Advokat-inform.ru

Юридический советник
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита персональных данных

Закон «О персональных данных»

  • +–Глава 1. Общие положения (ст.ст. 1 — 4)
    • Статья 1. Сфера действия настоящего Федерального закона
    • Статья 2. Цель настоящего Федерального закона
    • Статья 3. Основные понятия, используемые в настоящем Федеральном законе
    • Статья 4. Законодательство Российской Федерации в области персональных данных
    • Статья 5. Принципы обработки персональных данных
    • Статья 6. Условия обработки персональных данных
    • Статья 7. Конфиденциальность персональных данных
    • Статья 8. Общедоступные источники персональных данных
    • Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
    • Статья 10. Специальные категории персональных данных
    • Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
    • Статья 11. Биометрические персональные данные
    • Статья 12. Трансграничная передача персональных данных
    • Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
    • Статья 14. Право субъекта персональных данных на доступ к его персональным данным
    • Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
    • Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
    • Статья 17. Право на обжалование действий или бездействия оператора
    • Статья 18. Обязанности оператора при сборе персональных данных
    • Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
    • Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
    • Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
    • Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
    • Статья 22. Уведомление об обработке персональных данных
    • Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
    • Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
    • Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных
    • Статья 24. Ответственность за нарушение требований настоящего Федерального закона
    • Статья 25. Заключительные положения

    Федеральный закон от 27 июля 2006 г. N 152-ФЗ
    «О персональных данных»

    С изменениями и дополнениями от:

    25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г., 27 декабря 2019 г., 24 апреля, 8, 30 декабря 2020 г., 11 июня, 2 июля 2021 г.

    Принят Государственной Думой 8 июля 2006 года

    Одобрен Советом Федерации 14 июля 2006 года

    ГАРАНТ:

    См. комментарии к настоящему Федеральному закону

    Президент Российской Федерации

    Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

    Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

    Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

    Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

    Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

    Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

    Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

    Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

    Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

    Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

    Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования

    Текст Федерального закона опубликован в "Российской газете" от 29 июля 2006 г. N 165, в "Парламентской газете" от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451

    В настоящий документ внесены изменения следующими документами:

    Федеральный закон от 2 июля 2021 г. N 331-ФЗ

    Изменения вступают в силу с 2 июля 2021 г.

    Федеральный закон от 11 июня 2021 г. N 170-ФЗ

    Изменения вступают в силу с 1 июля 2021 г.

    Федеральный закон от 30 декабря 2020 г. N 519-ФЗ

    Изменения вступают в силу с 1 марта 2021 г. и с 1 июля 2021 г.

    Федеральный закон от 30 декабря 2020 г. N 515-ФЗ

    Изменения вступают в силу с 10 января 2021 г.

    Федеральный закон от 8 декабря 2020 г. N 429-ФЗ

    Изменения вступают в силу с 8 декабря 2020 г.

    Федеральный закон от 24 апреля 2020 г. N 123-ФЗ

    Изменения вступают в силу с 1 июля 2020 г.

    Федеральный закон от 27 декабря 2019 г. N 480-ФЗ

    Изменения вступают в силу с 29 декабря 2020 г.

    Федеральный закон от 31 декабря 2017 г. N 498-ФЗ

    Изменения вступают в силу с 30 июня 2018 г.

    Федеральный закон от 29 июля 2017 г. N 223-ФЗ

    Изменения вступают в силу с 10 августа 2017 г.

    Федеральный закон от 1 июля 2017 г. N 148-ФЗ

    Изменения вступают в силу со дня официального опубликования названного Федерального закона

    Федеральный закон от 22 февраля 2017 г. N 16-ФЗ

    Изменения вступают в силу с 1 марта 2017 г.

    Федеральный закон от 3 июля 2016 г. N 231-ФЗ

    Изменения вступают в силу с 1 января 2017 г.

    Федеральный закон от 21 июля 2014 г. N 242-ФЗ

    Изменения вступают в силу с 1 сентября 2015 г.

    Федеральный закон от 21 июля 2014 г. N 216-ФЗ

    Изменения вступают в силу с 1 января 2015 г.

    Федеральный закон от 4 июня 2014 г. N 142-ФЗ

    Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

    Федеральный закон от 21 декабря 2013 г. N 363-ФЗ

    Изменения вступают в силу с 1 июля 2014 г.

