Защита персональных данных

1 июля 2011 года истекает срок, установленный Федеральным законом "О персональных данных" №152-ФЗ от 27.07.06 по приведению всеми операторами персональных данных своих информационных систем в соответствие с требованиями данного закона и, соответственно, возможность привлечения оператора персональных данных к ответственности за необеспечение безопасности персональных данных при их обработке.

Требования Федерального закона «О персональных данных» №152-ФЗ от 27.07.06 и ответственность за нарушения в данной области. Данный Закон, прежде всего, накладывает на все организации – операторы персональных данных трудновыполнимые и чрезвычайно затратные требования по обеспечению безопасности персональных данных. Согласно действующей редакции Закона оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. При этом требования к обеспечению безопасности персональных данных при их обработке устанавливает Правительство РФ. Некоторые выдержки из Постановления Правительств РФ от 17.11.07 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»:

1. «Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности РФ (ФСБ) в пределах их полномочий». Это означает, что оператор персональных данных вправе применять только методы и способы защиты информации, установленные приказами указанных органов-регуляторов. Иное расценивается как нарушение правил сбора и обработки персональных данных. 

2. «Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора». Таким образом, если оператор произвел необходимые действия по защите информации, это отнюдь не означает, что при проведении проверки ФСТЭК или ФСБ эти действия будут признаны достаточными, а недостаточность защиты информации, опять же, является нарушением законодательства в области персональных данных.

3. «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия». Для оператора это означает, что он обязан использовать только те средства защиты информации, которые имеют сертификаты ФСТЭК или ФСБ. Случай из практики: на компьютеры организации были установлены лицензионные антивирусные программы определенного производителя версии 4, а сертификат ФСТЭК имеет программа того же производителя, но версии 3, и, по итогам проверки, установленное антивирусное обеспечение, не имеющее сертификата, было расценено как нарушение законодательства в области персональных данных. Из всего этого следует, что организации – операторы персональных данных для того, чтобы выполнить в полной мере требования Закона 152-ФЗ в части обеспечения безопасности персональных данных, вынуждены, за соответствующую плату, обращаться к организациям, специализирующимся на защите информации, имеющим необходимые лицензии ФСТЭК и ФСБ, и закупать у них же сертифицированные средства защиты информации. По Закону 152-ФЗ, организация – оператор еще до начала обработки персональных данных, обязана уведомить органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Подача такого уведомления автоматически влечет включение оператора в специализированный реестр и план проверок, а для успешного прохождения проверки должны быть выполнены все требования Закона, в том числе обеспечена безопасность информации, о чем говорилось выше. В Законе перечислены случаи, в которых оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, но к каждому такому случаю необходимо относиться очень осторожно, поскольку обработка персональных данных, выходящая за рамки этих исключений, будет расценена как нарушение законодательства в области персональных данных. Также для выполнения всех требований Закона 152-ФЗ организация должна принять около 30 внутренних (локальных) документов: положение об обработке персональных данных, приказы о назначении ответственных лиц, модель угроз, приказы о вводе системы в эксплуатацию и т.д.

Ответственность за нарушения в области персональных данных:

1. Любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ – штраф для юридических лиц от 5 000 до 10 000 рублей. При этом каждое нарушение рассматривается отдельно и, соответственно, наказание за каждое нарушение также назначается отдельно.

2. Обязанности работодателя по хранению и использованию персональных данных закреплены также в Трудовом кодексе РФ, а
любое нарушение законодательства о труде и об охране труда влечет за собой ответственность по ст. 5.27 КоАП – штраф для юридических лиц от 30 000 до 50 000 рублей или административное приостановление деятельности на срок до 90 суток. Каждое наружение также рассматривается отдельно.

3. Непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ – штраф для юридических лиц до 5 000 рублей.

4. Для сотрудников организации: разглашение информации с ограниченным доступом – штраф для физических лиц от 500 до 1000 рублей.

5. Помимо прочего существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ предусматривает наказание в виде лишения свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.

Газета "Окно в НКО" (№7 (123) июль 2011 год)