавательской и научной работы). Аналогичные требования (см. также предыдущие два абзаца) могут распространяться (помимо главы) на тех сотрудников Уполномоченного органа, которые занимают в нем ключевые позиции.

О том, как должен формироваться состав Уполномоченного органа, в законопроекте ничего не сказано. Фактически, сформулировать этот порядок поручено Правительству РФ. В законопроекте не зафиксированы, в частности, правило сменяемости главы Уполномоченного органа и максимальный срок его пребывания в этой должности. Неясно, кто вообще имеет право выдвигать кандидатуры сотрудников Уполномоченного органа. Таким образом, не исключена ситуация, когда Уполномоченный орган будут составлять не избираемые и сменяемые люди, соответствующие опубликованным открыто критериям профессиональности и личных качеств, а назначаемые на неопределенный срок сотрудники министерства.

Не обойтись и без описания структуры Уполномоченного органа. Так, например, вполне очевидна разница между работой по консультированию граждан (по вопросам защиты их прав), юридическим анализом законопроектов (которые затрагивают персональные данные) и просветительской деятельностью (например, подготовкой изданий и веб-сайтов, рассказывающих гражданам об их праве на неприкосновенность частной жизни). Очевидно, заниматься этим будут разные люди в рамках Уполномоченного органа. Но структура Уполномоченного органа может быть определена и в подзаконном акте, в то время как основные принципы, гарантирующие независимость и обеспечивающие авторитет Уполномоченного органа – см. выше – следует закрепить в федеральном законе.

Теперь посмотрим, что сказано в законопроекте о компетенции Уполномоченного органа (ст. 21 законопроекта).

В п.2 этой статьи говорится: "Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение". Данное положение ограничивает возможности субъектов персональных данных. Ведь речь может идти не только о соответствии содержания и способов обработки персональным данным целям их обработки, но и о других нарушениях. Примером может служить отказ оператора в предоставлении субъекту данных доступа к своим персональным данным. Следует закрепить в законопроекте право субъекта данных на обращение к Уполномоченному органу во всех случаях, когда, по мнению субъекта данных, в его отношении имеет место нарушение настоящего закона.

Соответственно, изменения следует внести и в п. 3.2 ст. 21: к компетенции Уполномоченного органа следует отнести не только проверку сведений, предоставляемых оператором, но и в целом проверку соблюдения положений федерального закона "О персональных данных".

В законопроекте следует предусмотреть право законных представителей Уполномоченного на беспрепятственный доступ к информационным системам операторов и в помещения, где производится обработка персональных данных, а также на проверку любых устройств, носителей данных и компьютерных систем, используемых для обработки данных. В противном случае становится невозможным эффективное реагирование на жалобы граждан на нарушения закона "О персональных данных" (например, если жалоба касается хранения данных сверх необходимого срока или отсутствия надлежащей защиты данных). Уполномоченный орган должен иметь возможность не только запросить информацию у оператора (за несколько дней, отводимых законом оператору на составление ответа, тот имеет возможность изменить информационную систему и/или персональные данные таким образом, что всякая жалоба потеряет смысл, либо просто дать неполный ответ или иным способом тянуть время), но и осуществлять самостоятельную проверку соблюдения положений закона "О персональных данных" без предварительного уведомления оператора . Соответственно, оператор данных обязан не препятствовать Уполномоченному органу в осуществлении его законной деятельности и предоставлять ему все возможности для проверки.

Одновременно с этим в целях большей прозрачности деятельности Уполномоченного органа в законопроект следует ввести обязанность Уполномоченного органа соблюдать определенную процедуру при проведении проверки, в частности, знакомить и субъекта персональных данных, и оператора данных с результатами проверки .

