Государство обеспечивает безопасность граждан всеми доступными способами. Важным направлением защиты на государственном уровне считается борьба с мошенничеством в различных проявлениях, включая незаконное использование персональных данных российских граждан. Для обеспечения необходимых мероприятий, гарантирующих максимальную защиту личной информации, служит федеральный закон №152-ФЗ «О персональных данных», принятый 27 июля 2006 года.
Закон о персональных данных регулирует отношения, при которых действия по обработке ПД выполняют (статья 1): субъекты государственной власти федерального уровня и другие госорганы; органы местного самоуправления и другие органы муниципального уровня; юридические и физические лица. Обработка при этом может происходить при помощи автоматизированных средств, включая информационные и телекоммуникационные сети, или в ручном режиме.
Закон не распространяется на отношения, которые могут возникать:
Персональные данные принадлежат к разряду сугубо личной информации физических лиц. Гражданин не должен распространять данные, чтобы не оказаться жертвой мошеннических действий. В то же время персональные данные нужны в повседневной жизни при различных юридических действиях, в число которых входит составление различных договоров, к примеру, купли-продажи, о предоставлении банковского обслуживания, трудовых и других документов.
Для обеспечения безопасности российских граждан и возможности использования персональных данных без опасений государство установило правила и нормы, в соответствии с которыми на лиц, в распоряжение которых поступают данные от других граждан, накладывается ответственность за правильное применение, сохранность и безопасность информации.
Закон 152-ФЗ на протяжении всего периода действия неоднократно менялся и дополнялся новыми положениями, вступали в действие новые редакции для обеспечения максимальной защиты персональных данных граждан. Сегодня актуален текст закона с изменениями, внесенными в связи с принятием закона №230-ФЗ от 3 июля 2016 года. Данный закон принят для защиты права и интересов физических лиц при осуществлении деятельности, связанной с возвратом просроченных задолженностей. В соответствии с 230-ФЗ изменена статья 6 закона 152-ФЗ, касающаяся условий обработки ПД. Такая обработка возможна, если она выполняется в соответствии с договором, по которому субъект ПД может выступать: одной из сторон договора; приобретателем выгоды в соответствии с договором; поручителем.
В предыдущей редакции закона 152-ФЗ случаи дополнялись вариантом, по которому оператор имел право на уступку требования (прав) в рамках договора. Это условие исключили, но пункт 7 статьи 6 данного норматива дополнили ссылкой на закон 230-ФЗ. Фактически внесены новые случаи, когда возможна обработка ПД.
Также расширен перечень нарушений, при выявлении которых на виновных лиц накладывают административные взыскания. Кроме того, в 2018 году значительно выросли размеры штрафных санкций.
Закон считает персональные данные информационными сведениями, касающимися определенного лица. Еще некоторое время назад к такой информации относился ограниченный перечень данных, основными из которых являлись: серия и номер паспорта; прописка; телефонный номер.
Стремительно развивающиеся технологии потребовали расширить список, в который теперь закон добавил сведения, открывающие доступ к более широкому перечню персональной информации. Теперь к категории ПД можно отнести: пароли доступа к аккаунтам в социальных сетях; адреса электронной почты, других личных страниц в интернете; пин-коды пластиковых карт, позволяющие получить доступ к сбережениям граждан и другие сведения.
В законе 152-ФЗ четко сформулированы определения персональных данных; процессов, которые считаются обработкой (статья 3); кто относится к категории операторов.
В соответствии с законом, персональной является информация, относящаяся к конкретному лицу или по которой можно установить его личность.
Оператором ПД считается лицо, которое занимается организацией или выполняет сбор и обработку ПД, устанавливает цели, для которых используются данные, и определяет содержание сведений, необходимых для выполнения всех действий. К операторам ПД относятся физические и юридические лица, федеральные и муниципальные органы, выполняющие вышеперечисленные операции.
Под обработкой ПД понимаются любые действия, выполняемые с ними в пределах Российской Федерации: хранение, сбор, анализ, запись, блокировка, уничтожение, удаление. Любое из действий регулируется российскими законами.
С 2018 года в перечень административных правонарушений при несоблюдении законодательства о защите персональных данных входит:
Каждое нарушение наказывается штрафом. Основанием для проведения проверки Роскомнадзора обычно являются жалобы граждан на нарушения законодательства о персональных данных. Но инспекторы при необходимости проводят и самостоятельные проверки выполнения норм 152-ФЗ.
Закон предусматривает передачу информации третьим лицам (пункт 3 статьи 6), если субъект разрешает передать данные и без согласия субъекта в других, оговоренных данным законом случаях. Факт передачи обязательно фиксируется письменно. Выполнить это условие можно, например, поставив отметку в анкете, с помощью которой собираются данные, или внести пункт в договор.
Если оператор поручил выполнять обработку третьей сторона, подрядчик должен соблюдать все правила и нормы, предусмотренные данным законом. Поручение должно содержать сведения о том, какие операции и с какими целями должны выполняться при обработке персональных данных. Должны быть установлены обязанности третьей стороны соблюдать требования конфиденциальности и обеспечения безопасности ПД. Важно прописать требования защиты данных, чтобы соблюсти требование статьи 19 закона 152-ФЗ.
Соблюдать законодательство о персональных данных необходимо во всех случаях, предусмотренных данным нормативным актом. Важно, чтобы данное условие выполнялось при реализации актов правосудия; подписании договоров кредитования на покупку потребительских товаров; заключении трудовых договоров; защите прав и интересов субъекта ПД; заключении гражданско-правовых договоров; требовании принять законные меры во время обработки ПД.
Статья 24 закона определяет ответственность за причинение морального вреда субъекту ПД в результате действий, повлекших нарушение прав гражданина во время обработки личных данных. Возмещение морального вреда должно осуществляться независимо от того, получает ли субъект одновременно возмещение имущественного вреда.
Лица, нарушившие данный закон, несут ответственность в соответствии с нормами действующего законодательства. Предусмотрены штрафы за незаконные действия с персональными сведениями или бездействие, повлекшие за собой причинение морального и материального ущерба. Размеры взысканий зависят от статуса оператора, нарушившего закон, вида нарушения и варьируются от 1 тыс. до 75 тыс. рублей.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
