Закон о персональных данных регулирует

Закон «О персональных данных»

Федеральный закон от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»

С изменениями и дополнениями от:

25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г., 27 декабря 2019 г.

Одобрен Советом Федерации 14 июля 2006 года

ГАРАНТ:

См. комментарии к настоящему Федеральному закону

Президент Российской Федерации

Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования

Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165, в «Парламентской газете» от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451

В настоящий документ внесены изменения следующими документами:

Федеральный закон от 27 декабря 2019 г. N 480-ФЗ

Изменения вступают в силу с 29 декабря 2020 г.

См. будущую редакцию настоящего документа

Текст настоящего документа представлен в редакции, действующей на момент выхода установленной у Вас версии системы ГАРАНТ

Федеральный закон от 31 декабря 2017 г. N 498-ФЗ

Изменения вступают в силу с 30 июня 2018 г.

Федеральный закон от 29 июля 2017 г. N 223-ФЗ

Изменения вступают в силу с 10 августа 2017 г.

Федеральный закон от 1 июля 2017 г. N 148-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 22 февраля 2017 г. N 16-ФЗ

Изменения вступают в силу с 1 марта 2017 г.

Федеральный закон от 3 июля 2016 г. N 231-ФЗ

Изменения вступают в силу с 1 января 2017 г.

Федеральный закон от 21 июля 2014 г. N 242-ФЗ

Изменения вступают в силу с 1 сентября 2015 г.

Федеральный закон от 21 июля 2014 г. N 216-ФЗ

Изменения вступают в силу с 1 января 2015 г.

Федеральный закон от 4 июня 2014 г. N 142-ФЗ

Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 21 декабря 2013 г. N 363-ФЗ

Изменения вступают в силу с 1 июля 2014 г.

Федеральный закон от 23 июля 2013 г. N 205-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 5 апреля 2013 г. N 43-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 25 июля 2011 г. N 261-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.

Федеральный закон от 4 июня 2011 г. N 123-ФЗ

Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 23 декабря 2010 г. N 359-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 29 ноября 2010 г. N 313-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 227-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 204-ФЗ

Изменения вступает в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 28 июня 2010 г. N 123-ФЗ

Изменения вступают в силу с 1 июля 2010 г.

Федеральный закон от 27 декабря 2009 г. N 363-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 25 ноября 2009 г. N 266-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/12148567/

Статья 1. Сфера действия настоящего Федерального закона

Статья 1 . Сфера действия настоящего Федерального закона

ГАРАНТ:

См. комментарии к статье 1 настоящего Федерального закона

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ часть 1 статьи 1 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу с 1 июля 2011 г.;

Информация об изменениях:

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) утратил силу с 10 августа 2017 г. — Федеральный закон от 29 июля 2017 г. N 223-ФЗ

Источник: http://base.garant.ru/12148567/1cafb24d049dcd1e7707a22d98e9858f/

Закон о персональных данных регулирует

«Конституция Российской Федерации» от 12.12.93 г.;

Указ Президента РФ № 188 от 06.03.97 г. «Об утверждении перечня сведений конфиденциального характера»;

Федеральный закон № 149-ФЗ от 27.07.06 г. «Об информации, информационных технологиях и о защите информации»;

Федеральный закон № 197-ФЗ от 30.12.01 г. «Трудовой кодекс Российской Федерации»;

Федеральный закон № 152-ФЗ от 27.07.06 г. «О персональных данных»;

Постановление Правительства РФ № 781 от 17.11.07 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказ Россвязьохранкультуры № 154 от 28.03.08 г. «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.08 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

Указ Президента РФ № 351 от 17.03.08 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

Указ Президента РФ № 609 от 30.05.05 г. «Об утверждении положения о персональных данных государственного гражданского служащего российской Федерации и ведении его личного дела»;

Постановление Правительства РФ № 1233 от 03.11.94 г. «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных

Техническая защита персональных данных регламентируется следующими основными документами:

Федеральный закон № 128-ФЗ от 08.08.01 г. «О лицензировании отдельных видов деятельности»;

Постановление Правительства РФ № 45 от 26.01.06 г. «Об организации лицензирования отдельных видов деятельности»;

Постановление Правительства РФ № 504 от 15.08.06 г. «О лицензировании деятельности по технической защите конфиденциальной информации»;

«Положение о государственном лицензировании деятельности в области защиты информации», решение Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации № 10 от 27.04.94 г.;

«Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Государственной технической комиссии при Президенте РФ 25.11.94 г.;

Постановление Правительства РФ № 608 от 26.06.95 г. «О сертификации средств защиты информации»;

«Положение о сертификации средств защиты информации по требованиям безопасности информации», приказ Председателя Гостехкомиссии России № 199 от 27.10.95 г.;

Указ Президента РФ № 334 от 03.04.95 г. «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;

Указ Президента РФ № 1085 от 16.08.04 г. «Вопросы Федеральной службы по техническому и экспортному контролю»;

документы ФСБ и ФСТЭК России по обеспечению безопасности конфиденциальной (персональные данные) информации;

другие законодательные акты.