В статье 21 упоминается право Уполномоченного органа требовать "уточнения (исправления), блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных". Однако, недостоверные и полученные незаконным путем – не исчерпывающе определение. Например, нарушением является ситуация, когда персональные данные (достоверные и полученные законным путем) не уничтожаются, несмотря на законный протест субъекта данных, или передаются третьему лицу, несмотря на отсутствие согласия субъекта данных. Другим примером является передача данных: может ли Уполномоченный орган запретить передачу данных, если это нарушает требования закона, не прибегая при этом к административному наказанию? Очевидно, Уполномоченный орган должен иметь такую возможность. Третий пример: может ли Уполномоченный требовать от оператора данных обеспечить адекватный уровень защиты персональных данных (не блокировать, исправлять или уничтожать), если таковая необходимость существует? Полагаем, что Уполномоченный должен иметь на это право. Таким образом, следует распространить право Уполномоченного органа требовать от оператора скорейшего выполнения требований настоящего закона во всех случаях, когда Уполномоченным органом выявлены нарушения. Можно составить список допустимых решений, принимаемых Уполномоченным органом, однако этот список вряд ли стоит делать закрытым, чтобы не создавать искусственных ограничений для Уполномоченного органа и не лишать его возможности законными способами решать возникающие конфликты.

Соответственно, в главу 4 следует внести обязанность оператора реагировать на решения Уполномоченного (сейчас в ст.19 закреплена обязанность оператора принимать меры только по обращению субъекта персональных данных).

В законопроекте не упомянута крайне важная экспертная функция Уполномоченного органа. Она входит в компетенцию почти всех аналогичных структур (в тех странах, где они есть) и позволяет специалистам в области защиты права на неприкосновенность частной жизни быть вовлеченными в процесс принятия решений и предотвращать ситуации, когда по недосмотру или в результате некомпетентности это право может оказаться под угрозой. В статью 21 следует добавить пункт:

Уполномоченный орган по защите прав субъектов персональных данных анализирует законы и нормативные правовые акты, а также их проекты, которые затрагивают права субъектов персональных данных, и дает свои рекомендации.

Формулировка этого пункта должна предусматривать, что никакой закон, непосредственно связанный с вторжением в частную жизнь граждан или со сбором, обработкой и передачей персональных данных, не должен и не может быть принят "в обход" Уполномоченного органа. Не менее важным правом Уполномоченного органа является право предлагать законопроекты и поправки к законам, касающиеся защиты прав субъектов персональных данных.

Уполномоченный орган осуществляет экспертную функцию не только в отношении законопроектов, но и в том, что касается взаимоотношений между субъектами данных и операторами. В настоящем законопроекте это закреплено в п.2 ст. 17:

"...Уполномоченный орган по защите прав субъектов персональных данных разрабатывает и утверждает требования к процедурам хранения, обмена и защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных".

Это весьма разумное положение. Уполномоченный орган (как это делается в некоторых странах) может разрабатывать модельные “Кодексы приватности” – сборники руководящих принципов по соблюдению положений Закона “О персональных данных” в разных сферах общественной жизни . Эти рекомендации помогают сторонам выстраивать свои взаимоотношения в соответствии с духом и буквой закона и не создавать почву для претензий и конфликтов. Уполномоченный орган также может анализировать уже подготовленные оператором или профессиональным сообществом операторов “Кодексы приватности” и давать свои рекомендации .

Возможно, следует расширить компетенцию Уполномоченного, вывести его действия за рамки составления требований ("Кодексов приватности"). Сформулировать это можно следующим образом:

Уполномоченный орган по защите прав субъектов персональных данных анализирует материалы и публикации относительно защиты лиц при сборе, обработке и передаче персональных данных; по просьбе любого лица, организации или государственного органа дает рекомендации по вопросам, связанным с защитой основных прав и свобод при сборе, обработке и передаче персональных данных .

В числе функций Уполномоченного органа по защите прав субъектов персональных данных следует упомянуть и международное сотрудничество. Это поможет сразу ввести российских представителей в “международный клуб” уполномоченных по защите персональных данных и частной жизни, который проводит ежегодные встречи , обменивается опытом и т.д. Участие российского Уполномоченного органа было бы интересно и полезно как для России, так и для аналогичных структур в других странах.

Уполномоченный орган по защите прав субъектов персональных данных сотрудничает с аналогичными структурами разных стран и международными организациями в сфере защиты персональных данных .

Трансграничная передача персональных данных

Глава 2 Принцип и ограничения обработки перс данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(в ред. Федерального закона от 25.11.2009 N 266-ФЗ)

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись субъекта персональных данных.

