Подзаконные и ведомственные нормативные Акты в сфере защиты прав субъектов персональных данных

Немного из истории персональных данных

Персональные данные за рубежом

Защита персональных данных — условный термин, применяемый для обозначения права индивида на доступ к своему персональному досье, имеющемуся в распоряжении государственных или частных "пользователей информации", с целью обеспечения точности, своевременности и соотносимости имеющейся информации с целями, для которых она хранится, и проверки того, не может ли получить доступ к информации лицо, не обладающее соответствующими полномочиями. Таким образом, защита персональных данных связана также с личным характером информации.

В 60-х и 70-х годах с приходом информационных технологий стал возрастать интерес к приватности. Возможность использования мощных компьютеров для слежки и контроля означала необходимость принятия особых правил, регулирующих сбор и обработку персональных данных. Во многих странах новые конституции отразили это право. Процесс обновления законодательства в данной области можно проследить со времени появления первого закона о защите данных, изданного в Германии в земле Гессен в 1970 г. После этого были приняты законы в Швеции (1973), Соединенных Штатах (1974), Германии (1977) и Франции (1978).

Из этих законов "выросли" два важных международных документа. Первый — Конвенция Совета Европы о защите прав личности в связи с автоматической обработкой персональных данных. Второй — Руководящие принципы Организации по экономическому сотрудничеству и развитию о защите приватности в связи с трансграничной передачей персональных данных. Эти положения определяют персональную информацию как данные, которые нуждаются в защите на каждом этапе от сбора до хранения и распространения. Право граждан на доступ к своим данным и внесение в них изменений стало главной составляющей этих правил.

В разных законах и правилах по-разному определяются условия защиты данных. Повсеместно принято считать, что персональная информация должна быть:

 

  • получена честным и законным путем;
  • использована только для заранее определенных целей;
  • соответствовать задаче, ради которой она собиралась;
  • точной и свежей;
  • обрабатываться только с согласия субъектов ее получения;
  • доступна субъекту данных;
  • защищена от несанкционированного доступа;
  • уничтожена после того, как цель достигнута.

 Два упомянутых соглашения сильно повлияли на развитие законодательства во всем мире. Почти 30 стран признали Конвенцию Совета Европы и еще несколько государств собираются сделать это в ближайшем будущем. Государственная Дума РФ ратифицировала эту конвенцию в ноябре 2001 года, а 20 декабря 2005 года Президент  В. Путин подписал ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных". Руководящие принципы Организации по экономическому сотрудничеству и развитию также широко используются законодателями разных стран, в том числе и не входящих в эту международную структуру.

Мировой опыт позволяет назвать три главные причины для принятия специальных законов о защите приватности и персональных данных:

Приведение законодательства значительного числа стран к общемировым цивилизованным стандартам, отражающим высокий уровень защиты прав человека. Многие государства, особенно в Центральной и Восточной Европе (включая Россию), Южной Африке и Южной Америке, приняли соответствующие законы, чтобы исправить последствия нарушений прав человека при тоталитарных режимах прошлых лет.

Создание благоприятных условий для развития электронного бизнеса. Многие страны, особенно в Азии, уже приняли (или разрабатывают) законы, направленные на развитие электронной коммерции. Правительства понимают, что в современном мире, насыщенном высокотехнологичными коммуникациями, персональные данные потребителей находятся под угрозой — особенно когда они пересылаются по Интернету. Поэтому в законах об электронном бизнесе появляются гарантии приватности.

Приведение национального законодательства в соответствие с европейскими соглашениями. Большинство стран Центральной и Восточной Европы принимает законы, основываясь на Конвенции Совета Европы 1981 года и Директиве Европейского Союза о защите данных. Многие из этих стран в ближайшем будущем надеются стать членами ЕС. В других регионах мира государства приводят свои законы в соответствие требованиям ЕС просто потому, что иначе могут пострадать их торговые отношения с членами Евросоюза.

В имеющих сейчас базовое значение документах, регулирующих работу с персональными данными в мире, сформулированы основные принципы работы с персональными данными:

 

  • персональные данные должны собираться и обрабатываться (храниться, использоваться, раскрываться, стираться и т.д.) только в соответствии с законом и наделенными соответствующими полномочиями органами;
  • персональные данные должны быть адекватными заранее определенным целям и распоряжение ими должно ограничиваться по срокам, соответствующим указанным целям;
  • персональные данные должны быть точны;
  • персональные данные должны обрабатываться с согласия субъектов этих данных;
  • персональные данные должны быть доступны субъектам этих данных, в том числе и для внесения уточнения в эти данные;
  • персональные данные должны быть должным образом защищены.

