Это не учения, боец! Добро пожаловать в реальный мир!
Полигон DISc0nNecT'a

Главное меню

Авторизация

Книга про инвестиции

Моя книга
Mastodon

Карта посещений

Другие ссылки

Поиск по сайту


Защита персональных данных - изменения 2011

Опубликовано: 26.10.2011, 23:00 | Печать |
Вопросы, касающиеся обработки и защиты персональных данных субъектов с каждым годом становятся все актуальнее, ведь основной целью действующего закона является обеспечение защиты прав и свобод человека, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Практика же показывает, что операторы персональных данных не всегда могут обеспечить соблюдение законодательства в части организации, хранения, обработки, и, главное, защиты персональных данных субъектов и нередко привлекаются к административной ответственности за нарушения указанных норм. В предлагаемой статье мы расскажем о нововведениях в сфере защиты персональных данных, о новых терминах, обязанностях операторов персональных данных.

Содержание статьи:

Защита персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ) действует уже пять лет. Анализ результатов деятельности Уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) показывает, что с каждым годом увеличивается количество проводимых проверок в отношении операторов персональных данных (далее - ПДн) и, соответственно, возрастает количество операторов, привлекаемых к ответственности за  нарушения требований законодательства в области защиты персональных данных. Так, только за 2010 год было проведено 1253 проверки операторов, осуществляющих обработку ПДн, в том числе 64 % составляют плановые проверки. По результатам данных проверок выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях. По результатам рассмотрения материалов проверок судами вынесены постановления о привлечении операторов к административной ответственности в виде штрафа на общую сумму около 4,5 млн. руб., что практически в 60 раз больше чем по итогам 2009 года.

Наиболее «популярными» являются нарушения в части несоответствия сведений, указанных в уведомлении об обработке ПДн, фактической деятельности оператора, и обработка ПДн без согласия субъектов ПДн.

Вместе с тем в ряде случаев выявляемые нарушения зачастую связаны с имеющими место пробелами и противоречиями действующего законодательства в области защите ПДн. Изменения в Федеральный закон № 152-ФЗ обсуждались более года и спустя 5 лет, именно с 25 июля 2011 года  вступили в силу значимые изменения, внесенные Федеральным законом от 25.07.2011 № 261-ФЗ.

Однозначно определить изменения как положительные или отрицательные в данном случае вряд ли возможно. Так, присутствуют несомненные «плюсы», направленные на упрощение работы операторов с ПДн - увеличены сроки для предоставления операторами необходимой информации, предусмотрен порядок обработки ПДн с привлечением иного лица и т.п. Вместе с тем в новой редакции Федерального закона № 152-ФЗ установлены меры, реализацией которых достигается обеспечение безопасности ПДн, но выполнение которых потребует дополнительных сил и средств. Рассмотрим подробно в рамках данной статьи вступившие в силу изменения.

Сфера применения закона и терминология

Учитывая, что довольно серьезные споры в части применения Федерального закона № 152-ФЗ разгорались вокруг понятия обработки данных «с использованием средств автоматизации», то в первую очередь, проводя анализ внесенных изменений, следует обратить внимание именно на расшифровку данного термина. Так, под автоматизированной обработкой ПДн понимается обработка персональных данных с помощью средств вычислительной техники (далее - СВТ), однако термин «средства вычислительной техники» не конкретизируется. В связи с этим возникает необходимость обратиться к иным источникам информации, в частности к ГОСТ 26553-85, в котором СВТ определены как совокупность элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. При этом различают СВТ, реализованные в виде технических устройств, и СВТ, реализованные в виде программ. С учетом данных определений, обработку данных с использованием любого электронного вычислительного средства следует рассматривать как автоматизированную обработку информации. Также в пункте 1 статьи 1 Федерального закона № 152-ФЗ внесенными изменениями уточнено, что данным законом регулируются отношения, связанные с обработкой ПДн, осуществляемой с использованием средств автоматизации, «в том числе в информационно-телекоммуникационных сетях». Также в данной норме уточнено, в каком случае Федеральным законом № 152-ФЗ регулируется обработка ПДн без использования средств автоматизации. Напомним, что под действие закона попадает обработка данных без использования средств автоматизации, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средства автоматизации. И далее Федеральным законом от 25.07.2011 № 261-ФЗ разъяснено: «то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск зафиксированных на материальном носителе персональных данных, содержащихся в картотеках или иных систематизированных собраниях, и (или) доступ к таким персональным данным».