(в ред. Федерального закона от 27.07.2010 N 227-ФЗ)

4.1. Порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, определяется Правительством Российской Федерации.

(в ред. Федерального закона от 27.07.2010 N 227-ФЗ)

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(в ред. Федерального закона от 25.11.2009 N 266-ФЗ)

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";

(в ред. Федерального закона от 27.07.2010 N 204-ФЗ)

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации;

8) обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования.

(в ред. Федерального закона от 29.11.2010 N 313-ФЗ)

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

(в ред. Федерального закона от 25.11.2009 N 266-ФЗ)

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам, а также международными договорами Российской Федерации о реадмиссии;

(в ред. Федерального закона от 25.11.2009 N 266-ФЗ)

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3 Права и обязанности субъекта перс данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения, в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4 Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

(в ред. Федерального закона от 27.12.2009 N 363-ФЗ)

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Шкилев Николай Александрович

ВВЕДЕНИЕ

Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей « персональные данные ».

Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.

Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.

Следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации», а также Федеральный закон «Об участии в международном информационном обмене», - ст. 11 «Информация о гражданах (персональные данные)» Закона «Об информации, информатизации и защите информации». Защите персональных данных работников посвящена глава 14 Трудового кодекса Российской Федерации.международных стандартов:- ISO 17799 - по информационной безопасности;- ISO 15489 - по управлению документацией.

Принятие ФЗ «О персональных данных» явилось ответом законодательной ветви власти на один из наиболее острых вызовов современной России - бесконтрольный оборот приватных сведений граждан, неуважение к частным данным вообще, а также повсеместное распространение личных записей россиян в виде баз данных. Таким образом, ФЗ имеет огромное социальное значение.

Согласно исследованию холдинга ROMIR Monitoring, проведенного в январе 2006 года по заказу «РИО-Центра», российские граждане целиком и полностью поддерживают законодательную инициативу властей. Например, лишь 3,4% респондентов уверено в защищенности своих персональных данных, а противоположной точки зрения - то есть уверенности в полной беззащитности своих приватных сведений - придерживаются 24,4% граждан. При этом 74,1% респондентов поддержали бескомпромиссную борьбу с распространением пиратских копий баз данных ГИБДД, операторов связи, БТИ и других организаций, а 63,3% граждан считают, что государство просто обязано контролировать сбор персональных данных коммерческими структурами. Отметим, что в основе исследования лежит репрезентативная выборка, состоящая из 1,6 тыс. постоянно проживающих в стране граждан из 43 субъектов РФ. Другими словами, очевидно, что с социальной точки зрения в стране уже давно назрела необходимость законодательного регулирования сбора и обработки персональной информации граждан.

Все это наводит на мысль, что исполнительная и судебная ветви власти могут и должны с энтузиазмом перенять эстафету законодателей. и уже с 30 января 2007 года органы правопорядка и суды могут начать привлекать и осуждать лиц, виновных в нелегальном распространении персональных данных. Однако с наиболее серьезными последствиями нового ФЗ придется столкнуться коммерческим компаниям, которые могут потерять лицензию на обработку приватных сведений граждан в случае нарушения требований закона.

1.Краткий правовой анализ Федерального закона “О персональных данных”

1.1. Основные понятия и термины закона

Прежде чем перейти к экспертизе требований ФЗ «О персональных данных», рассмотрим основные понятия этого нормативного акта. Список наиболее важных терминов вместе с пояснениями представлен в таблице ниже (см. таб. 1). Полный листинг понятий ФЗ можно найти во 2 ст. полного текста закона.

Прежде всего, следует обратить внимание на определение термина «персональные данные» (см. таб. 1). Далее по тексту в качестве синонима к этому понятию будут использоваться такие словосочетания, как приватные сведения, личная информация, частные записи граждан и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых ФЗ. Также важно заметить, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Таблица 1.

