Фз 152 ст7 от 27.07 06. Федеральный закон о персональных данных. Последние изменения ФЗ «О защите персональных данных»

Главная / Квартира

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ. О том, как избежать штрафов при проверках Роскомнадзора, БУХ.1С рассказал эксперт по налогообложению Игорь Кармазин .

Штрафы за несоблюдение требований Федерального закона «О персональных данных» были повышены в соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ. Новые штрафы по сравнению с действующими выросли в разы . Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей. При этом, если раньше в КоАП существовал только один, общий для всех случаев состав правонарушения в области персданных (ст.13.11 КоАП РФ), то теперь в данной статье появилось целых семь составов.

Чтобы избежать штрафов по 152-ФЗ , компаниям и ИП с 1 июля 2017 года следует внимательнее подходить к соблюдению требований закона о персональных данных.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 июля 2017 года вводятся повышенные административные штрафы за несоблюдение требований Федерального закона «О персональных данных».

2. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

3. Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Закон не содержит конкретного перечня таких организаций.

4. Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре.

5. Обезопасить себя от штрафов можно, соблюдая 6 правил:

  • исключить случаи нецелевого сбора и обработки данных;
  • получать письменное согласие граждан на обработку их данных;
  • знакомить граждан с политикой обработки персональных данных;
  • отвечать на вопросы граждан о том, каким образом используются их персональные данные;
  • выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
  • обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д.

6. С 01.07.2017 начинает действовать упрощенный порядок привлечения к административной ответственности. Дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры.

Кого коснутся новые штрафы

Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. По закону они отнесены к операторам персональных данных и обязаны соблюдать законодательные ограничения.

Закон не содержит конкретного перечня таких организаций. Однако к ним можно отнести банки, страховые компании, операторов мобильной связи и интернета, медицинские организации, транспортные компании, учебные заведения и все те компании, при обращении в которые граждан просят указать личные данные или заполнить анкету.

Но и это еще не все. Закон распространяется на работодателей, получающих сведения от сотрудников как по трудовым договорам, так и по договорам гражданско-правового характера. Работодатели тоже являются операторами персональных данных с небольшой оговоркой. Если работодатель состоит с гражданином в трудовых или гражданско-правовых отношениях, ему не требуется уведомлять Роскомнадзор об обработке личной информации (ч. 2 ст. 22 Федерального закона № 152-ФЗ).

Также к операторам персональных данных относятся компании, имеющие собственные сайты с обратной формой связи и регистрацией пользователей, у которых запрашиваются личные сведения.

Подробнее о том, кто может не подавать уведомление в Роскомнадзор, читайте в статье «Кому не нужно уведомлять Роскомнадзор об обработке персональных данных».

Как обезопасить себя от штрафов: 6 правил

1. Исключить случаи нецелевого сбора и обработки данных.

Под данное нарушение попадают и случаи сбора излишней информации о гражданах. Например, когда сайт для новостной рассылки по e-mail требует от посетителей предоставить, скажем, паспортные данные. Это считается обработкой данных не по назначению, поэтому исключите подобные случаи из практики работы своей компании и сайта.

Данные действия образуют состав правонарушения по ч. 1 ст. 13.11 КоАП РФ. Штраф для предпринимателей – от 5 до 10 тысяч рублей, а для организаций – от 30 до 50 тысяч рублей.

2. Получать письменное согласие граждан на обработку их данных.

Согласие граждан на обработку персональных данных, когда это требуется по закону, операторы получают в соответствии с ч. 4 ст. 9 Федерального закона № 152-ФЗ. Исключений из этого правила не так много. Например, не требуется письменного согласия при получении персональных данных в личных, семейных целях (ч. 2 ст. 1 Федерального закона № 152-ФЗ).

В большинстве же случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Это соглашение может включаться в текст основного договора, или выступать в качестве отдельного документа. Согласие должно поступить лично от гражданина. Без его ведома передавать данные нельзя.

Самый банальный пример злоупотреблений в этой части – когда, например, оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям, и на телефонные номера граждан начинает поступать всевозможный спам.

Если письменного соглашения на обработку данных у компании нет, на граждан (ИП) наложат штраф в размере от 3 до 5 тысяч рублей, на должностных лиц от 10 до 20 тысяч рублей, а на юрлиц – от 15 до 75 тысяч рублей (ч.2 ст.13.11 КоАП РФ). Судя по судебной практике, ИП первый раз штрафуют как физлиц, а если нарушение повторяется, то уже как должностных лиц — руководителей ИП, так как во втором случае штраф выше.

Последствия неполучения письменного согласия контролерам будут неважны, а важен будет сам факт наличия или отсутствия такого согласия в письменной форме.

3. Знакомить граждан с политикой обработки персональных данных.

Эта информация должна находиться в свободном доступе и с ней должен иметь возможность ознакомиться каждый. Например, сайты вывешивают информацию о порядке работы с персданными на отдельных своих страницах.

В противном случае наступит ответственность по ч. 3 ст. 13.11 КоАП РФ. ИП заплатят штраф в размере от 5 до 10 тысяч рублей, а организации в размере от 15 до 30 тысяч рублей.

4. Отвечать на вопросы граждан о том, каким образом используются их персональные данные .

На практике бывают случаи, когда данные «утекают» третьим лицам, и клиентам компании начинает поступать всевозможная реклама от магазинов, медицинских центров и кредитных организаций. В этом случае клиент может потребовать от оператора персональных данных предоставить информацию о том, как используются и хранятся его личные сведения.

За игнорирование обращений граждан операторы персданных несут ответственность по ч. 4 ст. 13.11 КоАП РФ. Штраф для ИП – от 10 до 15 тысяч рублей, а для юрлиц – от 20 до 40 тысяч рублей.

5. Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении .

Это нужно делать в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Неисполнение этой обязанности грозит штрафом по ч. 5 ст. 13.11 КоАП РФ. Для ИП штраф составит от 10 до 20 тысяч рублей, для организаций – от 25 до 45 тысяч рублей.

6. Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование и т.д .

Ответственность за необеспечение сохранности личных сведений установлена ч. 6 ст. 13.11 КоАП РФ. Для предпринимателей – от 10 до 20 тысяч рублей, для компаний – от 25 до 50 тысяч рублей.

Ответственность для государственных и муниципальных органов власти

Штрафная ответственность предусмотрена и для государственных и муниципальных органов власти (ч. 7 ст. 13.11 КоАП РФ).

В своих документах (протоколах, сводках, решениях и т.д.) они должны обезличивать персональные данные граждан, не допуская указания их места жительства и полных ФИО.

В противном случае придется заплатить штраф в размере от 3 до 6 тысяч рублей.

Регистрация операторов персональных данных в Роскомнадзоре

Компании, по закону отнесенные к операторам персональных данных, должны быть зарегистрированы в Роскомнадзоре. Для этого необходимо подать уведомление об обработке (о намерении осуществлять обработку) персональных данных (ч. 3 ст. 22 Федерального закона № 152-ФЗ).

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ее следует отправить в информационную систему Уполномоченного органа по защите прав субъектов персональных данных. Затем заполненную форму нужно распечатать и заверить надлежащим образом, скрепив подписью и печатью организации, после чего направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании-оператора персональных данных.

Что делать сайтам

Что касается сайтов (а сейчас они есть практически у любой компании), то основная масса нарушений здесь связана именно с нецелевым сбором и использованием персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Например, нередко в форме регистрации на сайте используются такие поля, как «дата рождения» и «телефон», а в форме профиля пользователя — «отчество», «дата рождения», «место жительства» (страна, область/край, город).

Следует понимать, что для регистрации пользователя на большинстве сетевых ресурсов не требуется знать такие данные, как телефон и место жительства/регистрации пользователя. Из формы регистрации эти сведения следует убрать.

А из формы личного профиля лучше убрать такие сведения, как «профессия», «www-страница», Skype (или другой мессенджер) и «дата рождения».

Посторонним лицам (а ваша компания и является таким лицом) знать эту информацию ни к чему. Форма подписки на новости сайта должна собирать информацию только об e-mail пользователей. Форма регистрации может собирать имя, фамилию, e-mail и пол пользователя.

Сбор лишней информации при проверке могут посчитать нарушением.

Выполнение вышеописанных правил и знание закона позволят избежать ответственности за его нарушение. При этом следует учитывать одно немаловажное обстоятельство. Если раньше закон о персональных данных обходил вашу компанию стороной и никакой ответственности за его нарушение вы не несли, то с 1 июля все может измениться кардинальным образом.

Дело в том, что с этой даты начинает действовать упрощенный порядок привлечения к административной ответственности. Раньше дела в этой сфере возбуждала прокуратура (ст. 28.1 КоАП РФ). По новым же правилам (п. 58 ч. 2 ст. 28.3 КоАП РФ) дела будет возбуждать сам Роскомнадзор без участия сотрудников прокуратуры. На практике это означает, что количество штрафов и доведенных до суда дел может значительно увеличиться, и уйти от ответственности станет значительно сложнее.

Процесс анализа и обработки данных персонального характера играет важнейшую роль в любом цивилизованном государстве. В Российской Федерации данная процедура регламентируется законодательно - в 152-ФЗ "О персональных данных". Именно этот нормативный акт будет разобран в статье.

Основные термины

В законе № 152-ФЗ "О персональных данных" применяется ряд терминов. Первое и самое важное понятие - это, конечно же, «персональные данные». Согласно 152-ФЗ, это информация, которая косвенно или прямо относится к определенному физическому лицу. Обрабатыванием персональных данных занимается оператор - муниципальный или государственный орган, а иногда просто физическое лицо. Сам процесс обработки данных заключается в совершении совокупности операций, целью которых является сбор, систематизация, анализ и хранение персональной информации о каждом гражданине России.

Персональные данные могут быть переданы определенному кругу лиц, а порой и вовсе подлежать уничтожению или обезличиванию.

Общие положения ФЗ

Для чего создан № 152-ФЗ "О персональных данных"? В статье 2 говорится про цель закона. Это обеспечение защиты свобод и прав человека при обработке его персональных данных.

Что может регулировать представленный закон? Согласно статье 1, это любые отношения, связанные с процедурами обработки данных граждан России. Данный процесс осуществляется федеральными государственными инстанциями и властными органами субъектов РФ. Органы проводят систематизацию информации о пользователях, задают специальные алгоритмы поиска и фиксируют информацию о носителях данных. Но какие отношения не должны регулировать органы, занимающиеся персональной обработкой информации о гражданах?

Вот на что указывает закон:

  • Организация процессов хранения, учета и систематизации документации Архивного российского фонда и прочих инстанций, связанных с архивной работой.
  • Обработка персональных данных физическими лицами для семейных или бытовых нужд, если при этом происходит нарушение прав прочих субъектов персональной информации.

На каких принципах выстраивается и функционирует процесс обработки информации о гражданах? Об этом рассказано в статье 5.

О принципах и условиях обработки данных

На каких принципах базируется процедура обработки персональной информации о гражданах России? Статья 5 № 152-ФЗ "О персональных данных" гласит о законности и справедливой основе, об ограничении конкретными и законными целями. Так, недопустимой считается обработка данных, несовместимая с целями закона. То же самое касается процесса обработки, имеющего противоположные цели и задачи.

Содержание обрабатываемой информации должно строго соответствовать заявленным целям, которые согласованы с законом. Должна быть обеспечена точность и полнота персональной информации. Оператор обязан качественно исполнять свои трудовые функции. Хранение данных допускается только в той форме, что позволила бы точно и быстро определять субъекта системы персональной информации.

Ст. 6 № 152-ФЗ "О персональных данных" закрепляет ряд условий обработки персональной информации. Так, допускается процесс обработки лишь в следующих случаях:

  • Обработка и анализ производятся с письменного согласия субъекта персональных данных (статья 9 № 152-ФЗ "О персональных данных").
  • Осуществляется для достижения определенных целей, заявленных в законе.
  • Обработка необходима для защиты здоровья и жизни граждан.

Еще одним принципом осуществления обработки информации остается наличие специальных категорий, о которых будет рассказано далее.

О категориях персональных данных

В статье 10 рассматриваемого нормативного акта приведены основные категории данных, подлежащих обработке. Пункт 1 статьи говорит про политические, религиозные или философские убеждения, про состояние здоровья, национальную и расовую принадлежность. Все это выделяется в систему особых категорий, сбор которых не допускается на постоянной основе.

Существует лишь небольшой перечень случаев, когда обработка представленных видов информации допустима. Сюда следует отнести:

  • случаи, когда сам субъект обработки дал свое письменное согласие на предоставление информации особой категории;
  • когда особые персональные данные субъектов уже общедоступны;
  • когда это необходимо для защиты жизни, здоровья и интересов субъекта;
  • когда обработка подобного рода информации осуществляется в целях медицинского или профилактического характера;
  • в иных случаях, установленных Федеральным законом.

Сам субъект персональной информации обладает рядом прав.

О правах субъекта

Какими правами, согласно главе 3 рассматриваемого нормативного акта, обладают субъекты персональных данных? В статье 14 говорится о правах граждан на доступ к их персональной информации. Каким образом это возможно осуществить? Закон гласит о праве требовать от операторов уточнения тех или иных данных. Статья 15 закрепляет нормы, согласно которым существует возможность использовать свои персональные данные для продвижения и рекламирования определенных услуг, товаров, продукции и т. д. Политическая агитация также пополняет этот ряд.

В статье 16 говорится о праве субъектов не допускать автоматическую обработку информации, а в статье 17 - о возможности обжаловать действия оператора. К слову, именно оператор является основным звеном во всей процедуре обработки данных. Это должностное лицо обладает рядом обязанностей, о которых будет рассказано далее.

Обязанности операторов

18 ст. 152-ФЗ "О персональных данных" (с изменениями от 01.07.2017) закрепляет основные функции операторов в области сбора персональной информации. Оператор должен предоставлять субъекту информации следующие данные:

  • цель обработки данных;
  • правовая основа обработки;
  • наименование оператора и его адрес;
  • источники приобретения информации.

Оператор обязан принимать ряд мер по обеспечению безопасности персональной информации, по устранению нарушений закона, уточнению, блокировке и ликвидации персональной информации в отдельных установленных законом случаях. Таким образом, № 152-ФЗ "О персональных данных" от 27.07.2006 является наиболее исчерпывающим источником в области сбора информации о российских гражданах.

Обеспечение безопасности обработки информации

Отдельно стоит рассказать про обязанности операторов в области обеспечения безопасности персональной информации.

Вот что закрепляет статья 19 № 152-ФЗ "О персональных данных":

  • нарушение закона или любые иные угрозы безопасности данных должны быстро и качественно определяться и пресекаться операторами;
  • операторы должны применять ряд организационно-технических средств по обеспечению безопасности данных;
  • операторы обязаны оценивать и анализировать применяемые процедуры по обеспечению безопасности;
  • учет машин, являющихся носителями информации, а также качественный контроль над ними входят в обязанности работников по обработке данных;
  • обязанность по восстановлению доступа к персональным данным, которые обрабатываются в информационной системе.

Не менее важен и контроль со стороны государства, о котором будет рассказано далее.

О государственном контроле обработки данных

Информация персонального характера должна охраняться и анализироваться отдельными государственными органами Российской Федерации. Что именно здесь стоит выделить? В статье 19 Федерального закона № 152-ФЗ "О персональных данных" (с комментариями от 2017 года) говорится про обязанности российского Правительства.

В частности, здесь стоит отметить:

  • установление требований к защите данных персонального характера;
  • закрепление специальных уровней защищенности персональной информации, которые зависят от степени угроз;
  • установление требований к носителям информации.

В статье 23 говорится про уполномоченный орган, коим является Правительство РФ. Здесь закрепляются основные права органа:

  • запрос информации у юридических и физических лиц для осуществления своих полномочий;
  • требование от оператора отдельных видов документации;
  • осуществление проверок в отношении сведений, которые содержатся в специальных информационных базах.

В статье 24 устанавливается норма, в соответствии с которой нарушители рассматриваемого закона будут подвержены ответственности.

Федеральный закон регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий, а также при обеспечении защиты информации, за исключением отношений, возникающих при охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

Разработка нового базового законодательного акта в данной сфере обусловлена необходимостью унификации как с понятийной, так и содержательной точки зрения принципов и правил регулирования информационных отношений, устранения ряда пробелов в регулировании и приближения законодательства РФ к международной практике регулирования информационных отношений.