Также изменения затронули следующие термины:

1. Введено новое определение «персональных данных» - это любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Как нетрудно заметить, из определения исчезло перечисление «реквизитов» физического лица, т. е. фамилия, имя, отчество, дата рождения и т. п. В тоже время уточнено, что следует учитывать любую информацию, относящуюся прямо или косвенно к физическому лицу.

2. В части термина «оператор» уточнено, что это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн. Т. е. предусмотрена возможность организации оператором обработки данных с участием других лиц. Кроме того «исчезла» норма, в соответствии с которой оператор определял содержание обработки ПДн.

3. Уточнено определение «обработки ПДн». С учетом новой формулировки обработка ПДн - это любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4. Существенно упрощен термин «распространение персональных данных», под которым понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

5. Введено понятие «предоставление персональных данных», т. е. действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

6. Коренным образом изменен подход к понятию «обезличивание персональных данных». Если с учетом ранее применяемого определения мы говорили, что в результате обезличивания не представляется никоим образом определить принадлежность ПДн, то с учетом внесенных изменений допускается следующая возможность: используя дополнительную информацию, можно определить принадлежность тех или иных данных к конкретном субъекту ПДн. Т. е. обезличивание нельзя рассматривать, как исключительно односторонний процесс.

7. Более четко изложено понятие «информационной системы персональных данных», под которой понимается совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

8. Исключены понятие «конфиденциальность персональных данных» и «общедоступные персональные данные».

Дополнительно следует отметить, что полномочия по принятию нормативных правовых актов в области законодательства о защите персональных данных предоставлены Банку России и местным органам власти.

Обработка персональных данных

В новой редакции изложены статьи 5 и 6 Федерального закона № 152-ФЗ. Главные акценты сделаны на основополагающих принципах и условиях обработки ПДн, в том числе:

  • обработка должна осуществляться на законной и справедливой основе;
  • обработка ПДн должна быть ограничена достижением конкретных целей;
  • обрабатываемые ПДн не должны быть избыточными по отношению к целям их обработки;
  • оператор должен принимать меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Важное нововведение предусмотрено пунктом 3 статьи 6 Федерального закона № 152-ФЗ, предусматривающее, что оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключенного договора.

Лицо, которому поручено осуществление обработки ПДн, обязано соблюдать все установленные принципы и правила обработки ПДн. Перечень действий с ПДн подлежит определению в поручении оператора. При этом в согласии от субъекта ПДн необходимо указывать лицо, осуществляющее обработку ПДн, если такая обработка поручена оператором иному лицу.

Важно отметить, что именно оператор несет ответственность перед субъектом ПДн за действия указанного лица, а данное лицо несет, в свою очередь, ответственность перед оператором ПДн.

Согласие субъекта ПДн

Вопросы получения согласия на обработку ПДн также претерпели некоторые изменения.

В частности, появилось требование, что «согласие на обработку персональных данных должно быть конкретным, информированным и сознательным». Кроме того предусмотрено, что согласие на обработку ПДн может быть дано не только самим субъектом ПДн, но и его представителем. С этой целью в перечень обязательных реквизитов согласия добавлен новый пункт - «фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя».

Обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом № 152-ФЗ

Федеральный закон № 152-ФЗ дополнен новой статьей 18.1, в которой определен состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о защите ПДн. К таким мерам могут относиться:

  • назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн;
  • издание документов, определяющих политику оператора в отношении обработки ПДн;
  • применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн установленному порядку;
  • оценка вреда, который может быть причинен субъектам ПДн;
  • ознакомление работников оператора с организацией работы с ПДн.

Важно отметить, что пунктом 2 статьи 18.1 Федерального закона № 152-ФЗ предусмотрено, что «оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных». А по запросу территориального органа Роскомнадзора оператор обязан подтвердить путем предоставления документов и (или) иным образом принятие мер, определенных в рассматриваемой статье.

Перечень обязательных мер для операторов, являющихся государственными и муниципальными органами, поручено установить Правительству РФ.

Статья 19 Федерального закона № 152-ФЗ также претерпела существенные изменения. В частности, пунктом 2 данной статьи установлены меры, реализацией которых достигается обеспечение безопасности ПДн. К таким мерам отнесены:

1. Определение угроз безопасности ПДн при их обработке в информационных системах ПДн.

2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (далее - ИСПДн), необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн.

3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы ПДн.

5. Учет машинных носителей ПДн.

6. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер.

7. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8. Установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.

9. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

Нетрудно заметить, что данные требования ранее были прописаны в нормативных правовых документах ФСТЭК России: в настоящее время в Приказе ФСТЭК России от 05.02.2010 № 58.

Как отмечено выше, применение организационных и технических мер по обеспечению безопасности ПДн зависит от уровня защищенности, который будет установлен Правительством РФ.

Также Правительством РФ подлежит введение требований к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн и требования к материальным носителям биометрических ПДн и технологиям хранения таких данных в ИСПДн.

В завершении рассмотрения данного раздела, в соответствии с логикой статьи 19 Федерального закона № 152-ФЗ, приведем определения, необходимые для понимание данной статьи:

  • «угроза безопасности ПДн» - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн;
  • «уровень защищенности ПДн» - понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.

Направление уведомления

Обязанность направления уведомления в территориальный орган Роскомнадзора и порядок его оформления, как и ранее, предусмотрен статьей 22 Федерального закона № 152-ФЗ. Напомним, что согласно Отчету о деятельности Уполномоченного органа по защите прав субъектов персональных  данных за 2010 год направление уведомления и включение в Реестр операторов ПДн должно затронуть 2-2,5 миллионов операторов ПДн, в то время как на 31.12.2010 года в реестре было зарегистрировано немного более 170 тыс. операторов (около 8 % от прогнозной численности). По состоянию на август 2011 года в реестре зарегистрировано более 215 тысяч операторов ПДн.

Изменения, внесенные Федеральным законом от 25.07.2011 № 261-ФЗ, затронули и данную статью. Уточнен перечень случаев, когда оператор вправе осуществлять обработку ПДн без направления такого уведомления.

В частности, обработка ПДн без направления уведомления в случае, предусмотренном законодательством РФ о транспортной безопасности. В данном случае речь идет о создании единой государственной информационной системы обеспечения транспортной безопасности, являющейся собственностью РФ, состоящей из автоматизированных централизованных баз ПДн в отношении пассажиров.

Такие базы в соответствии со статьей 11 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности» формируются при осуществлении воздушных перевозок, железнодорожных перевозок в дальнем следовании, международных перевозок морским, внутренним водным и автомобильным транспортом. При оформлении проездных документов (билетов) передаче в автоматизированные централизованные базы подлежат следующие данные:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет);
  • пункт отправления, назначения, вид маршрута;
  • дата поездки.

Ряд положений были подкорректированы. Если персональные данные обрабатываются в соответствии с трудовым законодательством, то в данном случае необходимо напомнить, что перечень сведений, подлежащий представлению работниками при заключении трудового договора, определен в статье 65 ТК РФ. К ним отнесены:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • справку о наличии (отсутствии) судимости (в некоторых случаях).

