Разбираемся в законе о персональных данных

Федеральный закон № 152 «О персональных данных», принятый в июле 2016 года, регулирует порядок использования данных о физических лицах. Объясним нюансы.

Обработка личных данных (клиентов, сотрудников и др.) практически всегда является неотъемлемой частью работы многих интернет-компанией. Персональными данными, в соответствии с законом, является любая информация, прямо или косвенно относящаяся к определенному/определяемому физ лицу. Физическое лицо, в свою очередь, в правовом отношении характеризуют такие параметры: полное имя, дата рождения, место рождения – это краткие установочные данные.

К категории дополнительных идентификаторов физического лица относятся: номер паспорта, пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, прочие документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и т.д.

Закон о персональных данных прежде всего регулирует деятельность операторов:

государственных и муниципальных учреждений, юридических и физических лиц – занимающихся обработкой персональных данных.

Формально обработка данных предполагает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональной информации. При этом не важен тип обработки – компьютерная или ручная, на бумажных носителях.

Закон не имеет отношения к следующим ситуациям:

Данными занимается физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);

персональная информация обрабатывается в официальных архивах;

информация является государственной тайной.

Согласие на обработку персональных данных

В некоторых случаях согласие на обработку таких данных не нужно:

для журналистской, научной, литературной или иной творческой деятельности (при условии, что это не нарушает прав и законных интересов других лиц);

обработка осуществляется в судах;

обработка требуется для исполнения договора, в котором владелец персональных данных является одной из сторон;

обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, однако получить его согласие невозможно.

 

Если согласие необходимо, следует включить в него такие данные:

фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование и адрес оператора, получающего согласие;

цель обработки;

перечень данных, на обработку которых даётся согласие;

перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;

срок, в течение которого действует согласие, а также способ его отзыва;

личную подпись.

 

Уведомление об обработке персональных данных

Также до начала обработки персональных данных оператор должен уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении провести такую обработку.

Уведомление не требуется в случае, если:

- данные обрабатываются в соответствии с трудовым законодательством;

- информация получена в результате заключения договора с физическим лицом, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;

- данные принадлежат членам общественного объединения и обрабатываются соответствующим общественным объединением, действующим в соответствии с законодательством Российской Федерации, при условии, что информация не будет распространяться или раскрываться третьим лицам;

- сам владелец персональных данных сделал их общедоступными;

- данные включают в себя только фамилию, имя и отчество субъекта;

- данные нужны в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;

- информация включена в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;

- данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;

- данные обрабатываются в целях транспортной безопасности.

 

Возможный вопрос

Является ли интернет-магазин оператором персональных данных? Формально - нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Однако в случае отправки заказа почтой или транспортной компанией информация о клиенте предоставляется третьей стороне.

 

Как контролируется исполнение закона

Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Конкретно данным направлением работы занимается ее подразделение — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзора направлена на организационно-документальный аспект. Технические аспекты защиты персональных данных контролирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации применяется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных выглядит так

Безопасность персональных данных

Оператор персональных данных должен гарантировать их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий.

 

Обеспечение безопасности – целый комплекс следующих мер:

Выявление угроз безопасности.

Использование организационных и технических мер по обеспечению безопасности.

Использование средств защиты информации.

Оценка эффективности используемых мер по безопасности до ввода в эксплуатацию информационной системы.

Контроль съёмных носителей персональных данных.

Выявление фактов несанкционированного доступа к данным.

Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.

Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Также закон допускает и другие действия в целях обеспечения безопасности персональных данных.

 

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты возложена на Правительство Российской Федерации.

Сейчас данный вопрос регламентируется постановлением Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

 

Требуются ли лицензии или сертификаты?

Собственно, для обработки персональных данных лицензии не нужны. Однако при обеспечении их безопасности могут быть необходимы сертифицированные технические средства.

Кроме того, российское законодательство обязывает иметь сертифицированные средства защиты информации, если в них применяется криптография (шифрование).

При этом оказание услуг по защите информации - это лицензируемый вид деятельности. Однако при применении юридическим лицом или индивидуальным предпринимателем криптографических средств защиты ПД для собственных нужд, лицензия не требуется.

 

Выводы

Обеспечение безопасности и сохранности персональных данных – реальная и выполнимая задача. Этот вопрос актуален почти для всех. И нормативные акты, контролирующие порядок и методики обработки персональных данных на государственном уровне, действительно необходимы.

Главный смысл закона о защите ПД заключается в том, что лицо, обрабатывающее такую информацию, должно в полной мере осознавать все возможные риски для этих данных и принимать все необходимые меры по исключению таких угроз. Естественно, закон, принятый относительно недавно, постоянно дорабатывается, и это тоже позволяет надеяться на позитивные перспективы подобного регламентирования.