Основные понятия закона «О персональных данных»

Термин	Определение	Примеры
Персональные данные	Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).	ФИО, дата и место рождения, адрес, образование, профессия, доходы и т.д. По сути, любые сведения о жизни гражданина.
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.	Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих.
Обработка персональных данных	Практически любые действия (операции) с персональными данными.	Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение.
Распространение персональных данных	Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц.	Обнародование персональных данных в СМИ, размещение в Интернете и других сетях или предоставление доступа к персональным данным каким-либо иным способом.
Блокирование персональных данных	Временное прекращение обработки персональных данных.	Замораживание сбора, систематизации, накопления, использования и любых других операций с персональными данными.
Обезличивание персональных данных	Действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;	Результаты статистических опросов - обезличенные данные.
Информационная система персональных данных	Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;	База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»).
Конфиденциальность персональных данных	Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания	Требование обеспечить защиту от утечек.

Анализ главных определений ФЗ позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней ФЗ понимает защиту от распространения (синоним слову «утечка»). Таким образом, закон «О персональных данных» затрагивает деятельность абсолютно всех коммерческих компаний и госструктур, которые теперь должны позаботиться о защите персональных данных от неавторизованного распространения, то есть, от утечки.

1.2. Основные положения закона

Рассмотрим основные положения ФЗ «О персональных данных», с которыми теперь должны считаться представители бизнеса и госсектора. Прежде всего, следует отметить 5 ст. закона - «Принципы обработки персональных данных», согласно которой цели обработки приватной информации должны соответствовать целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. На практике это означает, что организация обязана прямо во время сбора личных сведений уведомить граждан о том, для чего ей эти сведения понадобились и что она будет с ними делать. Более того, единожды заявив о своих целях, организация не может просто так их изменить, не поставив в известность граждан.

В ч.2 ст.5 указано очень важное с точки зрения IT-безопасности требование к операторам персональных данных. «Хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Базовая концепция нового закона нашла свое отражение в ст.6 («Условия обработки персональных данных») и ст.7 («Конфиденциальность персональных данных»). Рассмотрим эти статьи подробнее.

Согласно ст.6, основным условием обработки приватных сведений является согласие на это владельца персональных данных, то есть самого гражданина. Из этого условия существует ряд исключений. Например, общедоступными являются некоторые приватные сведения высших чиновников и кандидатов на выборные должности. Также обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта чувствительной информации. Для бизнеса двумя важными исключениями, при которых необязательно спрашивать согласие гражданина на обработку его персональных сведений, являются п.2.2 и 2.5 ст.6. Согласно первому из них, разрешена «обработка [приватных данных] в целях исполнения договора, одной из сторон которого является субъект персональных данных». Согласно второму, «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи». Однако во всех остальных случаях, бизнес просто обязан спросить у гражданина разрешение на обработку его личных сведений.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае, если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона.

В рамках 7 ст., «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Можно резюмировать, что бизнес должен получить согласие владельца приватных данных на обработку этой информации и обеспечить конфиденциальность персональных сведений. При этом согласно 9 ст., компания должна получить письменное согласие гражданина на обработку его личных записей, которое в случае возникновения конфликтных ситуаций должно быть предъявлено в суде. Отметим, что в согласии обязательно указываются цель обработки персональных данных, перечень самих данных и действий с ними и срок, в течение которого действует согласие (а также порядок его отзыва).

1.3. Требования к безопасности персональных данных

Особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Другими словами, бизнесу необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

1.4. Ответственность за нарушения закона

При нарушении требований закона «О персональных данных» виновные лица (согласно ст.24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, следует рассмотреть новые положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый закон приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

1.5. Критические даты

Из представленной выше экспертизы ФЗ «О персональных данных» следует, что организациям предстоит принять целый ряд технических и организационных мер, чтобы удовлетворить новым нормативным требованиям. Далее в таблице (см. таб. 2.) приведен ряд критических дат, к наступлению которых бизнес и госсектор обязан привести в соответствие ФЗ свои бизнес-процессы и IT-системы.

Критические даты закона «О персональных данных»

	Расшифровка
	ФЗ «О персональных данных» вступает в силу
	Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего ФЗ и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган уведомление, предусмотренное ч.3 ст.22 настоящего ФЗ не позднее 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания владеет приватными данными только своих сотрудников, то уведомление направлять не следует).
	Информационные системы персональных данных, созданные до дня вступления в силу настоящего ФЗ, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Другими словами, информационная система, включающая в себя базу персональных данных, а также информационные и технические средства для их обработки, должна соответствовать требованиям к защите конфиденциальности приватной информации (ст.19 ч.1).