Ответы на вопросы по персональным данным

Что такое персональные данные?

По определению Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера, персональные данные означают любую информацию об определенном или поддающемся определению физическом лице.

По Федеральному закону "О персональных данных", персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

К персональным данным можно отнести, например: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы паспортные данные, место регистрации, ИНН, банковские реквизиты, медицинскую информацию, информацию о профессиональной деятельности, доходы и расходы граждан, национальность, вероисповедание, партийная принадлежность и многое другое.

Что такое защита персональных данных?

Защита персональных данных - это комплекс организационных и технических мер исключающих доступ к информации, содержащей персональные данные, лиц, не обладающих соответствующими полномочиями, а также исключающих возможность неправомерного использования такой информации.

Зачем необходимо защищать персональные данные?

Неправомерное искажение, фальсификация, уничтожение или разглашение информации наносит серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия. Для граждан, от степени защищенности информации персонального характера зависит физическая и имущественная безопасность субъектов персональных данных, а для операторов - обеспечение надлежащего функционирования организации.

Кто такой субъект персональных данных?

Физическое лицо.

Кто относится к операторам по обработке персональных данных?

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Способы защиты персональных данных.

В соответствии с Федеральным законом "О персональных данных", Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Операторы обязаны принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с установленными требованиями. Для граждан основным способом защиты их персональных данных будет проявление бдительности при предоставлении кому-либо информации личного характера, а также знание прав и обязанностей, которыми наделяет Федеральный закон операторов информационных систем и субъектов персональных данных.

Виды ответственности за неправомерную обработку персональных данных.

Лица, виновные в нарушении требований Федерального закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Кто осуществляет контроль в сфере персональных данных?

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. (Роскомнадзор).

Что защищает закон?

Закон защищает персональные данные физических лиц, которые находятся у юридического лица.

Сфера действия?

Закон регулирует отношения связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.

 

Законодательство в области персональных данных

 

Акты Президента Российской Федерации:

Указ Президента Российской Федерации от 06.03.1997 N 188 «Об утверждении перечня сведений конфиденциального характера»

Источник официального опубликования

Указ Президента Российской Федерации от 30.05.2005 N 609 «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

Источник официального опубликования

Указ Президента Российской Федерации от 17.03.2008 N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
Источник официального опубликования

Распоряжение Президента Российской Федерации от 10.07.2001 N 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»
Источник официального опубликования

 

Акты Правительства Российской Федерации:

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Источник официального опубликования

Постановление Правительства Российской Федерации от 03.11.1994 N 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»
Источник официального опубликования
  

Постановление Правительства Российской Федерации от 06.07.2008 N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Источник официального опубликования
(PDF, 3.00 Mb)

Постановление Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Источник официального опубликования

Распоряжение Правительства Российской Федерации от 15.08.2007 N 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»
Источник официального опубликования

Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"
Источник официального опубликования

Постановление Правительства от 19 августа 2015 г. N 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»
DOC (48.5 Kb)

 

Акты иных органов исполнительной власти

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в системах персональных данных"  Doc (256 Kb)

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15 февраля 2008 г.)
RTF (101.04 Mb)

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.)
RTF (346.50 Kb)

Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/54-144)
RTF (536.37 Kb)

Типовые требования по организации и обеспечению функционирования шифро- (крипто-) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/6/6-622)
RTF (336.00 Kb)

Приказ ФСБ России от 10 июля 2014 г. № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при 
их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения 
установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
RTF (63.46 Kb)

 

Акты Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций

Приказ N 105 от 15.06.2017 "О внесении изменений в Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. N 274"
PDF (450.37 Kb)

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения
TIF (505.23 Kb)

Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
TIFF (1.13 Mb)DOC (115.00 Kb)HTML

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 октября 2014 г. № 152 «О внесении изменений в приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 года № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».
DOCX (15.74 Kb)

Приказ Роскомнадзора от 3 декабря 2012 г. N 1255 «Об утверждении положения об обработке и защите персональных данных в центральном аппарате Федеральной Службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»
DOCX (51.06 Kb)HTML

Приказ Роскомнадзора от 22.07.2015 N 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»
PDF (164.40 Kb)

Приказ Роскомнадзора от 22.07.2015 N 85 «Об утверждении формы заявлений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»
PDF (64.56 Kb)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Время публикации: 03.10.2009 01:00
Последнее изменение: 07.09.2017 10:55