152-ФЗ «О персональных данных»

Основой российского законодательства в сфере защиты личной информации о гражданах является ФЗ-152, который действует более 15 лет, но до сих пор, по мнению многих экспертов, нуждается в корректировке. О том, что собой представляет этот документ, какие обязательства он накладывает на операторов и какие права дает субъектам ПДн, необходимо разобраться всем, кто намерен осуществлять обработку персональных данных. От тщательности проработки вопросов, связанных с защитой подобных сведений, в дальнейшем будет зависеть целый ряд важных моментов:

• взаимоотношения с Роскомнадзором, ФНС и другими регулирующими государственными структурами — при выявлении нарушений Федерального закона ФЗ-152 «О персональных данных» компетентные органы имеют право наложить штрафные санкции, причем с каждым годом суммы, которые приходится выплачивать, возрастают;
• имидж компании — клиенты и партнеры гораздо лояльнее относятся к тем, кто выполняет требования и прилагает все необходимые усилия по защите персональных данных;
• финансовые затраты — в современных реалиях приходится регулярно и достаточно много инвестировать в информационную безопасность, и необходимо, чтобы вложения были рациональными и оправдывали себя. В частности, многие фирмы принимают решение о привлечении специалистов по защите ПДн на условиях аутсорсинга, что позволяет привести деятельность в точное соответствие с актуальными законодательными требованиями;
• организация работы предприятия — в зависимости от того, как и с какими данными вы будете работать, какие угрозы будут выявлены, будет зависеть выбор средств защиты, организация доступа к конфиденциальной информации и т.д.

Отметим, что нормативно-правовая база находится в состоянии постоянной доработки, и необходимо следить за последними изменениями либо, если нет возможности или достаточной квалификации для этого, обращаться за профессиональной помощью. Наша компания готова предоставить полную организационную, юридическую и техническую поддержку в этой сфере на выгодных для клиента условиях.

Предпосылки для принятия ФЗ-152

Острая потребность в создании отдельного документа, который бы на федеральном уровне регулировал взаимоотношения между гражданами и операторами ПДн, возникла в начале 2000-х годов. Этому способствовало активное развитие торговли РФ с европейскими странами, где законодательная база по данному вопросу была достаточно конкретной и имела длительную историю совершенствования. Чтобы иметь возможность продавать и покупать товары, обеспечивая достаточный уровень безопасности информации, которой обменивались клиенты и поставщики, России необходимо было интегрировать как минимум базовые принципы защиты ПДн.

Первым серьезным шагом стала ратификация в 2005 г. Конвенции Европы, определяющей права личности в рамках автоматической обработки сведений о физических лицах. Параллельно депутаты Государственной думы начали разработку внутреннего правового акта, и через год был принят Федеральный закон № 152 о защите персональных данных, в который как минимум несколько раз в год вносятся правки. Последнюю редакцию можно посмотреть на официальном сайте правительства и на других специализированных ресурсах. Для корректного исполнения его положений было разработано и принято множество подзаконных нормативно-правовых актов, разъясняющих и уточняющих отдельные вопросы, однако, до сих пор между участниками процесса обработки ПДн возникают споры в понимании того, как интерпретировать определенные статьи и применять их в реальной жизни.

Среди ключевых требований, которые предусмотрены законом № 152 для операторов, следует отметить:

• информирование Роскомнадзора о начале совершения операций с ПДн;
• присвоение системе обработки данных того или иного класса и организация в соответствии с ним определенной защиты;
• получение лицензии при создании специальной информационной системы — к таким ИС относятся те, которые становятся основой для принятия решений, имеющих правовые последствия;
• отказ от чрезмерного использования ПДн;
• получение согласия на обработку данных у субъекта;
• прекращение операций по заявлению владельца за исключением отдельных случаев, прописанных в законе;
• применение сертифицированных средств защиты;
• несение ответственности за совершенные нарушения.

Основное, что необходимо знать про закон о защите персональных данных

Документ направлен на обеспечение гарантий безопасности субъектов ПДн — профилактику несанкционированного доступа, распространения, изменения, удаления и использования в противозаконных целях либо без получения предварительного одобрения. ФЗ-152 призван минимизировать вероятность противоправных действий в отношении граждан, установить общие правила обработки и наказывать нарушителей существующих правил. Главное, что устанавливает нормативно-правовой акт, — это ответственность ИП, компании, муниципального органа и т.д. за обеспечение конфиденциальности ПДн.

Виновником распространения персональных сведений может быть не только оператор, но и сам владелец, например, когда дает согласие на проведение обработки сомнительным организациям или частным лицам.

Основная информация о Федеральном законе 152:

• содержание — 6 глав, 25 статей;
• принятие Госдумой — 6.07.2006;
• получение одобрения от Совета РФ — 14.07.2006;
• подписание президентом — 27.07.2006;
• опубликование в «РГ» — 2.07.2006;
• вступление в силу — 26.01.2007;

Каждая из глав посвящена определенному аспекту работы с ПДн:

1. В первой описываются общие положения, область действия и цели, а также наиболее важные понятия и особенности правового регулирования в области защиты частных сведений.
2. Во второй указан список принципов совершения операций с личной информацией, условия, на которых они осуществляются, а также нюансы, связанные с составлением и подписанием согласия субъекта. Отдельно определяются разные категории и виды ПДн: специальные, биометрические; есть определение трансграничной передачи данных и вопросы, касающиеся работы муниципальных и государственных информационных систем.
3. Третья глава в равной степени информативна для операторов и граждан, поскольку расписывает права последних, к которым относятся получение доступа, применение в маркетинговых целях, подача жалоб на компанию, совершающую обработку и т.д.
4. Четвертой главе последовательно разъясняется, что должен делать оператор, чтобы не считаться в глазах закона нарушителем.
5. В пятой главе сообщается о том, кто имеет полномочия контролировать операторов, что конкретно могут делать надзорные структуры, а также к каким последствиям должны быть готовы нарушители.
6. В самом конце представлены заключительные рекомендации и сведения о вступлении документа в силу.

Краткий обзор ключевых моментов ФЗ «О персональных данных»

Чтобы вникнуть во все пункты основного документа о ПДн, потребуется немало времени и серьезная юридическая подготовка. Поэтому на начальном этапе деятельности, предусматривающей получение, хранение, изменение, использование личных сведений и другие операции, есть смысл проконсультироваться с экспертом чтобы со стороны контролирующих органов не было нареканий.

Далее рассмотрим ряд аспектов касаемо закона о защите персональных данных ФЗ-152 чтобы раскрыть общее представление о правах и обязанностях при обработке личной информации:

1. Под персональными данными понимаются те сведения, которые косвенно либо прямо касаются гражданина и позволяют идентифицировать его личность. Пример — номер и серия паспорта, Ф.И.О. в полной версии, место и дата рождения, отпечатки пальцев, индивидуальный номер налогоплательщика и т.д.

2. Закон 152 ФЗ действует в отношении тех, кто выполняет те или иные операции с ПДн: использование, хранение, дополнение, изменение, блокировку, внутреннюю или трансграничную передачу, распространение, обновление, систематизацию и т.д. Речь идет не только о компаниях, но также о предпринимателях, государственных и муниципальных органов, правда, требования к разным категориям операторов несколько отличаются.

Еще один немаловажный нюанс — обработка необязательно должна носить автоматизированный характер, это также может быть создание архива или картотеки, ведение журналов и других бумажных документов.

3. Нормы, описанные в законе, не касаются тех, кто производит операции для потребностей семьи, себя лично, также правила не касаются ПДн, классифицируемых как гостайна либо подлежащих официальному архивированию.

4. У каждого субъекта, чьи ПДн обрабатывает организация либо ИП, необходимо получить согласие, в котором следует прописать цели обработки, категории данных, сроки, способы защиты и т.д. С 2021 года требуется получать еще одно согласие — на распространение сведений третьим лицам либо размещение на открытых ресурсах, например, на сайте либо в социальных сетях.

5. В отдельных ситуациях ФЗ о защите персональных данных позволяет обойтись без официального согласия:

• при ведении творческой, журналистской, литературной, научной деятельности;
• во время судебного производства;
• если речь идет об исполнении подписанного субъектом ранее договора;
• когда необходимо обеспечить жизнь и здоровье частного лица, но при этом нет физической возможности (например, человек находится в бессознательном состоянии) получить согласие.

6. Согласие считается недействительным без указания Ф.И.О., даты и подписи субъекта.

7. Общим правилом для операторов является подача уведомления в орган по защите прав граждан в сфере ПДн о начале совершения операций с конфиденциальными сведениями. Однако без него можно обойтись при обработке в рамках исполнения ТК РФ, организации работы общественного объединения, предварительном составлении договора с физическим лицом-субъектом, использовании только Ф.И.О., выдаче однократных пропусков на территорию предприятия. Также уведомления не нужны, если не предусмотрена автоматизированная обработка либо данные входят в ГАС.

8. В качестве основной государственной структуры, которая обладает правом надзирать за исполнением требований закона о персональных данных 152 ФЗ, выступает Роскомнадзор, за реализацию технических мер — ФСТЭК. В тех случаях, когда задействуются средства шифрования, дополнительный контроль осуществляет ФСБ.

9. Главными этапами обработки ПДн выступают:

• определение категорий личной информации, сроков, целей совершения операций с ней и применяемых методов обработки;
• подтверждение распространения положений ФЗ-152 на вашу деятельность;
• составление и подача уведомления в Роскомнадзор в установленном порядке с соблюдением правил составления документа;
• оценка потенциальных угроз;
• планирование мер безопасности и способов контроля их исполнения (очень важно также проработать перечень средств защиты);
• разработка согласия и получения официального одобрения субъекта на использование сведений в рамках коммерческой либо некоммерческой деятельности;
• старт обработки ПДн;
• мониторинг защищенности информационной системы, предупреждение и отражение атак, проведение мероприятий по улучшению степени безопасности, интеграции инновационных СЗИ, обучению персонала;
• прекращение операций с частными сведениями при отзыве согласия, достижении целей получения ПДн, исчезновении потребности в применении данных либо завершении оговоренных сроков, а также при ликвидации организации.

10. Решение вопросов по обеспечению защиты от неправомерных действий, включая уничтожение, изменение, распространение, копирование и блокировку, ложится в полном объеме на плечи оператора.

11. Законом предусмотрены различные способы защиты: установление угроз, интеграция организационных и технических мер безопасности, использование СЗИ, оценка эффективности принятых мер, выявление и устранение нарушений, восстановление утраченных сведений, ограничение прав доступа к ПДн.

Кроме перечисленных выше методов поддержания защищенности ИСПДн, 152 ФЗ о защите персональных сведений предусматривает и другие меры безопасности, которые не должны противоречить правам гражданина и основным положениям закона.

12. Основным способом наказания за неисполнение оператором положений закона являются штрафы, размер которых может достигать 100-300 тысяч рублей и даже миллиона рублей в зависимости от серьезности нарушения, категории оператора (частное лицо, организация, муниципальный орган) и того, является ли это первым зафиксированным фактом либо повторным игнорированием законодательных требований.

13. Оформление лицензий на использование и другие операции с личными данными граждан не требуется, однако в рамках обеспечения защиты ПДн необходимы сертифицированные СЗИ.

14. Законодатель оставляет за собой право вносить поправки в принятый документ.

