30.08.2017, 08:18
Количество просмотров

Особенности национального законоприменения № 152-ФЗ


  
    
            
             Дмитрий Слободенюк,
        
       коммерческий директор
ООО «АРинтег»     
       


В законодательстве о персональных данных все мы, физические лица, являемся
«субъектами персональных данных», соответственно имеем право на защиту
своих прав. Дмитрий Слободенюк, коммерческий директор ООО «АРинтег»,
анализирует, какие риски несет невыполнение законодательства в области
защиты персональных данных и какие шаги необходимо предпринять
для соответствия требованиям 152-ФЗ и минимизации возможных потерь.

Особенности национального законоприменения № 152-ФЗ
 - рис.1
Дмитрий Слободенюк,
коммерческий директор ООО «АРинтег»

В законодательстве о персональных данных все мы, физические лица, являемся «субъектами персональных данных», соответственно имеем право на защиту своих прав. Дмитрий Слободенюк, коммерческий директор ООО «АРинтег», анализирует, какие риски несет невыполнение законодательства в области защиты персональных данных и какие шаги необходимо предпринять для соответствия требованиям 152-ФЗ и минимизации возможных потерь.


Принятие Федерального закона «О персональных данных» явилось ответом законодательной ветви власти на один ­ из наиболее острых вызовов современной России – бесконтрольный оборот приватных сведений граждан, неуважение к частным данным в целом, а также повсеместное распространение личных записей россиян в виде баз данных. Таким образом, Федеральный закон «О персональных данных» от 27.07.2006 № 152-­ФЗ (далее – 152­-ФЗ) имеет огромное социальное значение.

Как всё начиналось

Право на неприкосновенность личной жизни зародилось в США. Сформированная в США концепция прайвеси оказала большое влияние на становление современной системы прав и свобод человека. 10 декабря 1948 года на Генеральной Ассамблее ООН была утверждена Всеобщая Декларация прав человека, в ст. 12 которой устанавливалось, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию.

В 1950 году аналогичная норма была закреплена в статье 8 Европейской конвенции о защите прав человека и основных свобод в следующей формулировке: «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции».

В России право на неприкосновенность частной жизни как самостоятельное право было сформулировано в Декларации прав и свобод человека и гражданина, принятой накануне распада союзного государства Верховным Советом РСФСР 22 ноября 1991 года. В ней предусматривается запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Следует отметить, что процесс разработки специального закона о защите персональной информации стартовал в России еще до принятия Директивы Европейского Парламента и Совета Европы 95/46/ЕС 24.10.1995 «О защите личности в отношениях обработки персональных данных и свободном обращении этих данных». Первоначальный проект закона с рабочим названием «Об информации персонального характера» разрабатывался в 1998 году в Комитете по информационной политике и связи Государственной Думы РФ при участии рабочей группы экспертов в сфере информационного законодательства. Однако этот проект закона так и не был рассмотрен в Государственной Думе РФ.

Затем по истечении более чем двух лет в Совете Безопасности РФ была сформирована другая рабочая группа, которой и был подготовлен проект принятого впоследствии Федерального закона «О персональных данных» от 27.07.2006 № 152-­ФЗ.

Федеральный закон от 07.02.2017 № 13-­ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – 13­-ФЗ) внес изменения в Кодекс РФ об административных правонарушениях (КоАП РФ).

Изменения вступили в силу 1 июля 2017 года и затронули всех без исключения работодателей, которые связаны с обработкой персональных данных (далее – ПДн) сотрудников и подрядчиков – физических лиц. Более того, поправки касаются практически всего бизнес-­сообщества, взаимодействующего с персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей).

В частности, оператор, осуществляющий сбор персональных данных в интернете (например, интернет­-магазин), обязан опубликовать в сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено п. 2 ст. 18.1 152­-ФЗ.

Преступление и наказание

Еще раз отмечу, что в соответствии со ст. 3 152-­ФЗ любая организация, имеющая в штате хотя бы одного сотрудника, априори является оператором персональных данных.

 - рис.2
По статистике, только 40% организаций серьезно подходят к соблюдению законодательства в сфере защиты ПДн

При этом операторы персональных данных не всегда обязаны подавать уведомление в Роскомнадзор. В соответствии с ч. 2 ст. 22 152-­ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, обрабатываемых в соответствии с трудовым законодательством или полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных.