Нормативно-правовая база по смежным направлениям:

Закон № 5341-1 от 07.07.93 г. «Об архивном фонде Российской Федерации и архивах»;

Федеральный закон № 25-ФЗ от 02.03.07 г. «О муниципальной службе в Российской Федерации»;

Постановление Государственного Комитета Российской Федерации по стандартизации и метрологии № 454-ст от 06.11.01 г. «О принятии и введении в действие ОКВЭД»;

Материалы Минэкономразвития России «О создании системы персонального учета населения Российской Федерации»;

Распоряжение Правительства Российской Федерации № 748-р от 09.06.05 г. «Концепция создания системы персонального учета населения Российской Федерации»;

Указ Президента РФ № 320 от 12.03.07 г. «О Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия»;

Постановление Правительства РФ № 419 от 02.06.08 г. «Об утверждении положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций»;

Приказ Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 128 от 19.03.08 г. «Об утверждении административного регламента Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по исполнению государственной функции по рассмотрению обращений операторов связи по вопросам присоединения сетей электросвязи и взаимодействия операторов связи, принятию по ним решений и выдаче предписаний в соответствии с федеральным законом»;

Федеральный закон № 40-ФЗ от 03.04.95 г. «О федеральной службе безопасности»;

Руководящий нормативный документ МВД России, утвержденный Заместителем Министра внутренних дел России «РД Системы и комплексы охранной сигнализации, элементы технической укрепленности объектов. Нормы проектирования»;

Руководящий документ ГУВО МВД России «Р Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов. Рекомендации»;

Государственный стандарт РФ ГОСТ Р «Делопроизводство и архивное дело. Термины и определения», утвержденный Постановлением Госстандарта РФ № 28 от 27.02.98 г.;

«Правила устройства электроустановок», утвержденные приказом Минпромэнерго России;

другие законодательные акты.

Ответственность за нарушение требований в части защиты персональных данных отражена в следующих документах:

Федеральный закон № 197-ФЗ от 30.12.01 г. (с изменениями) «Трудовой кодекс Российской Федерации»;

Федеральный закон № 63-ФЗ от 13.06.96 г. (с изменениями) «Уголовный кодекс Российской Федерации»;

Федеральный закон № 195-ФЗ от 30.12.01 г. (с изменениями) «Кодекс Российской Федерации об административных правонарушениях».

Источник: http://mai.ru/pd/law.php

Закон «О персональных данных» — что нужно знать агентству

Работаете с персональными данными клиентов и сотрудников? Стремитесь улучшить позиции в работе с иностранными компаниями и госсектором? Этот материал для вас.

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

• Что регулирует закон № 152-ФЗ «О персональных данных»?
• Кто попадает под действие закона?
• Какие основные требования закона № 152-ФЗ?
• Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
• Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

МегаФон Таргет – получите промокод бесплатно и запустите свою первую кампанию!

Таргетированные SMS-рассылки с множеством фильтров для определения ЦА. Стоимость от 1,7 руб. за сообщение, CTR доходит до 45%!

Получите промокод на 1000 SMS на вашу первую кампанию прямо сейчас! Cossa рекомендует.

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

• Сотрудников;
• Близких родственников сотрудников;
• Кандидатов на вакантную должность;
• Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

• Реклама и диджитал;
• Финансы и кредитование;
• Медицина и фармокология;
• Телекоммуникации;
• Образование;
• Офлайн- и онлайн-ритейл;
• Гостиничное дело;
• Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

• Для трудоустройства сотрудников и оформления им ДМС;
• Для выдачи карт лояльности;
• Для рекламных и новостных рассылок;
• Для оказания услуг;
• Для регистрации на сайтах и информационных системах;
• Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации.
2. Привести процессы работы с персональными данными в соответствие с законом.
3. Реализовать техническую защиту персональных данных в информационных системах.
4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

• Наложение на организацию штрафа до 300 000 рублей;
• Наложение на должностных лиц штрафа до 10 000 рублей;
• Разрыв трудового договора с должностным лицом;
• Запрет руководителю занимать руководящие должности на срок до 3-х лет;
• Блокировка сайта организации по жалобе физического лица;
• Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