Выводы

Собирая воедино все указанные выше требования ФЗ «О персональных данных», можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. Другими словами, российским компаниям теперь придется иметь дело с новым классом информации. Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый ФЗ практически требует создать еще один класс информации - персональные данные (клиентов, служащих и т.д.). Однако очевидно, что изменение принципов классификации влечет за собой модификацию политики IT-безопасности. Следовательно, бизнесу необходимо дополнить свой набор политик, как минимум, одной новой - политикой использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Вдобавок, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости.

2.Краткий анализ Федерального закона “О персональных данных” в вопросах информационных технологий.

2.1 Требования к ИТ-безопасности

По требованиям нормативно-правовых документов работы по обеспечению безопасности персональных данных являются неотъемлемой частью работ при создании информационных систем для их обработки. Т.е. информационные системы, в которых обрабатываются персональные данные, должные в обязательном порядке содержать подсистему защиты этих данных

Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, «хранение [приватных сведений] должно осуществляться... не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности... и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных ». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных » от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности «Внешторгбанка», отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Между тем, согласно ст.19 ч.2 ФЗ «О персональных данных », Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных ». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно было стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Отметим, что сам уполномоченный орган уже выбран. Это Федеральная служба по техническому и экспортному контролю. Однако каких-либо формализованных требований от ФСТЭК России в плане защиты персональных данных еще не было обнародовано.

Также отметим, что согласно ст.24, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ. Т.е. утечка приватных сведений граждан может легко спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению репутации.

2.2. Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ

При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений, для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.

2.3.Планы по внедрению новых ИТ-продуктов для соответствия ФЗ

Подводя итоги, можно заметить, что подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон «О персональных данных ». В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%). Таким образом, уполномоченному органу (ФСТЭК России) необходимо как можно быстрее разработать формальные требования к безопасности персональных данных и опубликовать официальный стандарт, который закрепит положения ФЗ «О персональных данных». Текущие требования это закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.

Однако это лишь одна сторона медали - с ее помощью государство пытается вести профилактику утечек на уровне тех источников, откуда информация утекает. Между тем, есть еще один важный аспект: нелегальный оборот персональных данных. Ведь не надо даже далеко ходить, чтобы купить приватную базу данных на CD и за довольно скромную цену. Очевидно, что в этом плане ответственность ложится на органы исполнительной власти, у которых теперь появилась законная возможность завести против нелегальных продавцов дело. Правда, именно на этом этапе нам так необходима правоприменительная практика, нарабатывать которую России, судя по всему, придется годами.

Итак, необходимым условием обработки персональных данных является согласие на это субъекта персональных данных, за исключением особых случаев.

Федеральный закон обязывает операторов соблюдать требования по конфиденциальности персональных данных (за исключением общедоступных и обезличенных персональных данных), в том числе с помощью криптографических средств.

В целом, требования по обеспечению безопасности персональных данных устанавливаются Федеральным законодательством, Постановлениями Правительства РФ и иными подзаконными актами. Контроль выполнения требований по обеспечению безопасности персональных данных осуществляется Федеральной службой безопасности и Федеральной службой по техническому и экспертному контролю.

На этапе проектирования информационной системы или при её эксплуатации необходимо провести категорирование персональных данных. На основании категории персональных данных, а также характеристик информационной системы, связанных с угрозами безопасности персональных данных, информационной системе присваивается определённый класс, который определяет требования к защите обрабатываемых в ней данных.

Классификация информационных систем персональных данных проводится на основе нормативно-правовых документов ФСТЭК.

Мероприятия по защите персональных данных, в частности, должны включать в себя:

• Определение угроз безопасности персональных данных при их обработке, разработка модели угроз;
• Разработку на основе модели угроз системы защиты с применением методов, соответствующих классу информационной системы;
• Проверку готовности средств защиты к использованию с составлением заключений о возможности эксплуатации;
• Установку и ввод в эксплуатацию средств защиты, а также обучение сотрудников их использованию;

Важно отметить, что согласно требованиям нормативно-правовых документов средства защиты, используемые в информационных системах персональных данных (в том числе средства защиты от несанкционированного доступа, криптографические средства защиты, средства защиты от утечек по техническим каналам) должны в установленном порядке проходить оценку соответствия требованиям ФСБ и ФСТЭК.