Федеральный закон приводит понятийный аппарат и механизмы регулирования в соответствие с практикой применения информационных технологий, определяет правовой статус различных категорий информации, закрепляет положения о регулировании создания и эксплуатации информационных систем, общие требования к использованию информационно-телекоммуникационных сетей, устанавливает принципы регулирования общественных отношений, связанных с использованием информации.

Закрепляется принцип свободы поиска, получения, передачи, производства и распространения информации любым законным способом. При этом ограничения доступа к информации могут устанавливаться только федеральными законами.

Закон содержит положения, направленные на защиту от недобросовестного использования или злоупотребления возможностями средств распространения информации, при которых пользователям навязывается ненужная информация. В частности, информация должна включать в себя достоверные сведения о ее обладателе или об ином лице - распространителе в форме и в объеме, которые достаточны для идентификации такого лица. При использовании для распространения информации средств, позволяющих определять получателей информации, в том числе почтовых отправлений и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить получателю возможность отказа от такой информации.

Установлены основные правила и способы защиты прав на информацию, защиты самой информации путем принятия основных правовых, организационных и технических (программно-технических) мер по ее защите. Права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных.

Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Устанавливается перечень информации, доступ к которой не может быть ограничен (например, о деятельности органов власти и об использовании бюджетных средств), информации, представляемой на безвозмездной основе.

Закреплен прямой запрет на требование от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и на получение такой информации помимо воли гражданина (физического лица) Исключение могут составлять только случаи, прямо предусмотренные федеральными законами.

Со дня вступления в силу Федерального закона признается утратившими силу Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации".

"О персональных данных" (ФЗ №152)? Какие основные требования и положения содержатся в этом проекте? На все эти вопросы будут даны ответы в статье.

Общие положения

Какие цели преследует рассматриваемый законопроект? Первое и самое основное - это регулирование отношений, связанных с обработкой информации. Речь идет о средствах автоматизации, информационных и телекоммуникационных сетях, материальных носителях и картотеках. Закон не регулирует защиту данных в конкретной бытовой сфере, семейной или личной. Важнейшим направлением работы представленного законопроекта является защита свобод и прав граждан путем качественного обрабатывания их персональных данных. Нужно это для качественного обеспечения неприкосновенности частной, семейной и личной жизни.

Закон "О персональных данных" направлен на защиту прав граждан. А что подразумевается под персональными данными? Если вкратце, то это абсолютно любая информация, косвенно или напрямую относящаяся к тому или иному лицу. Процесс обработки этих данных представляет собой ряд операций, направленных на хранение, блокирование, удаление или систематизацию информации.

Принципы

№152) содержит в себе ряд основных принципов, на которых и держится весь процесс обработки информации. Что это за принципы? Здесь можно выделить следующее:

  • Все действия должны осуществляться на справедливой и законной основе. Существование рассматриваемого законопроекта подтверждает этот принцип.
  • Должна быть установлена конкретная, четкая цель. Любое отхождение от этой цели недопустимо (целью является защита прав граждан).
  • Должна быть обеспечена точность, достаточность и актуальность заданных целей. Должно быть установлено содержание (его содержит закон о персональных данных).
  • Хранение всех необходимых данных должно осуществляться в соответствии со всеми сроками, требованиями и целями.

Таким образом, рассматриваемый нормативный акт содержит в себе все необходимые принципы, на основе которых может строиться деятельность по защите информации.

Условия

Обработка персональных данных должна осуществляться не только в соответствии с определенными принципами, но и в строгом подчинении определенным условиям. Что это за условия и как они группируются? Вот что стоит выделить:

  • Обязательное согласие гражданина на обработку его данных - важнейшее условие, которое содержит в себе закон "О персональных данных" (ФЗ №152).
  • Вся обработка данных направлена в первую очередь на достижение определенных целей, регулируемых законами и договорами Российской Федерации.
  • Обработка персональных данных направлена на осуществление правосудия или исполнение каких-либо правовых актов.
  • Если получение согласия со стороны гражданина невозможно, обработка его данных все же должна производиться в случае, когда жизни или здоровью человека угрожает опасность.

Стоит также отметить, что обработка всех необходимых персональных данных должна осуществляться специальными, уполномоченными на то операторами. Обязанности этих специалистов будут приведены далее.

