Защита персональных данных

Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (Россвязьохранкультура) №153 от 28.03.2008 г. "Об утверждении формы уведомления об обработке персональных данных"

Приказ Федеральной службы по техническому и экспортному контролю №21 от 18 февраля 2013 г. "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Приказ министерства образования и молодежной политики Ставропольского края от 06 октября 2016 г. № 1105-пр "Об организации мероприятий по выполнению требований Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов"

Сфера действия ФЗ №152

Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.

Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.

Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации»

Обязанность выполнения требований законодательства

Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Статья 19 Закона № 152-ФЗ:

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

3. Регуляторы в сфере защиты персональных данных

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.

ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.

Сроки выполнения требований законодательства

Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».

Нормативная база по защите персональных данных

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)

Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении положения и содержания организазионых и технических мер по обеспечению безопасности в информационных системах персональных данных»

Методические документы ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Методические документы ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)

Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с последними изменениями от 25 ноября 2009 г.)

Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ

Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ

Федеральный закон о 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК от 11 февраля 20013 г.№17 «Об утверждении требований о защите информации, не составляющей государсвтенную тайну, содержащейся в государственных информационных системах»

Приказ Министерства образования и науки Российской Федерации от 15 апреля 2009 г. № 133 «Об утверждении порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации»

Письмо Федерального агентства по образованию от 29.07.2009 № 17–110– «Об обеспечении защиты персональных данных»

Постановление Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 “Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных”

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Конвенция о защите физических лиц при автоматизированной обработке персональных данных

Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации

Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"

Конституция Рoссийской Фeдерации (cт. 23, ст. 24)

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Приказ №153 от 28.03.2008 г. "Об утверждении формы уведомления об обработке персональных данных"

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации

Указ №351 президента Российской Федерации от 17.03.2008 г. о мерах по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена

Указ №188 президента Российской Федерации от 6 марта 1997 года об утверждении перечня сведений конфиденциального характера

Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

Ответственность за неисполнение законодательства по защите персональных данных

Статья	Нарушение	Ответственность
КоАП
Статья 5.39. Отказ в предоставлении гражданину информации.	Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.	Штраф: на должностных лиц - 500 до 1.000руб.
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	Штраф: на должностных лиц - 500 до 1.000 руб.; на юридических лиц - 5.000 до 10.000 руб.
Статья 13.12. Нарушение правил защиты информации	Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.	Штраф: на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
Статья 13.14. Разглашение информации с ограниченным доступом	Разглашение персональных данных.	Штраф: на граждан - от 500 до 1.000 руб.; на должностных лиц - от 4.000 до 5.000 руб.
Статья 19.5. Невыполнение в срок законного предписания	1. Невыполнение в установленный срок законного предписания Роскомнадзора.	Штраф: на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
Статья 19.5. Невыполнение в срок законного предписания	2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.	Штраф: на должностных лиц - от 5.000 до 10.000 руб.; на юридических лиц - от 200.000 до 500.000 руб.
Статья 19.7. Непредставление сведений (информации)	Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.	Штраф: на должностных лиц - от 300 до 500 руб.; на юридических лиц - от 3.000 до 5.000 руб.
Уголовный Кодекс
Статья 137. Нарушение неприкосновенности частной жизни	Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.	Штраф до 300.000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.
Статья 272. Неправомерный доступ к компьютерной информации	Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).	Штраф до 200.000 руб., либо лишение свободы до 2-х лет.
Трудовой Кодекс
Статья 81. Расторжение трудового договора по инициативе работодателя.	Разглашение персональных данных другого работника.	Расторжение трудового договора по инициативе работодателя.
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.	Нарушение норм, регулирующих получение, обработку и защиту персональных данных.	Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательство