Федеральный закон О персональных данных № 152-ФЗ
27.07.2006 года был принят Федеральный закон о Персональных данных ФЗ-152 (Далее – Закон) в соответствии с Конвенцией Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (ETS №108, 1981г), которую Россия ратифицировала в 2005 году. Операторы персональных данных, а это практически все государственные и коммерческие организации, обязаны выполнить положения настоящего Закона и привести свои информационные системы персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями не позднее 1 января 2010 года.
Основные понятия, используемые в Законе О персональных данных
Персональные данные. — В соответствии с формулировкой, представленной в Законе, персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, адрес, год, месяц, дата и место рождения, социальное, семейное, имущественное положение, профессия, образование, доходы, другая информация.
Оператор персональных данных. — Операторами персональных данных являются: государственный орган или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных (ПДн), а также определяющие цели и содержание обработки персональных данных»
Обработка персональных данных. — Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение персональных данных.
Сфера действия Закона О персональных данных
В соответствии со статьей 1 Закона № 152-ФЗ «О персональных данных» сфера действия настоящего Закона распространяетсяна отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами госвласти субъектов РФ, иными госорганами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), физическими лицами, юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Таким образом, требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.
Обязательность выполнения требований Закона «О персональных данных»
Защита персональных данных является прямой обязанностью операторов персональных данных.
В соответствии со статьей 19 Закона № 152-ФЗ Оператор при обработке персональных данных обязан принимать необходимые технические и организационные меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, уничтожения, копирования, блокирования, распространения персональных данных, а также от иных неправомерных действий.
Установленные Законом сроки
Законом установлен предельный срок выполнения требований по защите персональных данных: 01.01.2010 года.
Часть 3 Статьи 25 Закона № 152-ФЗ:
«Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона «О персональных данных», должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года».
Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».
До указанного срока осталось очень мало времени и операторам персональных данных необходимо приложить максимум усилий, чтобы обеспечить защиту персональных данных в соответствии с требованиями законодательства до 1 января 2010 года.
Персональные данные и мероприятия по их защите
Для выполнения требований закона «О персональных данных» оператор персональных данных проводит следующие организационные и технические мероприятия:
- Уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
- Разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных).
- Создание системы защиты персональных данных, в т.ч. выполнение требований по инженерно-технической защите помещений.
- Аттестация или декларирование соответствия информационной системы персональных данных требованиям безопасности информации.
- Повышение квалификации сотрудников в области защиты персональных данных.
Отдельные виды работ выполняются при наличии соответствующих лицензий.
Ответственность за нарушение требований Закона «О персональных данных»
Положения Закона «О персональных данных» предусматривают следующие виды ответственности: Статья 24 Закона № 152-ФЗ: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
В текущем законодательстве предусмотрены следующие виды ответственности:
Кодекс об Административных Правонарушениях РФ (КоАП РФ)
«…КоАП РФ. Статья 13.11. Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа…»
«…КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом «О персональных данных» (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, (Ст.14.33- недобросовестная конкуренция) влечет наложение административного штрафа...»
«…КоАП РФ. Статья 5.39. Отказ в предоставлении гражданину информации
Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом «О персональных данных», либо предоставление гражданину неполной или заведомо недостоверной информации – влечет наложение административного штрафа…»
Уголовный Кодекс РФ (УК РФ)
«…УК РФ. Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев...»
«…УК РФ. Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет...»
«…УК РФ. Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет…»
В настоящее время в связи с принятием Федерального закона № 152 «О персональных данных» планируется внести изменения в некоторые законодательные акты РФ, в том числе в Кодекс об Административных Правонарушениях РФ и Уголовный кодекс РФ, что повлечет существенное увеличение размера наказания за нарушения в сфере обработки персональных данных.
Регуляторы в сфере обработки персональных данных
Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:
Россвязькомнадзор (федеральная служба по надзору в сфере связи и массовых коммуникаций) – осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства.
ФСТЭК России (федеральная служба по техническому и экспортному контролю) – устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий.
ФСБ РФ (Федеральная служба безопасности РФ) - устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу использования криптографических средств защиты информации).
Риски неисполнения требований законодательства
Неисполнение требований Закона «О персональных данных» влечет для бизнеса компании риски следующего характера:
- Гражданские иски со стороны клиентов или работников.
- Приостановление или прекращение обработки персональных данных в компании.
- Привлечение компании и (или) ее руководителя к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности.
- Приостановление действия или аннулирование лицензий на основной вид деятельности компании.
- Репутационные риски.
- Риски недобросовестной конкуренции (приостановления деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных).
Выводы
Операторам персональных данных экономически выгоднее выполнить требования Закона «О персональных данных» и не подвергать свой бизнес возможным рискам со стороны граждан, государственных контролирующих органов и недобросовестной конкуренции.
Технологии
- Заявки на пропуска и билеты
- Типы пропусков
- Регистрация посетителей, персонала или пассажиров
- Бюро пропусков
- Учет рабочего времени
- Контроль доступа - входная группа или периметр
- IP СКД (СКУД) IDmatic
- Распознавание автомобильных номеров
- Технологии биометрии
- Интеграция
- Интернет-сервисы
- Автоматизация и безлюдные технологии
- Сервера и рабочие станции
- Как выбрать СКД
- Защита персональных данных