    Федеральный закон от 23 июля 2013 г. N 205-ФЗ

    Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

    Федеральный закон от 5 апреля 2013 г. N 43-ФЗ

    Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

    Федеральный закон от 25 июля 2011 г. N 261-ФЗ

    Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.

    Федеральный закон от 4 июня 2011 г. N 123-ФЗ

    Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона

    Федеральный закон от 23 декабря 2010 г. N 359-ФЗ

    Изменения вступают в силу с 1 января 2011 г.

    Федеральный закон от 29 ноября 2010 г. N 313-ФЗ

    Изменения вступают в силу с 1 января 2011 г.

    Федеральный закон от 27 июля 2010 г. N 227-ФЗ

    Изменения вступают в силу с 1 января 2011 г.

    Федеральный закон от 27 июля 2010 г. N 204-ФЗ

    Изменения вступает в силу со дня официального опубликования названного Федерального закона

    Федеральный закон от 28 июня 2010 г. N 123-ФЗ

    Изменения вступают в силу с 1 июля 2010 г.

    Федеральный закон от 27 декабря 2009 г. N 363-ФЗ

    Изменения вступают в силу со дня официального опубликования названного Федерального закона

    Федеральный закон от 25 ноября 2009 г. N 266-ФЗ

    Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

    © ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

    Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать

    В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.

    Обеспечить защиту данных

    Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

    1. Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
    2. Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
    3. Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
    4. Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки,
      можно получить на него сертификат самостоятельно.

    Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

    Что будет, если не защитить данные

    Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

    • Физлицо — на 700–2000 рублей.
    • Должностное лицо — на 4 000–10 000 рублей.
    • ИП — на 10 000–20 000 рублей.
    • Юрлицо — на 25 000–50 000 рублей.

    Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

    Разработать документы, описывающие порядок работы с персональными данными

    Публичные документы: их показываем тем, у кого берем персональные данные

    Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.

    Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.

    Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

    Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

    Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».

    Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.

    Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными

    Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.

    Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

    Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

    Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

    Что будет, если не разработать документы

    1. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
    2. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

    Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

    Уведомить Роскомнадзор

    Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

    Отправить уведомление можно онлайн, на сайте Роскомнадзора.

    Что будет, если не отправить уведомление

    Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

    • 100–500 рублей для физлиц
    • 300–500 рублей для должностных лиц.
    • 3 000—5 000 рублей для юрлиц.

    Получать согласие на хранение и обработку персональных данных

    Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

    Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных"

    Судебная практика и законодательство — 152-ФЗ О персональных данных

    5.2. Не позднее чем за один день до дня голосования (пятница) избирательная комиссия субъекта Российской Федерации размещает на своем официальном сайте сведения из реестров избирателей, участников референдума, подавших заявления о включении в список избирателей, участников референдума по месту нахождения, с учетом требований Федерального закона «О персональных данных» в формате: имя, отчество и первая буква фамилии. Указанная информация также размещается на информационных стендах в помещениях для голосования соответствующих избирательных участков, участков референдума.

    Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276);

    36. Персональное информирование участников НИС о состоянии их именных накопительных счетов осуществляется с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30 (ч. I), ст. 4217; ст. 4243; 2016, N 27 (ч. I), ст. 4164; 2017, N 9, ст. 1276).

    <3> Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»).

    <1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

    <1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

    <1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

    <1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

    <1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

    <1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

    Обработка и защита персональных данных в организациях

    Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (Закон о ПДн) защищает личную информацию от неправомерного разглашения.

    Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.

    Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.

    Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).

    Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.

    На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.

    За работой операторов надзирает несколько ведомств:

    1. Роскомнадзор.
    2. Федеральная служба по техническому и экспортному контролю (ФСТЭК).
    3. ФСБ России.
    4. Прокуратура Российской Федерации.

    Категории персональных данных

    Персональные данные делятся на категории:

    • общая;
    • специальная;
    • биометрические данные;
    • обезличенные.

    Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

    Этот перечень открытый.

    Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

    Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

    Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

    • отпечатки пальцев;
    • ДНК;
    • сканирование сетчатки;
    • распознавание радужки.

    Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).

    Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.

    Как обрабатывать ПДн

    Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

    Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

    Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

    1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
      • сотрудников фирмы;
      • при заключении договоров;
      • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
    2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
    3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
    4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
    5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

    Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

    • регламент обработки данных;
    • правила компании по подбору персонала;
    • введение пропускного режима;
    • перечень мест хранения данных;
    • регламент уточнения, уничтожения ПДн.

