Защита персональных данных

Документы определяющие политику обработки персональных данных

Должностная инструкция ответственного за обработку персональных данных Перечень информационных систем персональных данныхПоложение о защите персональных данныхПравила обработки персональных данныхПриказ о назначении ответственного за обработку персональных данныхПриказ №18 от 17.05.2017 г. "О проведении работ по защите персональных данных"Приказ об утверждении перчня персональных данныхТиповая форма согласия на обработку персональных данныхУказ №188 президента Российской Федерации от 6 марта 1997 года об утверждении перечня сведений конфиденциального характераСогласие на обработку персональных данных

Сфера действия ФЗ №152

Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.

Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.

Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».

Обязательность выполнения требований законодательства

Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Статья 19 Закона № 152-ФЗ:

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

3. Регуляторы в сфере защиты персональных данных

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.

ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.

Сроки выполнения требований законодательства

Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».

Нормативная база по защите персональных данных

 

1.Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

2. Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

3. Методические документы ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

4. Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)

5. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с последними изменениями от 25 ноября 2009 г.)

6.Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ

7. Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ

8. Приказ Министерства образования и науки Российской Федерации от 15 апреля 2009 г. № 133 «Об утверждении порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации»

9. Письмо Федерального агентства по образованию от 29.07.2009 № 17–110– «Об обеспечении защиты персональных данных»

Методические документы ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данныхМетодические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данныхПостановление Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 “Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных”Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»Приказ №153 от 28.03.2008 г. "Об утверждении формы уведомления об обработке персональных данных"Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данныхТиповые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информацииУказ №351 президента Российской Федерации от 17.03.2008 г. о мерах по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обменаПостановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»Приказ ФСТЭК от 11 февраля 20013 г.№17 «Об утверждении требований о защите информации, не составляющей государсвтенную тайну, содержащейся в государственных информационных системах»Федеральный закон о 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении положения и содержания организазионых и технических мер по обеспечению безопасности в информационных системах персональных данных»Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)

Ответственность за неисполнение законодательства по защите персональных данных

Статья

 

Нарушение

Ответственность

КоАП

Статья 5.39.
Отказ в предоставлении гражданину информации.

Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.

Штраф:

на должностных лиц - 500 до 1.000руб.

Статья 13.11.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Штраф:
на должностных лиц - 500 до 1.000 руб.;
на юридических лиц - 5.000 до 10.000 руб.

Статья 13.12.
Нарушение правил защиты информации

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.

Штраф:

на должностных лиц - от 1.000 до 2.000 руб.;
на юридических лиц - от 10.000 до 20.000 руб.

Статья 13.14.
Разглашение информации с ограниченным доступом

Разглашение персональных данных.

Штраф:

на граждан - от 500 до 1.000 руб.;
на должностных лиц - от 4.000 до 5.000 руб.

Статья 19.5.
Невыполнение в срок законного предписания

1. Невыполнение в установленный срок законного предписания Роскомнадзора.

Штраф:

на должностных лиц - от 1.000 до 2.000 руб.;
на юридических лиц - от 10.000 до 20.000 руб.

2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.

Штраф:

на должностных лиц - от 5.000 до 10.000 руб.;
на юридических лиц - от 200.000 до 500.000 руб.

Статья 19.7.
Непредставление сведений (информации)

Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.

Штраф:

на должностных лиц - от 300 до 500 руб.;
на юридических лиц - от 3.000 до 5.000 руб.

Уголовный Кодекс

Статья 137.
Нарушение неприкосновенности частной жизни

Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Штраф до 300.000 руб. или в размере заработной платы или иного дохода

осужденного за период до 2 лет, либо лишение права занимать определенные

должности или заниматься определенной деятельностью на срок до 5 лет.

Статья 272.
Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).

Штраф до 200.000 руб.,

либо лишение свободы до 2-х лет.

Трудовой Кодекс

Статья 81.
Расторжение трудового договора по инициативе работодателя.

Разглашение персональных данных другого работника.

Расторжение трудового договора по инициативе работодателя.

Статья 90.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Нарушение норм, регулирующих получение, обработку и защиту персональных данных.

Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.