И согласно требованиям обмен персональными данными при их обработке должен осуществляется по каналам связи, защита которых реализована с помощью организационных или технических мер.

В соответствии с законом №152-ФЗ существенно расширяется круг юридических лиц, автоматизированные системы которых должны содержать подсистемы защиты информации. В их число попадают медицинские учреждения, инвестиционные и трастовые компании, прочие структуры, привлекающие средства населения, а также все юридические лица, в составе автоматизированных систем которых в том или ином виде ведутся личные дела сотрудников.

Со дня вступления ФЗ «О персональных данных» в силу (30 января 2007 года) для операторов персональных данных описанные в законе требования по обработке и в том числе по защите персональных данных являются обязательными.

Следует отметить, что Федеральный закон касается не только вновь создаваемых систем обработки персональных данных. Информационные системы персональных данных, созданные до дня вступления закона в силу, должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 января 2010 года.

В Федеральном законе Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” сказано: “Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий”. Рассмотрим, каким образом в соответствии сдействующими законадательными и нормативными актами грамотно подойти к вопросу внедрения новых средств защиты данных.

Для этого необходимо в первую очередь определиться с требованиями к реализации системы защиты данных.

Для формирования основных базовых требований к реализации системы защиты данных необходимо определиться с ответами на следующие вопросы:

• Что должно служить сущностью “объект доступа”, другими словами, что должен представлять собою объект (в общем случае, набор объектов), при сохранении в который, данные должны шифроваться и/ либо гарантированно удаляться (естественно, что речь идет об автоматическом “прозрачном” для пользователя шифровании данных “на лету” при их сохранении в объект (и соответствующим образом расшифрования), реализуемого системным драйвером (аналогично и гарантированного удаления). Подходы к построению СЗД, предполагающие реализацию шифрования и/либо гарантированного удаления вручную пользователем, а уж тем более, вопросы реализации этих функций на прикладном уровне - из конкретных приложений, рассматривать не будем, наверное, даже не следует пояснять почему, если мы говорим об эффективных средствах защиты для корпоративных приложений, ориентированных на защиту персональных данных;
• Что должно служить сущностью “субъект доступа”, другими словами, следует ли при принятии решения о шифровании (расшифровании) и/либо гарантированного удаления данных при запросе доступа к объекту в принципе учитывать, и если да, то каким образом учитывать то, какой пользователь и каким процессом обращается к объекту. Другими словами, следует управлять тем, какие пользователи сохраняют данные в зашифрованном виде (соответственно их информация гарантированно удаляется), либо тем, в какие объекты данных сохраняются в шифрованном виде (соответственно, в каких объектах данные гарантированно удаляются);
• Что должно служить сущностью “право шифрования”. Дело в том, что при построении СЗИ от НСД возможны два подхода к реализации разграничительной политики доступа к ресурсам: посредством назначения атрибутов, присваиваемых объектам (здесь можно говорить об атрибутах “шифрование” и “гарантированное удаление”), либо посредством назначения прав доступа к объектам для пользователей. Этот вопрос тесно связан с предыдущим;
• Как обеспечить коллективный доступ пользователей к зашифрованным данным (это одна из ключевых задач для корпоративных приложений при защите персональных данных, состоящая в том, что данные должны располагаться на общем ресурсе (как правило, разделенные в сети файловые объекты), причем в зашифрованном виде, при этом к этим данным должно предоставляться право доступа нескольким пользователям, например, удаленно к файловому серверу с рабочих станций корпоративной сети). Соответственно следует говорить и о гарантированном удалении данных в коллективно используемых ресурсах. Важным здесь является вопрос, учитывать ли какие-либо идентификационные данные пользователя (если да, то каким образом) при генерации ключа шифрования.