Категории

Положение о защите персональных данных содержит в себе определенные типы и категории тех элементов информации, которые должны подвергаться обработке. О чем именно идет речь? Если вкратце, то охарактеризовать основные категории можно как расовые, национальные, религиозные или любые иные убеждения, предусмотренные соответствующим законопроектом. Их обработка должны осуществляться только с непосредственного согласия гражданина и в соответствии со всеми нормами, стандартами и правилами.

Раскрыть основные категории персональных данных подробнее, надо сказать, весьма затруднительно. Но, как правило, это конфиденциальная информация о разного рода физических лицах, государственных служащих, военных и т.д. Все то, что гражданин не хотел бы оглашать прилюдно, должно находиться под защитой государства. Это личные паспортные данные, номера свидетельств или прав, мировоззренческие убеждения и прочее.

Права субъектов

Закон "О персональных данных" (ФЗ №152) гласит, что любой гражданин, чьи данные подвергаются обработке, имеет право в любой момент получить всю необходимую информацию как о своих данных, так и об уровне их защиты. Каждый человек может сделать специальный запрос, после чего любой освободившийся оператор должен предоставить все необходимые данные.

При этом субъект имеет право:

  • на просмотр всех необходимых данных;
  • на уничтожение обрабатываемой информации;
  • на внесение в информацию определенных изменений.

Для того чтобы получить всю необходимую информацию, субъект должен сделать запрос с предоставлением своего личного номера (удостоверяющего личность). При этом каждый гражданин имеет право делать повторные запросы в необходимые инстанции.

Стоит также отметить, что оператор вправе отказать субъекту в просмотре необходимой информации. Однако отказ этот должен быть мотивирован. Как правило, основными мотивами являются неверно оформленный запрос, неоконченная обработка данных или ограниченное правовое положение самого субъекта.

Обязанности оператора

Кто такие операторы? Речь об этих работниках уже шла выше, однако их основные функции так и не были обозначены. Соответствующее положение о защите персональных данных регламентирует здесь следующее:

  • оператор обязан сообщать субъекту свою должность, фамилию и имя, а также адрес;
  • работать должен в строгом соответствии с законом, на основе определенных правовых актов;
  • обязан сообщать субъекту все необходимые правила пользования персональной информацией;
  • обязан качественно обеспечивать запись, хранение, систематизацию, накопление и изменение всех защищаемых и обрабатываемых персональных данных.

Стоит также отметить, что оператор имеет право не предоставлять гражданину персональные сведения, если идет их активная обработка или же если сам субъект не соблюдал все необходимые правила и условия получения персональных данных.

Меры по обеспечению безопасности

Выше были обозначены основные функции и обязанности операторов - работников по обработке персональных данных. Одной из важнейших функций любого оператора остается обеспечение безопасного хранения информации в соответствующих ресурсах. Федеральный Закон РФ от 27 июля 2006 года (№152, ФЗ) регламентирует основные меры и методы, позволяющие обеспечивать качественную безопасность любых персональных данных. Вот что здесь можно выделить:

  • эффективное и быстрое выявление угроз безопасности, их скорое устранение;
  • четкое применение разного рода технических и организационных мер, позволяющих сохранять безопасность хранения;
  • составление оценок для соответствующих процедур, анализ работы хранения и накопления;
  • качественное обеспечение машинных носителей, а также разного рода технических элементов;
  • быстрое восстановление доступа ко всем персональным данным в случае их утечки или потери.

Помимо того, некоторые изменения в законе касаются и установления определенных уровней защищенности, в соответствии с которыми можно качественно оценивать работу по обработке персональных данных.

Уполномоченный орган

Необходимо, наконец, рассказать об уполномоченном органе, в обязанности которого и входит контроль над персональной обработкой данных тех или иных граждан. Несложно догадаться, что уполномоченной инстанцией является орган исполнительной власти. Именно в его обязанности входит качественный контроль и надзор над эффективной работой по обработке информации. Что вправе делать уполномоченный орган?

Вот что регламентирует закон №152 (ФЗ) "О персональных данных".



Выбор редакции

© 2024 solidar.ru -- Юридический портал. Только полезная и актуальная информация