По нашей статистике, только 40% организаций серьезно подходят к соблюдению законодательства в сфере защиты ПДн. Многие руководители и владельцы бизнеса любят цитировать Михаила Салтыкова­-Щедрина, говоря, что строгость российских законов смягчается необязательностью их исполнения. К их величайшему сожалению – это утверждение не работает в отношении Федерального закона «О защите персональных данных».

13-­ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появилось семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушений по разным составам выявят несколько, соответственно количество штрафов может увеличиваться.

Ранее возбуждать дела по административным делам, связанным с персональными данными, по ст. 13.11 КоАП РФ был вправе исключительно прокурор. Это предусмотрено ч. 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора стало необязательным. С указанной даты дела по статье 13.11 КоАП вправе возбуждать должностные лица Роскомнадзора. Такая поправка внесена комментируемым законом в п. 58 ч. 2 ст. 28.3 КоАП РФ. Следовательно, процедура привлечения к ответственности по делам о персональных данных становится проще.

Кроме того, в новой редакции Федерального закона от 26.12.2008 № 294-­ФЗ (ред. от 01.05.2017) «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» уточнено понятие мероприятий систематического наблюдения. Теперь к ним относится наблюдение за деятельностью по обработке персональных данных с использованием интернета. Известны случаи, когда сотрудники Роскомнадзора просматривали сайты на предмет соблюдения 152­-ФЗ и, в случае нарушений, присылали организациям по электронной почте уведомление о нарушении и наложении штрафа.

Что делать?

Некоторые сайты в интернете предлагают услуги по защите ПДн. Рекомендую настороженно относиться к такого рода услугам, т. к. за ваши деньги вам предложат шаблоны организационно-­распорядительных документов, которые и так находятся в бесплатном доступе (например, на сайте нашей компании).

На самом деле организационно­-распорядительные документы – это только верхушка айсберга.

 - рис.3
Функции по созданию требований по защите персональных данных в Российской Федерации переданы ФСТЭК и ФСБ России

Функции по созданию требований по защите персональных данных в Российской Федерации переданы ФСТЭК и ФСБ России. Регуляторы основательно подготовились и разработали весомый комплект рекомендаций по созданию систем защиты персональных данных. И организациям необходимо приложить много усилий для выполнения этих требований.

Таким образом, надо понимать, что защита персональных данных в организации – это работа, требующая серьезного подхода и базирующаяся на солидной методологической базе.

Во-­первых, необходимо провести аудит текущего состояния информационных систем персональных данных. Это можно провести самостоятельно, потратив достаточно много времени и ресурсов. Либо привлечь экспертов – компании, имеющие компетенции в области защиты персональных данных.

В ходе аудита необходимо классифицировать информационные системы, в которых у вас обрабатываются персональные данные. По данным наших специалистов, во многих компаниях наступают на одни и те же грабли: они создают множество информационных систем, забывая о том, что для каждой из них придется назначить ответственных за обработку персональных данных, за защиту информации, разработать разрешительную систему допуска к обработке персональных данных. Это приводит к бесконечному количеству нормативной документации, которую еще нужно заставить работать.

Целесообразно классифицировать информационные системы по целям их обработки. Например, если мы обрабатываем персональные данные сотрудников для выполнения требований трудового законодательства, логичнее объединить бухгалтерию и кадровое производство в общую информационную систему, назвав ее «КАДРЫ». Аналогично можно поступить с контрагентами.

После того как вы определились с количеством систем – и это во-­вторых, – вам необходимо разработать модель угроз и нарушителя и оценить уровень защищенности информационных систем. Это достаточно сложная работа, которая основана на использовании руководящих документов ФСТЭК и ФСБ России.

Помимо модели угроз, вам необходимо разработать комплект организационно­-распорядительной документации. Обладая достаточным опытом, наши специалисты разработали исчерпывающий комплект документов, который дорабатывается индивидуально под особенности деятельности каждого клиента.

В-­третьих, оценив уровень защищенности ваших информационных систем ПДн, вы должны принять меры по обеспечению их защищенности. Для этого необходимо использовать ПРИКАЗ ФСТЭК от 18.02 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Если вас пугает весь комплекс мероприятий, перечисленных выше, логично привлечь к выполнению работ эксперта: организацию- лицензиата ФСТЭК и ФСБ, которая имеет право на осуществление деятельности по технической защите конфиденциальной информации. Спектр услуг здесь достаточно широк: от проведения аудита существующих систем до подготовки модели угроз и нарушителя и комплекта организационно-­распорядительной документации, разработки технического проекта системы защиты информационных систем персональных данных, внедрения и сопровождения системы защиты информационных систем персональных данных.

Рубрика:
{}
Теги: