Защита персональных данных является обязанностью организации, в которой они обрабатываются. Данное положение закрепляется статьёй 19 Федерального закона «О персональных данных». Оператор вправе поручить обработку, в том числе и защиту персональных данных, другому лицу на основании договора при условии получения соответствующего согласия субъектов ПДн.
Требования по защите персональных данных установлены правительством РФ, а именно его постановлениями №№ 1119 и 687, в которых описаны вопросы неавтоматизированной обработки ПДн и их обработки с использованием средств автоматизации. Обязанность по контролю исполнения требований, а также по разработке необходимых нормативных документов возложены на уполномоченные органы исполнительной власти.
Уполномоченными органами являются:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор России);
- Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
- Федеральная служба безопасности (ФСБ России).
Данные органы действуют строго в рамках своей компетенции. Таким образом, Роскомнадзор отвечает за общий контроль и надзор, представление интересов физических лиц при обработке их ПДн в организациях. ФСТЭК России регламентирует только вопросы технической защиты персональных данных, а ФСБ — вопросы криптографической защиты, например, при передаче ПДн по открытым каналам связи. Причём при осуществлении своих функций знакомиться с ПДн, обрабатываемыми в организации, имеют право только сотрудники Роскомнадзора.
За нарушение норм законодательства о персональных данных предусматривается как административная, так и уголовная ответственность, а также гражданская, дисциплинарная и другие виды ответственности.