Неоднозначным остается вопрос в отношении предоставления данных соискателями на рабочие места и предоставление сведений, не поименованных в ТК РФ. Ведь при приеме на работу требуют как минимум предоставление идентификационного номера налогоплательщика и, нередко, сведений, поименованных в форме Т-2, перечень которых существенно превышает перечень, определенный в ТК РФ. В связи с этим может быть рекомендовано направление уведомления в Роскомнадзор в случае обработки данных в электронном виде в части информации о соискателях на вакантные места и в  части информации в отношении работников при предоставлении ими «расширенного», по сравнению с обязательным, перечня сведений.

Однако, можно говорить, что разрешена спорная ситуация с лицами, прекратившими трудовые отношения с организациями (уволенные). Если ранее, при наличии уволенных в организации, оператор обязан был направить уведомление в Роскомнадзор, так как применялась формулировка «относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения», то в новой редакции дана более общая формулировка, которая может быть распространена на все стадии трудового процесса.

Также не требуется направление уведомления при обработке ПДн, относящихся к членам (участникам) общественного объединения или религиозной организации в случае, если персональные данные не будут распространяться или раскрываться третьим лицам без согласия субъекта ПДн и при обработке ПДн, сделанных субъектом общедоступными.

Изменения затронули и состав сведений, подлежащих указанию в уведомлении. Дополнительно в уведомлении должна содержаться следующая информация:

  • описание мер, предусмотренных статьями 18.1 и 19 Федерального закона № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств (подп. 7 п. 3 ст. 22 Федерального закона № 152-ФЗ);
  • фамилия, имя, отчество физического лица или наименование юридического лица, ответственного за организацию обработки персональных данных и номера их контактных телефонов, почтовые адреса и адреса электронной почты (подп. 7.1 п. 3 ст. 22 Федерального закона № 152-ФЗ);
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки (подп. 10 п. 3 ст. 22 Федерального закона № 152-ФЗ);
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защитеПДн, установленными Правительством РФ (подп. 11 п. 3 ст. 22 Федерального закона № 152-ФЗ).

С учетом внесенных изменений Роскомнадзором (приказ от 19.08.2011 № 706) разработана и утверждена новая форма уведомления, а также уточнены рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Рекомендации).

Помимо внесения дополнительных граф в форму уведомления в части сведений, перечисленных выше, необходимо обратить внимание на следующие изменения.

1. При заполнении поля «адрес Оператора» требуется указывать как место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе,  так и почтовый адрес юридического лица. Как и ранее также необходимо указывать контактную информацию.

2. Более подробная информация требуется при описании мер, принимаемых оператором ПДн для обеспечения безопасности. С этой целью введена дополнительная графа, в которой подлежит указанию информация в отношении мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона № 152-ФЗ, данные по физическому лицу, ответственному за обработку данных, класс ИСПДн, а также описание организационных и технических мер, применяемых для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

Также в данном поле подлежат отражению сведения об используемых шифровальных (криптографических) средствах, в том числе:

  • наименование, регистрационные номера и производители используемых криптографических средств;
  • уровень криптографической защиты ПДн;
  • уровень специальной защиты от утечки по каналам побочных излучений и наводок;
  • уровень защиты от несанкционированного доступа.

3. Уточнен порядок заполнения поля «дата начала обработки персональных данных». Дополнено, что в этом поле необходимо указывать конкретную дату, т.е. число, месяц, год начала любого действия (операции).

Дополнительно необходимо отметить, Федеральным законом № 152-ФЗ различают обработку ПДн с использованием средств автоматизации или без использования таких средств, в то время как в Рекомендациях по заполнению уведомления предусмотрено три способа обработки ПДн:

  • неавтоматизированная обработка ПДн;
  • исключительно автоматизированная обработка ПДн с передачей полученной информации по сети или без таковой;
  • смешанная обработка ПДн.

