Особенности получения и обработки персональных данных в России

Процесс обработки персональной информации каждого гражданина регулируется ФЗ за № 152 «О персональных данных». Принят этот закон был с целью гарантировать защиту свобод и прав граждан легальными способами при обработке его личных сведений, в том числе гарантия неприкосновенности частной жизни гражданина, его личной и семейной тайны. Под персональными данными понимаются любые сведения, относящиеся прямым или косвенным образом к определенному (определяемому) физическому лицу, которое называется субъектом. Среди таких данных: ФИО, адреса места проживания и электронной почты, контактные номера телефонов, семейное положение, вероисповедание и т. д. Каждая организация, владеющая подобными сведениями, должна защитить информационные системы, где хранятся вышеупомянутые сведения.

Получение, обработка и хранение персональной информации

Если есть необходимость получения персональных данных работника или иных физических лиц, у организации есть право собирать ее у самого субъекта. Но в случае, получение сведений возможно исключительно у третьих лиц, в обязательном порядке субъект извещается об этом, плюс он дает согласие в письменном виде на такую процедуру. Оператор должен извещать гражданина о целях, преследуемых при сборе и обработке его личной информации. Законные основания для обработки персональных сведений перечислены в первом пункте шестой статьи второй главы ФЗ за № 152 «О персональных данных». При этом организацию обязывают гарантировать конфиденциальность персональных сведений (седьмая статья вышеуказанного закона).

Обязанности, которые имеет оператор персональных сведений

Оператор обязуется:

• обрабатывать персональные данные согласно закону;
• получать у владельца разрешение в тех случаях, когда этого требует закон;
• гарантировать конфиденциальность;
• отвечать на любые вопросы владельца касательно его персональной информации, в сроки, установленные по законодательству;
• уничтожить данные после того, как прошли сроки их обрабатывания;
• сообщать Управлению Роскомнадзора об обработке персональных сведений и мерах, предпринимаемых с целью защитить их.

Как организации могут самостоятельно защитить персональные данные

Как сбор, так обработка и защита персональной информации в России относится к лицензируемым видам деятельности. Созданием методик защиты персональных данных занимается ФСТЭК и ФСБ. В свою очередь, организация может выполнить только часть работ. К примеру, произвести сбор информации. Дальнейшие работы требуют присутствия лицензии на деятельность, заключающуюся в технической защите конфиденциальных сведений и установке устройств криптографической защиты.

Как производится проверка деятельности по обрабатыванию персональной информации

Проверку на предмет законности обрабатывания персональных сведений осуществляет Роскомнадзор. Эта организация может проводить такие проверки:

Плановая проверка

Такая проверка производится не более, чем раз в три года, на основании и в точно оговоренные сроки, поставленные в плане проверок, который готовит Роскомнадзор и утверждает прокуратура. В плане проверок может оказаться любая организация, которая занимается обработкой персональных данных. Основанием для проверки считается начало работы организации в качестве оператора персональных сведений, прошедшие три года от момента госрегистрации или от предыдущей проверки планового характера.

Внеплановая проверка

Существуют такие основания для внеплановой проверки:

1. проверка выполнения предписания о нарушении, выданного ранее;
2. выявление нарушений требований, которые являются обязательными, по итогам систематического наблюдения;
3. требование прокурора, которое основывается на поступивших обращениях и материалах в органы прокуратуры от граждан, ИП, юридических лиц, органов муниципальной и государственной власти;
4. нарушения интересов и законных прав субъектов РФ из-за бездействия операторов, которые занимаются обработкой персональных сведений;
5. приказ руководителя службы, изданный по поручению Правительства либо Президента РФ.

Проверка выполняется в срок не больше двадцати рабочих дней, однако по серьезным причинам она может быть продлена на основе приказа руководства Управления Роскомнадзора на такой же срок.

Помимо этого, проверочные мероприятия могут реализовываться такими способами:

• выездной — проверка по месту нахождения проверяемой организации;
• документарный — запрос в письменном виде о предоставлении нужной информации и документации. Если не представить документы (а по закону это делать обязательно), проверяющий орган может наложить штраф. А при неуплате административного штрафа его размер возрастает вдвое.
• систематическое наблюдение, которое происходит без взаимодействия с тем, кого проверяют. Кроме того, от проверяемого лица не требуют документов или сведений.

Какая предусмотрена ответственность за незаконное обрабатывание персональной информации

Оператору запрещено допускать сбор, сохранение, применение и распространение сведений о личной и семейной жизни, тайны переписки, почтовых и других сообщений, переговоров по телефону, если для этого нет законного основания или судебного решения.

Оператор не имеет права применять персональные данные для причинения вреда гражданам (имущественного либо морального), для усложнения реализации гражданских свобод и прав. Помимо этого, у оператора персональной информации отсутствует право ограничения прав граждан РФ, пользуясь их персональными сведениями, касающимися религиозной, расовой, национальной, партийной или языковой принадлежности. Лица, своими действиями нарушившие ФЗ «О персональных данных», несут административную, гражданскую, дисциплинарную, уголовную ответственность, а также иные виды ответственности, предусмотренные действующими законами РФ.

Требования, предъявляемые к защите персональных данных

Согласно 19 статье ФЗ «О персональных данных», предъявляемые требования относительно защиты персональных сведений являются обязательными. При обработке персональных данных оператор обязуется принимать необходимые меры, в том числе организационные, правовые, технические, либо обеспечивать их принятие с целью защиты персональной информации от случайного либо неправомерного доступа, блокирования, изменения, копирования, удаления и распространения персональных сведений. Достигается обеспечение безопасности такими методами:

• выявление угроз при обработке персональных данных в информационных системах;
• реализация технических и организационных мер для гарантии безопасности персональных данных при их обрабатывании в информационных системах;
• пользование средствами защиты информации, которые прошли процедуру оценки согласно установленному порядку;
• оценка эффективности реализуемых мер до ввода в пользование информационной системы персональных данных;
• учет машинных носителей персональной информации;
• выявление фактов несанкционированного доступа к данным и принятие соответствующих мер по защите;
• восстановление персональных данных, уничтоженных или измененных из-за несанкционированного доступа;
• установление правил для доступа к персональной информации, обрабатываемой в информационной системе данных, обеспечение регистрации и учета всех совершаемых с персональными данными действий в информационной системе.

Любые организации, осуществляющие обработку персональных сведений, обязаны придерживаться таких требований:

• выполнять требования ФЗ «О персональных данных», соответственно обеспечивая все нужные доказательства легальности сбора и обработки персональных данных;
• создавать защиту от несанкционированного распространения персональной информации;
• разрабатывать нормативные акты (локальные) и технические документы, чтобы регламентировать обработку персональных данных;
• уведомлять Роскомнадзор.

Чтобы соответствовать вышеперечисленным требованиям, необходимо выполнить такие работы:

1. Изучить операции по сбору и обработке персональных сведений в организации, а именно: в каком месте и виде они обрабатываются, где хранятся, кто за это отвечает, кто имеет доступ, каков источник персональной информации и т. д.
2. Разрабатывается пакет документации, относящейся процессу обработки персональных сведений. К нему относятся: акт категорирования, модели угроз и нарушителя, концепция, технические задание для выстраивания системы защиты, технический проект и организационно-распорядительные документы. Общее число документов достигает восьмидесяти, включая приказы и учетные журналы.
3. Внедрить технически средства защиты по созданной документации.
4. Провести аттестацию либо оценивание соответствия информационных систем.

Оценка и аттестация — это специально установленная документация, с помощью которой организация может подтвердить факт того, что она выполняет все требования современного законодательства. Основанием для разработки утвержденной документации операторов являются ФСТЭК и ФСБ, что оговорено в нормативной методической документации и приказах. К таким документам относится Приказ ФСТЭК за № 58 «Об утверждении положения о способах и методах защиты информации в информационных системах персональных данных» от 05.02.2010. В данном документе указано, как защитить персональные сведения от несанкционированного доступа. Для этого используется:

• разрешительная система для допуска пользователей к информационной системе, ресурсам и связанным с ними с документам;
• ограничение доступа в помещения, где находятся технические средства, дающие возможность производить обработку персональных сведений, а также носители;
• разграничение доступа персонала по обслуживанию и пользователей к программам и информационным ресурсам, предназначающимся для передачи и защиты сведений;
• регистрация действий обслуживающих людей и пользователей, надзор за несанкционированным доступом вышеназванных и посторонних лиц;
• проверка по учету и сохранности съемных носителей данных, исключение подмены, кражи или порчи;
• резервирование технических средств, создание дубликатов носителей данных;
• применение средств защиты данных, прошедших оценку соответствия в установленном порядке;
• применение защищенных каналов для связи;
• помещение технических устройств, дающих возможность произвести обработку персональных сведений, в границах охраняемого пространства;
• создание физической защиты технических средств и помещений;
• блокирование проникновения в информационные системы вирусов.

Теги: 152-ФЗ ответственность требования проверки