Документы определяющие политику обработки персональных данных
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Сфера действия ФЗ №152
Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.
Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.
Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».
Обязательность выполнения требований законодательства
Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.
Статья 19 Закона № 152-ФЗ:
«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
3. Регуляторы в сфере защиты персональных данных
Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:
Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.
ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.
ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.
Сроки выполнения требований законодательства
Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».
Нормативная база по защите персональных данных
Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с последними изменениями от 25 ноября 2009 г.)
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ
Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ
Приказ Министерства образования и науки Российской Федерации от 15 апреля 2009 г. № 133 «Об утверждении порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации»
Письмо Федерального агентства по образованию от 29.07.2009 № 17–110– «Об обеспечении защиты персональных данных»
Конвенция о защите физических лиц при автоматизированной обработке персональных данных
Конституция Рoссийской Фeдерации (cт. 23, ст. 24)
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
Приказ №153 от 28.03.2008 г. "Об утверждении формы уведомления об обработке персональных данных"
Ответственность за неисполнение законодательства по защите персональных данных
Статья
Нарушение |
Ответственность |
|
КоАП |
||
Статья 5.39. |
Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных. |
Штраф: на должностных лиц - 500 до 1.000руб. |
Статья 13.11. |
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) |
Штраф: |
Статья 13.12. |
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации. |
Штраф: на должностных лиц - от 1.000 до 2.000 руб.; |
Статья 13.14. |
Разглашение персональных данных. |
Штраф: на граждан - от 500 до 1.000 руб.; |
Статья 19.5. |
1. Невыполнение в установленный срок законного предписания Роскомнадзора. |
Штраф: на должностных лиц - от 1.000 до 2.000 руб.; |
2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа. |
Штраф: на должностных лиц - от 5.000 до 10.000 руб.; |
|
Статья 19.7. |
Непредставление Уведомления в Управление Роскомнадзора по Челябинской области. |
Штраф: на должностных лиц - от 300 до 500 руб.; |
Уголовный Кодекс |
||
Статья 137. |
Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. |
Штраф до 300.000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет. |
Статья 272. |
Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных). |
Штраф до 200.000 руб., либо лишение свободы до 2-х лет. |
Трудовой Кодекс |
||
Статья 81. |
Разглашение персональных данных другого работника. |
Расторжение трудового договора по инициативе работодателя. |
Статья 90. |
Нарушение норм, регулирующих получение, обработку и защиту персональных данных. |
Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством. |