Закон «О защите персональных данных» касается той информации, которая может быть использована для идентификации физического лица. Он касается хозяйствующих субъектов, работающих с данными граждан. Здесь установлено, что он должен защищать информационные системы и иметь документы, которые бы подтверждали соответствие последних нормативно-правовым требованиям.
Повод принятия
Им послужила необходимость по устранению торговых барьеров при осуществлении торговли со странами ЕС. Конфиденциальность персональных данных при обмене гарантируется государствами, которые способны ее обеспечить. Подобный закон был принят в Норвегии и Франции более века назад. В конце 2005 года Госдума России ратифицировала конвенцию СЕ «О защите личности...», которая связана с автоматической обработкой рассматриваемых данных.
Классификация информационных систем хранения и обработки (ИСХО)
Согласно закону «О защите персональных данных», любая система, хранящая и обрабатывающая подобные данные, должна иметь класс, который будет определять осуществляемую защиту. ИСХО классифицируются на:
- типовые;
- специальные.
Последние нуждаются в проведении лицензирования для осуществления их эксплуатации. Примером подобных систем являются те из них, в которых хранятся данные о здоровье конкретного гражданина, а также такие, на базе которых могут приниматься решения, имеющие некоторые юридические последствия. Класс подобных систем определяют на базе модели угроз безопасности рассматриваемого типа данных по нормативно-методическим документам определенных регуляторов.
Принятие закона
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ был принят в 2006 году, а вступил в силу с января следующего года. Несколько раз переносились сроки по приведению созданных в прошлом информационных систем рассматриваемых в статье сведений к требованиям данного закона. В конечном итоге было определено, что они, созданные до начала 2011 года, должны были быть приведены к нормативно-правовым требованиям данного документа не позднее 1.07.2011.
Изменения с конца 2015 года
С сентября данного года в обязанности оператора при сборе персональных данных была вменена их обработка и хранение по отношению к гражданам РФ с применением баз данных, располагающихся в пределах нашей страны. Позднее было выпущено разъяснения Минкомсвязи по спорным толкованиям и определениям данного положения.
Изменения, принятые в 2017 году
Еще в начале прошедшего года Госдума приняла нормативно-правовой акт об ужесточении наказаний за нарушение закона «О персональных данных» в виде увеличения штрафов. Если данные собираются в непредусмотренных законом случаях либо обработка производится с целями, несовместимыми с законодательными, то штраф составляет для физических лиц 1-3 тыс. руб., для юрлиц — 30-50, для их должностных — 5-10 тысяч рублей.
Перед принятием рассматриваемых сведений нужно, чтобы дал согласие субъект персональных данных на обработку его персональных данных. Если оно не было получено, то на граждан налагается штраф 3000-5000 руб., на юрлиц — 15 000-75 000 руб., при этом на их должностных представителей — лишь 10-20 тысяч рублей.
Если оператор, работающий в муниципальных или государственных органах, не соблюдает требования по обезличиванию данных, то на должностное лицо налагается наказание в виде платежа в размере 10-15 тысяч рублей. При его отказе в предоставлении информации конкретному гражданину об обработке рассматриваемых сведений, предоставленных им, налагается предупреждение либо штраф, составляющий 1-2 тысячи рублей для физических лиц, 10-15 - для предпринимателей, 20-40 тысяч рублей для юрлиц, 4000-6000 руб. при наложении штрафа на должностных лиц. Последние выделяются отдельно в данной статье, поскольку хозяйствующие субъекты в большинстве случаев стараются уйти от оплаты штрафов, переложив их для смягчения удара именно на этих лиц.
Принципы обработки персональных данных
- Последняя должна осуществляться на законодательной основе с использованием принципа справедливости.
- Те данные, которые подпадают под обработку, должны быть конкретными.
- Они также должны быть краткими.
- В случае получения неполных и неточных сведений оператор должен их уточнять или удалять.
Субъекты правоотношений по обеспечению безопасности
Ими могут выступать практически любые лица. В случае если инспектор отдела кадров или секретарь набирают идентифицирующую сотрудников информацию, включая их Ф.И.О., телефоны, адреса, даты рождений — это уже персональная информация, которая должна быть защищенной. Ценность данных сведений возрастает с каждым днем. Она может использоваться для получения кредитов, шантажа определенных лиц, иной незаконной деятельности.
Персональные данные составляют большую долю от всех возможных источников утечки информации. В связи с этим законом "О защите персональных данных" в обязанности оператора при сборе персональных данных отнесены обеспечение:
- записи;
- накопления;
- систематизации;
- хранения;
- извлечения;
- уточнения (при необходимости) рассматриваемых идентифицирующих сведений физических лиц, являющихся гражданами РФ при использовании баз данных, которые находятся на пространствах нашего государства.
Спецкатегории рассматриваемых данных
Существует Приказ ФСТЭК, ФСБ и Миниформсвязи РФ от 2008 года, по которому исследуемые сведения подразделяются на несколько категорий. К первой из них относятся специальные категории персональных данных.
К ним относится предоставление следующих сведений:
- о здоровье гражданина;
- о его интимной жизни;
- о национальной и расовой принадлежности;
- о судимости;
- о политических взглядах;
- о философских и религиозных убеждениях.
86-я статья Трудового кодекса предусматривает специальные требования для получения и обработки рассматриваемых сведений в отношении политических и иных убеждений работника, информации о его частной жизни, членстве в профсоюзах и общественных организациях. Однако рассматриваемый закон не предполагает отнесение двух последних категорий к специальным.
Ответственность при невыполнении требований
Хозяйствующие субъекты, работающие с персональными данными, имеют риски из-за поступления гражданских исков в суды от субъектов подобных сведений, что особенно актуально при утечке последних. На них могут быть наложены штрафы, несертифицированные средства защиты могут быть конфискованы. Помимо этого, им может быть запрещена деятельность по обработке исследуемых сведений.
В ст. КоАП 13.11 внесены изменения о нарушении законодательства в рассматриваемой сфере. Согласие субъекта на обработку персональных данных в отдельных случаях должно быть письменным. Если это условие нарушается, то на граждан налагается штраф в размере 3000-5000 руб., на юрлиц — 15 000-75 000 руб., на их представителей в виде должностных лиц — 10-20 тысяч рублей. Такое же наказание в виде обязательного платежа применяется в случае изменения состава информации, на обработку которой было получено согласие от определенного субъекта.
Протоколы о нарушении данной статьи КоАП составляются Роскомнадзором или его территориальными отделениями. Ранее при обращении их в суд в цепочку встраивались органы прокуратуры, которые в настоящее время исключены из процесса, что должно ускорить его прохождение. Это является отрицательным моментом для хозяйствующих субъектов и положительным для государства, поскольку срок исковой давности по делам, связанным с защитой рассматриваемых сведений, составляет всего 3 месяца, и при нахождении прокуратуры в цепочке многие экономические субъекты успевали уходить от ответственности.
В заключение
Закон «О защите персональных данных» принят законодательным органом еще в 2006 году. Однако и на сегодняшний день не существует эффективных и недорогих способов защиты персональной информации от утечек и иных угроз. Большинство хозяйствующих субъектов, занимающихся аутсорсингом в рассматриваемой сфере, занимаются не защитой, а сбором документов для получения соответствующих лицензий. Требования этого закона призваны обеспечить устранение барьеров при осуществлении международной торговли со странами ЕС. Принятые в 2017 году поправки говорят о том, что, по всей видимости, он будет использоваться и для пополнения бюджета.