Какие нарушения предусматривает закон о персональных данных в последней редакции

По мере того, как меняются международные требования к безопасности информации физических лиц, основной документ РФ дорабатывается. Немаловажную роль играют и внутренние законодательные процессы, в частности, создание федеральных государственных органов, деятельность которых может вступать в противоречие с тем, что указано в ФЗ-152 «О персональных данных». В настоящий момент наказание предусмотрено для тех предпринимателей, юридических лиц, чиновников и госструктур, которые:

• не получают предварительного одобрения у гражданина на хранение, использование, дополнение и другие операции с ПДн;
• не в полном объеме сообщают человеку о том, каким образом, для чего, до какого срока применяют идентифицирующую его информацию;
• применяют полученные от субъекта сведения не в тех целях, о которых заявлено в уведомлении Роскомнадзора и согласии на обработку;
• не информируют и не получают дополнительного согласия на распространение ПДн третьим лицам и публикацию на открытых площадках;
• не исполняют либо некорректно выполняют процесс обезличивания;
• продолжают обрабатывать сведения после завершения срока действия согласия или поступления заявления о его отзыве, оформленного по всем правилам;
• получают конфиденциальные данные незаконными способами;
• не подают вовремя уведомление об обработке в орган контроля;
• неправомерно удаляют либо уничтожают информацию о субъекте;
• используют несертифицированные средства защиты;
• не обеспечивают заявленный уровень безопасности ПДн.

Помимо штрафных санкций нарушителям может грозить уголовное наказание. Нередко внеплановую проверку Роскомнадзором инициируют клиенты, партнеры или сотрудники компании, чьи права, по их мнению, были нарушены, либо они тем или иным образом выявили, что имеет место неисполнение положений закона о защите личных данных физических лиц. Жалобу можно подать лично или в электронном формате. При этом у нарушителя есть определенное время на оспаривание наложенных санкций.

Что думают эксперты про закон о неразглашении персональных данных?

Учитывая количество внесенных за 15 лет поправок, может показаться, что ФЗ-152 охватывает абсолютно все аспекты работы с ПДн, но это не так. Еще многие нюансы нуждаются в детализации, и это ключевой недостаток, который определяют эксперты. Даже в последней редакции он не содержит тех пунктов, которые бы позволили привести российское законодательство в полное соответствие с международными нормами, что затрудняет ведение торговых отношений с иностранными партнерами. Фактически операторам приходится балансировать между федеральными требованиями и теми, которые устанавливают государства организаций-партнеров, а это значительные затраты времени и финансовых ресурсов.

Никому не хочется попасть под санкции, тем более что размер штрафов постоянно увеличивается, однако, что нужно делать для исполнения предусмотренных ФЗ положений, четко не указано. Получается, что каждый конкретный случай рассматривается надзорными органами «с нуля», и предугадать, каким будет решение, очень сложно. Прецеденты разбирательств между Роскомнадзором и компаниями по данному вопросу есть, но их чрезвычайно мало, чтобы выработать единый подход. В добавление к этому в России весьма расшатанный операторский рынок, что обусловлено следующими факторами:

• нет различий между требованиями безопасности, действующими в отношении разных источников информации;
• регулятор не разделяет СЗИ, то есть нужно почти наобум решать, какие методы использовать;
• уже созданные объединения по защите прав операторов не способны отстаивать интересы всех участников рынка, их цель — справиться с вопросами определенного круга фирм и ИП.

Есть и другие положения, которые эксперты критикуют в Федеральном законе ФЗ-152:

1. Необходимость приведения в соответствие мер по обеспечению защиты ПДн тем требованиям, которые указаны в стандартах. Таким образом, не столь важна реальная безопасность личных сведений, как выполнение формальных требований.
2. Слишком запутанные и порой невыполнимые обязательства по применению СЗИ, отвечающих классу информационной системы. Чтобы привести свою деятельность в соответствие с нынешними требованиями, чаще всего приходится вкладывать значительную сумму в полную техническую модернизацию, что не всем компаниям это доступно. В итоге операторы ищут любые более-менее законные способы сэкономить, что негативно сказывается на уровне безопасности.
3. Вступление в конфликт ФЗ-152 и положений других нормативно-правовых актов. Принимая новые стандарты, например, в банковской отрасли, часто оказывается, что права тех или иных структур противоречат тому, что разрешает Федеральный закон о защите персональных данных.

Несмотря на существующие недостатки, документ, регулирующий вопросы, которые связаны с ПДн, содержит рекомендации и информацию, позволяющую организовать деятельность оператора с учетом актуальных в мире требований безопасности.