Рассмотрим эти вопросы по порядку, при этом будем учитывать, во-первых, что обе процедуры, и шифрование, и гарантированное удаление весьма ресурсоемки и оказывают влияние на загрузку вычислительного ресурса (даже при их реализации на уровне системного драйвера, в случае же реализации их на уровне приложения загрузка вычислительного ресурса возрастает в разы), во-вторых, на одном вычислительном средстве в корпоративных приложениях, как правило, обрабатывается как открытая, так и конфиденциальная информация (причем, подчас, конфиденциальная информация также может категорироваться), т.е. далеко не все данные следует дополнительно защищать средствами шифрования и гарантированного удаления.

Различные по категории конфиденциальности данные должны храниться в различных файловых объектах (только в этом случае могут быть реализованы различные режимы их обработки), причем, как на жестком диске, так и на внешних накопителях, причем как на локальных, так и на разделенных в сети (при этом не обеспечить коллективный доступ к данным - без возможности разделения файловых объектов в сети) . Основным объектом реализации разграничительной политики доступа к ресурсам является “папка”. Что касается внешних накопителей (например, Flash-устройств), то подчас на них разрешается записывать информацию только в зашифрованном виде, т.е. в этом случае объектом шифрования должен служить диск (однако, может разрешаться в зависимости от типа информации на одном внешнем накопителе сохранять данные, как в открытом, так и в шифрованном виде, тогда объектом шифрования вновь становится “папка”, например, каталог на накопителе). Папка является и обязательным объектом шифрования при использовании разделяемого ресурса (например, жесткого диска на сервере) при реализации коллективного доступа к данным в корпоративной сети. В некоторых конкретных случаях может потребоваться шифрование и отдельного файла, в частности, вся база данных может располагаться в отдельном файле. Не смотря на частность данных случаев, их возможность - объектом шифрования является файл, также должна быть реализована в средстве защиты.

Требование к реализации. Объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети. При этом средством защиты должна предоставляться возможность задания любого набора объектов (например, несколько каталогов на выбор, включая разделенные в сети) в качестве объектов криптографической защиты и гарантированного удаления остаточной информации

Несмотря на кажущуюся очевидность данных требований, на практике широко распространены средства с весьма ограниченными возможностями задания объектов защиты, например, только локальный диск (так называемый, “файловый сейф”), либо только локальные файловые объекты могут назначаться для шифрования данных, или, например, совсем уж странное решение реализуется в некоторых средствах защиты в части гарантированного удаления остаточной информации - если активизируется этот режим, то гарантированно удаляются данные во всех файловых объектах (а как же совершенно не оправданное в этом случае дополнительное влияние на загрузку вычислительного ресурса?). Естественно, что подобные средства более просты в практической реализации, однако, следствием реализации подобных решений является их невысокая потребительская стоимость в корпоративных приложениях.

Перейдем к рассмотрению следующих двух очень важных взаимосвязанных вопросов. Следует ли учитывать каким-либо образом сущность “пользователь” при построении схемы защиты, следовательно, дополнительная защита должна являться привилегией пользователя (рассматриваться как его право), либо объекта (рассматриваться, как дополнительный атрибут файлового объекта). Заметим, что права доступа к объектам в корпоративных приложениях следует рассматривать, как принадлежность пользователя, а не как атрибут файлового объекта В данном же случае, все наоборот. Особенностью корпоративных приложений является то, что один и тот же пользователь должен обрабатывать на одном компьютере, как открытую, так и конфиденциальную информацию (если только открытую, то отсутствует потребность в дополнительной защите данных, а только конфиденциальную - на практике, как правило, не бывает). Следовательно, если дополнительную защиту данных рассматривать, как привилегию пользователя (т.е. для учетной записи устанавливать соответствующий режим сохранения и удаления (модификации) данных), то в корпоративных приложениях это будет означать, что все данные (как открытые, так и конфиденциальные) пользователя следует шифровать и гарантированно удалять. Это бессмысленно! Следовательно, шифрование и гарантированное удаление необходимо рассмаривать не как привилегию пользователя (учетной записи), а как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, присваиваемыми объектам - при сохранении данных в этот объект они автоматически шифруются, при удалении (модификации) объекта данные гарантированно удаляются.

