Закон
Федеральный закон № 152-ФЗ «О персональных данных» был опубликован 26.07.2006 г.
Цель данного закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Данный закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами власти, органами местного самоуправления, муниципальными органами, юридическими лицами и физическими лицами.
Что же такое персональные данные?
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
При этом под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Обработка персональных данных сотрудников компании (например, в системах бухгалтерского и кадрового учета) также подпадает под действие данного закона.
Таким образом,
Любая российская компания, ведущая какую-либо деятельность, является оператором персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных).
Что обязана делать Ваша компания?
Соблюдать принципы и условия
Компания-оператор персональных данных должна соблюдать принципы обработки персональных данных и выполнять условия обработки персональных данных (в частности, получить согласие физического лица на обработку его персональных данных — за исключением случаев, когда обработка данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных).
Обеспечивать безопасность
Компания-оператор должна обеспечивать безопасность персональных данных, защищая их от от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Требования к обеспечению безопасности персональных данных устанавливает Правительство Российской Федерации. Такие требования определены в постановлениях правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и № 687 от 15.09.2008 г. При этом методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) Российской Федерации.
Для проведения мероприятий по обеспечению безопасности персональных данных необходима лицензия на осуществление деятельности по технической защите конфиденциальной информации.
Провести сертификацию
Должна быть проведена обязательная сертификация (аттестация) информационных систем персональных данных оператора по требованиям безопасности информации.
Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются также ФСТЭК и ФСБ РФ.
Информационные системы персональных данных, созданные до дня вступления в силу закона «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года. Информационные системы, созданные после его вступления в силу, должны соответствовать ему с момента создания.
Уведомить органы
Компания-оператор до начала обработки персональных данных обязана уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных (не обязательно для случаев обработки персональных данных сотрудников и еще некоторых случаев).
Последствия неисполнения закона «О персональных данных»
В соответствии со ст. 24 152-ФЗ «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
Уголовная ответственность
Уголовная ответственность (штрафы, запрет на занятие определённых должностей, исправительные работы, лишение свободы) может наступить по следующим статьям:
- Статья 137 УК РФ "Нарушение неприкосновенности частной жизни"
- Статья 140 УК РФ "Отказ в предоставлении гражданину информации"
- Статья 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну"
- Статья 272 УК РФ "Неправомерный доступ к компьютерной информации"
- Статья 273 УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ"
- Статья 274 УК РФ "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети"
- Статья 292 УК РФ "Служебный подлог"
- Статья 293 УК РФ "Халатность"
Административная ответственность
Административная ответственность (предупреждения, штрафы для граждан, должностных лиц и юридических лиц, конфискация средств защиты информации, административное приостановление деятельности) может наступить по следующим статьям:
- Статья 5.27 КОАП РФ "Нарушение законодательства о труде и об охране труда"
- Статья 5.39 КОАП РФ "Отказ в предоставлении гражданину информации"
- Статья 13.11 КОАП РФ "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)"
- Статья 13.12 КОАП РФ "Нарушение правил защиты информации"
- Статья 13.13 КОАП РФ "Незаконная деятельность в области защиты информации"
- Статья 13.14 КОАП РФ "Разглашение информации с ограниченным доступом"
- Статья 13.19 КОАП РФ "Нарушение порядка представления статистической информации"
- Статья 19.4 КОАП РФ "Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль)"
- Статья 19.5 КОАП РФ "Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)"
- Статья 19.6 КОАП РФ "Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения"
- Статья 19.7 КОАП РФ "Непредставление сведений (информации)"
- Статья 19.20 КОАП РФ "Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии)"
- Статья 20.25 КОАП РФ "Неуплата административного штрафа либо самовольное оставление места отбывания административного ареста"
- Статья 32.2 КОАП РФ "Исполнение постановления о наложении административного штрафа"
Ответственность за нарушение Трудового кодекса
Ответственность за нарушение Трудового кодекса (прекращение действия трудового договора, компенсация ущерба сотрудником) может наступить по следующим статьям:
- Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
- Статья 195. Привлечение к дисциплинарной ответственности руководителя организации, руководителя структурного подразделения организации, их заместителей по требованию представительного органа работников
- Статья 237. Возмещение морального вреда, причиненного работнику
- Статья 391. Рассмотрение индивидуальных трудовых споров в судах
Некоторые случаи из судебной практики:
- Бывший сотрудник Росгосстраха был приговорен к 1 году колонии-поселения по ч. 3 ст. 183 УК (незаконное разглашение сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она стала известна по работе, совершенное из корыстной заинтересованности)
- Возубждено дело об административном правонарушении в отношении директора МУП «Тепловодосервис» Ульяновской области
- По результатам проверки управлением Роскомнадзора по Нижегородской области КБ «РАДИОТЕХБАНК» материалы направлены в прокуратуру для принятия решения о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ
- Глава Гремячинского городского поселения привлечен к административной ответственности по ст. 13.11 КоАП РФ
- Суд г. Лесосибирска признал физическое лицо, размествшее на своем личном сайте базу данных с адресами и телефонами жителей города, виновным в совершении преступления, предусмотренного ч. 1 ст. 137 УК РФ (нарушение неприкосновенности частной жизни) и назначил наказание в виде 120 часов обязательных работ
- Муниципальное учреждение «Расчетно-кассовый центр» г. Владивостока признано виновным в совершении административного правонарушения предусмотренном статьёй 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах) и подвергнуто штрафу.