• Собственными силами;
• Привлечь юриста;
• Обратиться к системному интегратору;
• «Ждать, пока грянет гром»;
• Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник: http://www.cossa.ru/152/116858/

Закон о персональных данных регулирует

Нормативные правовые акты в области персональных данных

Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях»

Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ — Глава 14 «Защита персональных данных работника»

Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»

Федеральный закон Российской Федерации от 25.07.2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»

Федеральный закон от 30.12.2015 г. № 439-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»

Указ Президента Российской Федерации от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

Распоряжение Президента Российской Федерации от 10.07.2001 г. № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»

Постановление Правительства Российской Федерации от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

Постановление Правительства Российской Федерации от 03.11.1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использования атомной энергии и уполномоченном органе по космической деятельности»

Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства РФ от 04.03.2010 г. № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»

Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

Распоряжение Правительства Российской Федерации от 15.08.2007 г. № 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»

Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»

Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Приказ Минкомвязи России от 20.07.2017 г. № 373 «О признании утратившими силу приказов Министерства связи и массовых коммуникаций РФ» от 21 декабря 2011 №346, от 28 августа 2015 №315 и п.9 приказа Министерства связи и массовых коммуникаций РФ от 24 ноября 2014 №403

Приказ Роскомнадзора от 30.05.2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»

Приказ Роскомнадзора от 30.10. 2018 г. № 159 «О внесении изменений в М етодические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94»

Постановление Правительства Российской Федерации от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

Время публикации: 20.01.2010 11:21
Последнее изменение: 21.03.2019 06:31

Источник: http://77.rkn.gov.ru/law/p4735/

Закон о персональных данных регулирует

Понятие информационно-телекоммуникационной сети раскрывается в ст.2 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее по тексту — ФЗ «Об информации, информационных технологиях и о защите информации»). Под информационно-телекоммуникационной сетью понимается технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Таким образом, нормы комментируемого Закона теперь распространяются и на участников и операторов передачи голосовых и иных сообщений (данных) по сетям связи (например, передача сообщений по электронной или голосовой почте и т.п.).

Порядок обработки ПД без использования средств автоматизации регулируется комментируемым Законом в том случае, если такая обработка, как установлено в ч.1 комментируемой статьи, соответствует характеру действий (операций), совершаемых с ПД с использованием средств автоматизации.

Под обработкой ПД без использования средств автоматизации здесь понимается такая обработка ПД, которая позволяет осуществлять в соответствии с заданным алгоритмом поиск ПД, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПД, и (или) доступ к таким данным. Таким образом, действия комментируемого Закона распространяются только на массовую обработку ПД. Например, создание в организации картотеки данных клиентов на бумажных носителях будет считаться обработкой ПД без использования средств автоматизации и подпадать под действие комментируемого Закона.

Под средствами автоматизации понимаются технические средства, освобождающие человека частично или полностью от непосредственного участия в процессах получения, преобразования, передачи и использования информации. В качестве примера можно привести автоматизированные банковские системы, содержащие данные о сотрудниках банка, о клиентах, партнерах, биллинговые системы, содержащие данные о клиентах, осуществляющих оплату услуг, call-центры, содержащие данные о клиентах и сотрудниках в зависимости от предназначения call-центра, автоматизированные медицинские системы, содержащие данные о пациентах и т.п.

Комментарий к статье 2. Цель настоящего Федерального закона

Учитывая изложенное, суд посчитал исковые требования о нарушении ответчиком личных неимущественных прав истцов, — права на неприкосновенность частной жизни и права на охрану изображения, — нашедшими свое подтверждение. В связи с указанным, требования истцов о взыскании с ответчика компенсации морального вреда были удовлетворены (см. апелляционное определение Московского городского суда от 20 ноября 2015 года N 33-39646/15; см. также Обзор практики рассмотрения судами дел по спорам о защите чести, достоинства и деловой репутации (утв. Президиумом Верховного Суда РФ 16 марта 2016 года), постановление Пленума Верховного Суда РФ от 24 февраля 2005 года N 3 «О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридических лиц»).

Во всем мире ПД стремятся защищать на уровне государства, принимая законы, регулирующие порядок сбора, хранения и использования сведений о гражданах страны.

Обеспечивая защиту ПД, Россия укрепляет правовую защищенность и безопасность личности и создает благоприятную обстановку для всестороннего развития граждан и общества в целом.

Комментируемый Закон установил такие гарантии защиты ПД в нашей стране, как:

— ограничение на передачу персональной информации третьим лицам без согласия человека;

— требование к информированию человека о целях и способах обработки информации о нем;

— необходимость получать согласие на сбор сведений о человеке у него самого;

— обеспечение безопасности и конфиденциальности персональных данных.

Основными правовыми актами, защищающими права субъектов ПД, являются:

— комментируемый Закон;

— ФЗ «Об информации, информационных технологиях и о защите информации»;

— Указ Президента РФ от 6 марта 1997 года N 188 «Об утверждении перечня сведений конфиденциального характера»;

— Указ Президента РФ от 30 мая 2005 года N 609 «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;

— Указ Президента РФ от 17 марта 2008 года N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 года);

— Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены Центром ФСБ России от 21 февраля 2008 года N 149/54-144);

— Типовые требования по организации и обеспечению функционирования шифро- (крипто-) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21 февраля 2008 года N 149/6/6-622).

Среди международных актов, связанных с регулированием порядка обработки ПД, участником которых является Российская Федерация, необходимо отметить Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года) и некоторые другие акты (см. об этом подробнее комментарий к ст.4 Закона).

Комментарий к статье 3. Основные понятия, используемые в настоящем Федеральном законе

Пример 2. Ответчик, являющийся владельцем сайта, без ведома истца разместил на сайте объявление о продаже квартиры с указанием городского номера телефона истца. При этом истец утверждал, что данное объявление истцом и членами семьи истца не размещалось, к риэлторам истец не обращался. В связи с указанным, истец просил суд взыскать с ответчика моральный вред, причиненный истцу. Однако суд отказал в удовлетворении этих требований, потому что, исследовав материалы дела, не нашел в действиях ответчика действий, непосредственно направленных на нарушение личных неимущественных прав истца либо посягающих на принадлежащие ему нематериальные блага (см. апелляционное определение Московского городского суда от 2 февраля 2016 года по делу N 33-3609/2016).

3. Под обработкой ПД понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, в том числе, следующие действия:

— сбор ПД;

— запись ПД;

— систематизацию ПД;

— накопление ПД;

— хранение ПД;

— уточнение (обновление, изменение) ПД;

— извлечение ПД;

— использование ПД;

— передачу (распространение, предоставление, доступ) ПД;

— обезличивание ПД;

— блокирование ПД;

— удаление ПД;

— уничтожение ПД.

Статьей 86 Трудового кодекса РФ (далее — ТК РФ) устанавливаются общие требования при обработке ПД работника и гарантии их защиты:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

4. Под «автоматизированной обработкой ПД» законодатель понимает обработку ПД при помощи любых средств вычислительной техники.

7. Блокированием ПД признается временное прекращение любой обработки ПД. В качестве исключения назван случай, когда такая обработка необходима для уточнения ПД.

Следует отметить, что такой способ как блокирование ПД в отечественной практике введен впервые комментируемым Законом.

8. Уничтожение ПД. Существует ряд ситуаций, когда оператор обязан прекратить обработку ПД, блокировать или уничтожить их. Эти случаи предусмотрены ст.5, 14, 21 комментируемого Закона.

12. Впервые вопрос о трансграничной передаче ПД возник, когда начался процесс объединения Европы. Ранее субъект ПД имел право отстоять свои интересы в собственной стране, но если нарушение его прав произошло за ее пределами, обеспечить полноценную защиту своих интересов он не мог.

Комментарий к статье 4. Законодательство Российской Федерации в области персональных данных

4. Комментируемая норма, воспроизводя положения ч.4 ст.15 Конституции РФ и п.2 ст.5 Федерального закона от 15 июля 1995 года N 101-ФЗ «О международных договорах Российской Федерации» о превосходстве применения международных договоров РФ по отношению к национальному законодательству, носит предельно лаконичный характер, вызывая тем самым ряд определенных трудностей в ее практическом применении. Так, в частности, не установлено, какие именно международные договоры РФ (межгосударственные, межправительственные, межведомственного характера) и в отношении каких именно законов имеют приоритет. Представляется, что в решении данного вопроса необходимо учитывать такой критерий, как юридическая сила международных договоров Российской Федерации и характер их взаимоотношений с национальными законами. По этой причине достаточно обоснованным можно считать изложенное в отечественной юридической литературе мнение об установлении следующей дифференциации :
________________

1) Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 3 Конвенции не будет применять Конвенцию к персональным данным:

а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;

б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;

2) Российская Федерация заявляет, что в соответствии с подпунктом «с» пункта 2 статьи 3 Конвенции будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;

Доступ к полной версии этого документа ограничен

Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт» или купите этот документ прямо сейчас всего за 49 руб.

Источник: http://docs.cntd.ru/document/420369132