Введение


Данный документ является руководством, описывающим действия организаций, которые необходимо предпринять ответственным лицам для соответствия законодательству, регулирующему отношения, связанные с обработкой персональных данных.

При подготовке были использованы факты и логические заключения, сделанные на основе действующих нормативных правовых актов Российской Федерации, формирующих «границы» правового поля, в которых необходимо находится при совершении любых операций со сведениями о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющих прямо или косвенно идентифицировать его личность.

Каждый из нас одновременно является субъектом персональных данных и оператором, самостоятельно или совместно с другими лицами осуществляющим обработку персональных данных. По этой причине, хотя этот документ в формате white paper имеет бизнес-направленность, он будет полезен и актуален также государственным органам, органам местного самоуправления, муниципальным органам и физическим лицам.

Действие Федерального Закона № 152-ФЗ «О персональных данных», регулирующего деятельность по обработке (использованию) персональных данных (далее ПДн) не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.

Однако, знание этого закона может помочь каждому избежать подобного нарушения чужих прав и обеспечить защиту своих прав и свобод человека и гражданина при обработке ПДн, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

Именно защита прав субъектов ПДн – является основной целью закона 152-ФЗ и функцией уполномоченного органа, которым является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

Возможно, если ранее вы не были хорошо знакомы c законодательством, регулирующим отношения, связанные с обработкой персональных данных, то после прочтения первых нескольких абзацев, у вас уже появились вопросы.

Одна из главных целей этой книги – устранить путаницу и обеспечить понимание законодательства в области персональных данных, ясно описать процесс приведения информационной системы персональных данных в соответствие с требованиями закона.

Надеюсь, что эта книга приблизит вас к достижению этих целей и поможет минимизировать риски возможных штрафов со стороны регулирующих органов и избежать других негативных последствий, связанных с нарушением прав субъектов персональных данных.

Эта книга будет интересна как читателям, начинающим изучение этого вопроса «с чистого листа», так и имеющим базовые знания.

Особенно актуальна она для:

  • менеджмента организаций — для всех, кто принимает решения;
  • руководителей и сотрудников IT-служб — для всех, кто строит и поддерживает работу IT-инфраструктуры;
  • специалистов кадровой службы — для тех, кто не может не работать с личными данными сотрудников;
  • новичков в профессии и тех, кто только готовится посвятить себя карьере в области защиты информации.

Глава 1. Краткая история вопроса


В далёком 1981 году Совет Европы опубликовал конвенцию о защите личности при обращении с персональными данными. Цель Конвенции – «гарантировать на территории каждой страны каждому частному лицу, независимо от его национальности и места проживания, соблюдение его прав и основных свобод, и особенно его права на личную жизнь в аспекте автоматизированной обработки данных личного характера (статья 1).

Согласно части 1 статьи 3 «Стороны обязуются применять настоящую Конвенцию в отношении автоматизированных картотек и для автоматизированной обработки данных личного характера в общественном и частном секторах».

Стоит отметить, что мнение Совета Европы о персональных данных не являлось и не является единственным в мире. На примере Китая и США можно видеть несколько иной подход.

Для СССР в то время вопрос обработки с помощью средств автоматизации не был актуален по причине слабого проникновения компьютерных технологий в экономику. Позднее по причинам экономических проблем сфера защиты конфиденциальной информации в России имела значительное отставание в развитие законодательной базы и осведомленности населения.

Как необходимый шаг для вступления в ВТО, Россия подписала Конвенцию в ноябре 2001 года. Таким образом только спустя 20 лет со дня публикации Конвенции в России началось движение в сторону создания правовых основ обработки персональных данных. Конвенция была принята формально, но по факту не действовала из-за отсутствия российских нормативных актов.

Вновь законодатели вернулись к этому вопросу в 2005 году, когда был принят Федеральный закон от 19 декабря 2005 года №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

Знаковым стал 2006 год, когда в целях наведения порядка в сфере интеллектуальной собственности и защиты персональных данных, в том числе как выполнение одного из условий вступления России в ВТО, были приняты два Федеральных закона.

  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
  • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»



Скачать книгу полностью.

Комментарии (3)


  1. ArtemBig
    29.03.2018 13:35

    Как инженер по ИБ, рецензирую.


  1. elobachev
    30.03.2018 11:13

    Книжка замечательная, молодцы.
    Прочел на одном дыхании.
    Вне всякого сомнения может быть рекомендована всем, кто желает разобраться, чего же от него требует закон.

    К сожалению, практика выполнения требований 152-ФЗ делает упоротым буквоедом любого, не миновало это и меня =)) По этому вот вам пара замечаний-дополнений.

    1) на 20-й странице вы пишете: " 17 приказ разработан для государственных органов и муниципалитетов".
    Это не совсем точное утверждение, и оно может ввести в заблуждение.

    17 приказ — требования к ГИСам. В соответствии с 14 ст. 149-ФЗ ГИС создается в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. В соответствии с пп 676 основанием для создания системы является:
    а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;
    б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.

    Иными словами, не всякая система в органе исполнительной власти есть ГИС, а только созданные, как ГИС в соответствии с НПА или для реализации полномочий органа власти.

    Впрочем, это уточнение не влияет на вашу дальнейшую логику, так как про ГИСы вы не пишете.

    В части ответственности за невыполнение и проверок…
    во-первых, по 5.27 КоАП можно выхватить приостановление деятельности на срок до девяноста суток, и как -то раз из кого-то даже сделали пример, что бы мы не думали, что оно не работает =)

    Во вторых, ФСБ может не только проверять, но и вести ОРД. Ну т.е. схема такая: постановление о производстве оперативно-розыскного мероприятия «обследование помещений, зданий, сооружений, участков местности и транспортных средств». Для него ни плана не нужно, ни сроков, ни мораториев нету. Приходят оперативник со специалистом, обследуют объект, выписывают протокол по 13… чегонибудь КОАП. Следом за протоколом организация получает представление об устранении причин и условий, способствующих совершению административного правонарушения.

    А вот за неисполнения представления вилка большая — можно и штрафиком отделаться, а можно и дисквалификацию административную на генерального директора схлопотать по ст. 19.5 КОАП.

    Както так =)


    1. Cloud4Y Автор
      30.03.2018 11:14

      Спасибо за отзыв. Замечания читателей будут учтены, систематизированы и в дальнейшем со временем будет обновленная редакция книги.