Требование к реализации. Возможность дополнительной защиты данных методами шифрования и гарантированного удаления необходимо рассмаривать как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, устанавливаемыми для дополнительно защищаемого объекта.

Теперь о коллективном доступе к ресурсам. Это очень важная функциональная возможность. Без ее практической реализации невозможно обеспечить не только общие для пользователей файловые хранилища, но и принципиально организовать обмен защищаемыми данными через файловую систему, причем не только в сети, но и локально, на одном компьютере. Коллективный доступ к ресурсам априори возможен лишь в том случае, когда такая сущность, как “ключ шифрования” едина (ключ одинаковый) для пользователей, имеющих право доступа к коллективно используемому ресурсу.

С учетом сказанного можем сделать два очень важных вывода, во-первых, средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, во-вторых, ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей, т.к. в противном случае, эти данные должны совпадать для учетных записей, под которыми разрешен доступ к коллективно используемым объектам (что недопустимо). Заметим, что несмотря на данное, казалось бы, очевидное требование, подобные решения, реализованные на практике, существуют.

Требование к реализации. Средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, при этом ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей.

В порядке замечания отметим, что с целью снижения ресурсоемкости средства защиты, с учетом того, что на одном компьютере может обрабатываться конфиденциальная информация различных категорий, как следствие, требующая различной дополнительной защищенности, целесообразно предусмотреть возможность шифровать данные различных категорий (различные объекты) с использованием различных алгоритмов шифрования (в частности, с использованием различных длин ключа шифрования), соответственно, гарантированно удалять данные различных категорий с использованием различных правил (в частности, с возможностью задания для различных объектов различного числа проходов очистки - записи маскирующей информации, и различных способов задания маскирующей информации - маскирующая информация - это те данные, которые записываются поверх исходных данных при уничтожении, либо при модификации объекта, другими словами, эти те данные, которые остаются на носителе в качестве остаточной информации).

Теперь остановимся еще на одном важном вопросе реализации коллективного доступа, в данном случае, удаленного доступа к разделенным в сети дополнительно защищаемым объектам. Упрощенно, имеем следующую структуру системы. На рабочих станциях пользователями осуществляется обработка данных, которые сохраняются в разделенный между пользователями объект, располагаемый на отдельном компьютере (файловом сервере). Возникает вопрос, где осуществлять процедуру шифрования данных - на рабочих станциях, перед их сохранением на сервере, либо собственно на сервере? Наверное, ответ на этот вопрос очевиден - на рабочих станциях. Это объясняется тем, что при таком решении данные передаются по каналу связи в зашифрованном виде (в противном случае, в открытом).

Требование к реализации. При реализации коллективного доступа к разделенным в сети дополнительно защищаемым объектам шифрование данных должно осуществляться на рабочих станциях, на которых пользователями осуществляется обработка данных.

В порядке замечания отметим, что такое решение возможно лишь в том случае, если средством защиты выполняется требование к реализации, состоящее в том, что объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети (см. выше).

Заключение

Обязанностью оператора, согласно статье 19, является также обеспечение безопасности персональных данных при их обработке. Чтобы не было неприятностей, организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты персональных данных, содержащихся в ее информационных системах.

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Мининформсвязи России, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны ­сообщаться в уполномоченный орган.

Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:

• при наличии трудовых отношений;
• при заключении договора, стороной которого является субъект персональных данных;
• если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов;
• при оформлении пропусков;
• если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и ­общественного порядка;
• если персональные данные обрабатываются без использования средств автоматизации.

В заключение дадим ряд рекомендаций организациям-операторам. Исполнить требования закона о персональных данных будет не столь уж трудно, если данную работу начать сейчас, не дожидаясь поступления ­первых заявлений и жалоб. Начать можно со следующих очевидных мер:

Желательно назначить ответственного сотрудника для рассмотрения всех вопросов, связанных с исполнением данного закона в организации, а для крупных компаний может быть оправдано создание специальной комиссии.

Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:

• определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по ­собст­венной инициативе и т.д.);
• уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
• установить сроки хранения и сроки обработки данных в ­каждом информационном ресурсе;
• определить способы обработки;
• определить лиц, имеющих доступ к данным;
• сформулировать юридические последствия;
• определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.