Пунктом 2.1 статьи 25 Федерального закона № 152-ФЗ с учетом внесенных изменений и дополнений предусмотрено, что сведения в части правового основания обработки ПДн, лица ответственного за обработку ПДн, трансграничной передачи ПДн и обеспечения безопасности ПДн должны быть представлены операторами, которые осуществляли обработку персональных данных до 1 июля 2011 года, в уполномоченный орган по защите прав субъектов персональных данных не позднее 1 января 2013 года.

Кроме того, значимые изменения внесены в пункт 7 Федерального закона № 152-ФЗ «О персональных данных». Нововведениями предусмотрена необходимость уведомления территориального органа Роскомнадзора не только в случае изменений сведений, указанных в уведомлении, но и в случае прекращения обработки персональных данных.

Срок для направления информации в такой ситуации предусмотрен в течение 10 рабочих дней с даты прекращения обработки персональных данных.

Лицо, ответственное за организацию обработки ПДн

Новой статьей 22.1 Федерального закона № 152-ФЗ предусмотрена обязанность оператора назначить лицо, ответственное за организацию обработки данных. К обязанностям данного лица отнесено:

  • осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства РФ о ПДн, в том числе требований к защите ПДн;
  • доведение до сведения работников оператора положения законодательства РФ о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
  • организация приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.

В заключение рассмотрения новаций, внесенных Федеральным законом от 25.07.2011 № 261-ФЗ, следует отметить следующие частные изменения:

  • увеличен срок с 10 до 30 рабочих дней для сообщения оператором субъекту ПДн о наличии ПДн, относящихся к данному субъекту ПДн. В этот же срок оператор вправе подготовить мотивированный отказ, содержащий основание для отказа в предоставлении таких сведений;
  • в случае выявления, что персональные данные являются неполными, неточными или неактуальными, оператор обязан в течение семи рабочих дней внести в них изменения, т. е. необходимые достоверные сведения, и уведомить о соответствующих изменениях субъекта ПДн (его представителя) (п. 3 статьи 20 Федерального закона № 152-ФЗ);
  • в случае предоставления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн в срок, не превышающий 7 рабочих дней (п. 3 ст. 20 Федерального закона № 152-ФЗ);
  • в случае выявления неправомерной обработки ПДн по запросу субъекта ПДн (его представителя) либо уполномоченного органа по защите субъектов ПДн оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн с момента такого обращения или получения указанного запроса на период проверки (п. 1 ст. 21 Федерального закона № 152-ФЗ);
  • информация по запросу уполномоченного органа по защите прав субъектов ПДн, необходимая для осуществления деятельности данного органа, также должна быть представлена в течение 30 дней с даты получения запроса;
  • увеличен с 3 до 30 рабочих дней срок для уничтожения ПДн/прекращения их обработки в случае отзыва согласия субъекта ПДн.

О мероприятиях фирмы "1С" в части защиты персональных данных

В целях соответствия требованиям законодательства о защите персональных данных фирмой «1С» проведена сертификация Защищенного программного комплекса «1С:Предприятие, версия 8.2z». Согласно сертификата соответствия № 2137 от 20.07.2010, выданного ФСТЭК России, ЗПК «1С:Предприятие, версия 8.2z» признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведения, составляющие государственную тайну, и подтверждена возможность его использования для создания автоматизированных систем (АС) до класса защищенности 1Г включительно, а также для защиты информации в информационных системах персональных данных (ИСПДн) до 1 класса включительно. 

Подробный порядок приобретения ЗПК «1С:Предприятие, версия 8.2z» и изложен в информационном письме фирмы «1С»  № 12891 от 29.12.2010.

Для операторов персональных данных в качестве методической поддержки фирмой «1С» могут быть предложены:

  1. Методическое пособие «Обеспечение защиты персональных данных» 3 издание (подробнее).
  2. Курс «Организация защиты персональных данных с применением программных продуктов фирмы „1С"»  (подробнее).
  3. Мультимедийный курс «1С:Электронное обучение. Обеспечение защиты персональных данных» (подробнее).


Источник

Категория: Уголок юриста
Яндекс.Метрика