    Организация защиты персональных данных

    Для защиты персональных данных применяют различные возможности:

      Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

    Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

    Чем грозит невыполнение требований по обработке персональных данных

    За нарушение законодательства предусмотрен полный спектр юридической ответственности:

    • дисциплинарная — за неправомерную обработку данных работником компании;
    • гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
    • административная — когда это предусмотрено Кодексом об административных правонарушениях;
    • уголовная — за причинение вреда наиболее охраняемым общественным интересам.

    Наиболее частое наказание — назначение административного штрафа.

    Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.

    За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.

    Размер штрафаГражданеДолжностные лицаЮрлица и индивидуальные предприниматели
    МинимальныйПредупреждение или Штраф 1 – 3 тыс. р.Штраф 5 – 10 тыс. р.Штраф 30 – 50 тыс. р.
    МаксимальныйШтраф 30 – 50 тыс.р.Штраф 100 – 200 тыс. р.Штраф 1 – 6 млн р.
    За повторное нарушениеШтраф 50 – 100 тыс. р.Штраф 500 – 800 тыс. р.Штраф 6 – 18 млн р.

    Основные нормативные документы, касающиеся обработки персональных данных

    Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.

    Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:

      от 28 января 1981 г., ETS № 108.

    Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.

    от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.

    Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.

    ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.

    Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.

    Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.

    Приказ устанавливает правила обезличивания информации.

    Приказом утверждён перечень организационных и технических мер по обеспечению безопасности ПДн.

    Кроме того, положения о защите конфиденциальной информации установлены в других федеральных законах; регламентах, приказах, инструкциях министерств и ведомств.

    Назначение ответственных за организацию защиты данных

    Оператор должен назначить ответственного за операции с конфиденциальными данными.

    Ответственное лицо обязано:

    • контролировать соблюдение законодательства в сфере защиты ПДн оператором и работниками;
    • информировать работников о правилах обработки конфиденциальных данных;
    • вести приём и обработку обращений субъектов ПДн.

    В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.

    Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.

    Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

    Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

    Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

    1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
    2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
    3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
    4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
    5. Со всеми приказами работники должны быть ознакомлены под подпись.

    Вывод

    С каждым годом контроль по стороны Роскомнадзора становится всё жёстче, а ответственность операторов — выше:

    ПериодВыписано протоколовСумма штрафов
    2018 г.156437 тыс. рублей.
    2019 г.2151 млн 99 тыс. рублей

    Из таблицы видно, что в 2019 году привлечение к административной ответственности выросло на 22 % по сравнению с предыдущим годом.

    В 2020 году ситуация обострилась: ответственность за некорректную обработку персональных данных ужесточилась. Более того, индивидуальных предпринимателей по объёму ответственности приравняли к юридическим лицам.

    Только строгое следование требованиям закона при обработке конфиденциальной информации позволит избежать нарушений и привлечения к ответственности.

    Защита персональных данных

    1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

    Рассмотрим новые правила работы с персданными подробнее.

    Для распространения данных нужно получить новое согласие

    Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

    Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

    Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

    Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

    • например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
    • через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

    Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

    Содержание согласия на распространение персональных данных

    Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

    Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

    • Ф. И. О. субъекта персональных данных;
    • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
    • наименование или Ф. И. О. и адрес оператора, получающего согласие;
    • цель обработки персональных данных;
    • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
    • условия разрешения и запрета обработки персональных данных;
    • срок, в течение которого действует согласие;
    • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

    Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

    Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

    Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

    Нельзя распространять общедоступные персональные данные без согласия

    Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

    Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

    Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

    Субъект может отозвать согласие на распространение персональных данных

    Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

    • Ф. И. О.;
    • контакты (номер телефона, адрес электронной почты или почтовый адрес);
    • перечень персональных данных, обработка которых должна быть прекращена.

    Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

    Работодателям придется соблюдать новые правила в полном объеме

    Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

    Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

    • когда договор заключается непосредственно между банком и работником;
    • когда у работодателя есть доверенность на представление интересов работника в банке;
    • когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.
    Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

    В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

    Не пропускайте последние новости — подпишитесь
    на бесплатную рассылку сайта:

    голоса
    Рейтинг статьи
    Читайте так же:
    Конфликт с жильцами в коммунальной квартире
Ссылка на основную публикацию