Закон «О персональных данных»

практика применения

г. Москва,2012г.

Мифы, заблуждения, типичные ошибки

Наша компания не обрабатывает ПД, а значит ФЗ-152 нас не касается !

Федеральный закон №152-ФЗО персональных данных

Статья 3:Персональные данные – любая информация,

относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Обработка персональных данных

- Это любые действия с персональными данными (сбор, хранение, уничтожение и т.д.)

- Разрешается с согласия гражданина

- Разрешается после проведения организационно-технических мероприятий по защите информационных систем с персональными данными (ИСПДн)

Согласие

Согласие – в любой форме позволяющей подтвердить факт законного его получения (ст.9, ч.1)

Письменное согласие субъекта ПД на бумажном носителе (= электронный документ с ЭЦП)

необходимо лишь в особенных случаях

Статья 5 ФЗ -152 (Принципы обработки ПД) запрещает оператору обработку избыточных персональных данных относительно к целям, заявленным при сборе персональных данных и не дольше , чем это требуют цели обработки.

Обязанность предоставить доказательство законности обработки ПД возложена на ОПЕРАТОРА

Контрольно-надзорные органы

Роскомнадзор России Федеральная служба по техническому

и экспортному контролю (ФСТЭК России)

ФСБ России

Перспективы

Ещё «вчера»: Приведение ИСПДн операторов в

соответствие с требованиями законодательства РФ

Уже «завтра»: Ужесточение ответственности оператора за

нарушения Закона Изменения в Закон (возможные и ожидаемые) Либерализация требований по организации

технической защиты ИСПДн.

Наказание

Как есть сегодня:

КоАП: Срок давности 3 месяцаШтраф - для граждан – 500 руб.

- для должностных лиц – 1.000 руб.- для юридических лиц – до 10.000 руб.

УК РФ: штраф до 200.000 руб. или обязательные работы до 180 час., или исправительные работы до 1 годаили арест на срок до 4 месяцев.

Ужесточение ответственности

Изменения в Кодекс об Административных правонарушениях:

увеличение срока давности за нарушения законодательства в области персональных данных

Увеличение размеров штрафов

Изменения в Уголовный Кодекс Уголовная ответственность руководителя предприятия за

незаконную обработку персональных данных

Резюме: изменения законодательства не учитывают последствия незаконной обработки персональных данных и ущерб причинённый гражданину незаконными действиями оператора

ИнициативыРоскомнадзора

Как может быть:Проект федерального закона «О внесении изменений в Кодекс

Российской Федерации об административных правонарушениях» (доработанный), направленный на совершенствование законодательства Российской Федерации в сфере защиты прав субъектов персональных данных (разработчик акта: Роскомнадзор)

Публичное обсуждение с 12 по 25 сентября на сайте Минэкономразвития (Департамент оценки

регулирующего воздействия):

http://www.economy.gov.ru/minec/about/structure/depregulatinginfluence/doc20120912_03

Наши действия

Изменения в федеральное законодательство в области персональных данных с учётом сложившейся европейской практики:

внедрить европейскую модель при которой - идентификационные данные разрешается обработывать при отсутствии возражений- «чувствительные» данные обработываются только с согласия (как задача максимум)

Либерализовать (упростить) требования по организации технической защиты ИСПДн.

Создание отраслевого стандарта по безопасной обработке персональных данных в целях продвижения и продажи товаров, работ и услуг.

Отраслевой стандартОбщее содержание отраслевых ИС:- Фамилия, имя, отчество- Адрес для получения почты и др. контактная информация- Дата рождения- Пол- Иная информация не характеризующая субъекта ПД как личность

Резюме: А) ИСПДн, обрабатываемые компаниями ДТ, содержат только основные

(идентификационные) персональные данные;Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют характеризовать

гражданина и не затрагивают его частную жизнь (семейную тайну и т.п.).В) ИСПДн не нуждаются в специальных технических мерах защиты

(криптография и т.п.) и должны классифицироваться по классификации ФСТЭК как К3

Отраслевой стандарт

- Это рамочные нормативные документы для обеспечения информационной безопасности организаций дистанционной торговли.

-Это не только рамочные нормативы для компаний дистанционной торговли, но и для сервисных компаний, являющиеся обработчиками ИСПДн (согласно европейским нормам), но причисленные согласно российскому законодательству также к операторам

Отраслевой стандарт:1. Универсальная отраслевая модель угроз2. Требования к безопасности отраслевых ИСПДн3. Отраслевая методика проверки соответствия требованиям безопасности

ИСПДН4. Методика реализации требований безопасности отраслевых ИСПДн5. Типовой отраслевой продукт (коробочное решение) с минимальной

адаптацией для отраслевых предприятий, вкл набор организационно-технических мероприятий и средств для организации обработки ПД в информационных системах с учётом требований создаваемого отраслевого стандарта.

Мифы, заблуждения, типичные ошибки

Отраслевой стандарт не обязателен к исполнению Регуляторы ничего не понимают в современной

организации безопасности Необходимо получить лицензию ФСТЭК и ФСБ для

обработки ПД Организация безопасности ИСПДн – это очень дорого

Приглашаем к сотрудничеству!