Выводы:
Активность регуляторов в сфере действия закона «О персональных данных» будет усиливаться с приближением 1 января 2010 г.
Неисполнение требований Закона «О персональных данных» чревато существенными рисками для предприятия.
Чем мы можем помочь?
Защита персональных данных (ЗПДн)
Мы готовы предоставить услуги по реализации мероприятий по защите персональных данных в соответствии с существующими нормативно-правовыми и методическими документами:
- Федеральным законом РФ № 152 от 27.07.2006 г. «О персональных данных»
- Постановлением Правительства РФ 17.11.07г. № 781
- Постановлением Правительства РФ 15.09.08г. № 687
- Приказом ФСТЭК, ФСБ, Мининформсвязи 13.02.08 г. № 55/86/20
- ГОСТ РИСО/МЭК 17799-2005
- ГОСТ РИСО/МЭК 27001-2006
- Нормативно-методическими документами ФСТЭК России
- Другими нормативно-правовыми документами РФ.
Деятельность осуществляется на основании лицензий, необходимых для выполнения мероприятий по технической защите персональных данных, а именно:
- Лицензии ФСТЭК «На деятельность по технической защите конфиденциальной информации»
- Лицензии ФСТЭК «На деятельность по разработке и (или) производству средств защиты конфиденциальной информации».
Цель
Наша цель при оказании данных услуг — обеспечить необходимый уровень соответствия Ваших организационно-распорядительных документов и информационных систем персональных данных при минимальных затратах с Вашей стороны.
Мы ориентируемся на максимально плотное взаимодействие с должностными лицами Заказчика, что позволяет исключить выполнение избыточных работ и снизить стоимость проекта, сохраняя при этом высокое качество результата.
Экспресс-обследование
Целью экспресс-обследования процессов обработки персональных данных и информационных систем персональных данных является оценка текущего состояния обработки и защиты персональных данных у Заказчика, с учетом специфики его деятельности, и выработка рекомендаций по принятию мер, необходимых для выполнения требований нормативно-правовой базы по защите персональных данных.
Экспресс-обследование ориентировано на организации, в которых еще не начата реализация полномасштабного плана мероприятий по защите персональных данных.
Результаты экспресс-обследования могут быть использованы Исполнителем при дальнейшей реализации комплекса мероприятий по защите персональных данных, обрабатываемых Закзачиком, приведению его информационных систем персональных данных в соответствие с требованиями законодательства РФ и их аттестации на соответствие этим требованиям.
Комплексный подход
Мы готовы реализовать как весь комплекс мероприятий по защите персональных данных, обрабатываемых Заказчиком, приведению его автоматизированных систем в соответствие с требованиями законодательства РФ и их аттестации на соответствие этим требованиям, так и отдельные элементы этого комплекса, в зависимости от Ваших потребностей.
Комплекс мероприятий разделяется на следующие стадии:
- Предпроектная стадия
- Стадия проектирования ИСПДн (СЗПДн)
- Стадия создания и ввода в действие ИСПДн (СЗПДн)
- Мероприятия по обеспечению безопасности ПДн, обрабатываемых без средств автоматизации
- Оценка соответствия ИСПДн требованиям безопасности ПДн — сертификация (аттестация)
Перед началом работ мы производим анкетирование Заказчика с использованием опросника, на основании анализа которого формируем окончательное коммерческое предложение.
