ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ЗАКОНОДАТЕЛЬСТВУ РОССИЙСКОЙ ФЕДЕРАЦИИ Текст научной статьи по специальности «Право»

ив

ЦЩВ

ЮРИДИЧЕСКИЕ НАУКИ

Китана Арзо Нурулдин

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ЗАКОНОДАТЕЛЬСТВУ РОССИЙСКОЙ ФЕДЕРАЦИИ

Р01: Ш.3Ш8/ESSA.2782-1994.202L3.75Л65 Аннотация. В статье анализируется понятие персональных данных согласно действующему законодательству Российской Федерации, рассматриваются вопросы защиты персональных данных и ответственность за нарушение российского законодательства в области защиты персональных данных.

Лппо1а1з1уа. V $1а1'уе апа^ц-цуйБуа роиуаНуе регеопаГпукИ dannykh soglasno deystvuyushchemu zakonodatel'stvu Rossiyskoy Federatsii, rassmatrivayutsya voprosy zashchity personal'nykh dannykh 1 otvetstvennost' za narusheniye rossiyskogo zakonodatel'stva V oblasti zashchity personal'nykh dannykh.

Ключевые слова: персональные данные, защита персональных данных, ответственность за нарушение защиты персональных данных

Klyuchevyye slova: personal'nyye dannyye, zashchita personal'nykh dannykh, otvetstvennost' za narusheniye zashchity personal'nykh dannykh

Указание на то, что защите информации о физическом лице необходимо уделять должное внимание, можно найти в Конституции РФ. Норма, согласно которой сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается, содержится в Статье 24 фундаментального документа. Меры защиты персональных данных подробно расписаны во множестве уточняющих это утверждение правовых актов.

В Российской Федерации уже заложена основа безопасности персональных сведений, однако разработка и внедрение комплексного подхода к ее обеспечению продолжается. В идеале в стране должна быть создана правовая система, которая объединяет требования законодательства РФ к хранению, обработке и передаче персональных данных граждан.

Рассмотрим какие данные определены законодательством Российской Федерации как персональные

Российское законодательство включает несколько категорий персональных данных. Среди них:

1. Общедоступные ПДн - данные, которые не подпадают под условия конфиденциальности и с согласия субъекта РФ могут стать общедоступными (справочники, адресные книги и т.д.). При этом суд или субъект персональных данных могут потребовать исключить эти сведения из открытых источников.

2. Специальные ПДн - данные, которые касаются национальной и расовой принадлежности, состояния здоровья, философских и религиозных убеждений, политических взглядов. Обработка такой информации возможна только при наличии письменного согласия субъекта. Согласие, однако не требуется, если его невозможно получить в связи с состоянием здоровья человека, либо в случае обработки данных в целях оперативно-розыскной деятельности.

3. Биометрические персональные данные -сведения о физиологических особенностях личности, которые позволяют идентифицировать человека. Например, фото- и видеоизображения людей. Для их обработки обязательно получать письменное согласие субъекта ПДн (исключение -оперативно-розыскная деятельность).

Можно выделить и ПДн, которые обрабатываются с использованием

информационных систем персональных данных (баз данных). В зависимости от того, какие данные содержатся в базе, ИСПД присваивается одна из четырех категорий:

- категория 4 - ИС, содержащая обезличенные и (или) общедоступные персональные данные;

- категория 3 - база с ПДн, по которым можно идентифицировать личность субъекта;

- категория 2 - ИС, в которой собраны ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию (кроме ПДн, относящихся к категории 1);

- категория 1 - база с данными человека, которые раскрывают его расовую, национальную принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь.

Вопрос защиты персональных данных различных категорий и порядок работы с ними определен в следующих нормативно-правовых актах:

- Федеральный закон «Об информации, информатизации и защите информации»;

- Федеральный закон «О персональных данных»;

- Глава 14 Трудового кодекса РФ.

Рассмотрим более подробно понятие и

порядок зашиты в указанных нормативно-правовых актах Российской Федерации.

Так, в тексте закона «Об информации»

ПДн в законе «Об информации»

В тексте настоящего федерального закона больше внимания уделено порядку работы с

биометрическими данными граждан, а также работе с данными в информационных системах.

Отметим основные моменты закона:

- В процессе обработки биометрических персональных данных государственные органы, банки и иные организации должны руководствоваться нормами закона «О персональных данных».

- Контроль и надзор за безопасностью обработки биометрических ПДн осуществляет федеральный уполномоченный орган.

- В случае нарушения прав субъектов персональных данных в части размещения информации о них в открытой форме, обнародование должно быть прекращено по решению суда.

Закон «О персональных данных», принятый 25 июля 2006 года, наиболее полно отражает порядок работы с ПДн, а также определяет меры ответственности за нарушение законодательства.

К основным понятиям закона относится:

- Персональные данные, к которым относится любая информация, имеющая прямое или косвенное отношение к определенному или определяемому физическому лицу (субъекту персональных данных).

- Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных.

- Обработка ПДн - любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Главное условие работы операторов с ПДн, согласно закону, четко определять цели обработки данных и использовать данные только в очерченных рамках. Причем хранение данных оператор обязан осуществлять в пределах срока их обработки, т.е. по достижении цели ПДн необходимо удалять, если срок хранения не установлен иными законодательными актами и договорами.

Как было отмечено ранее, порядок обработки персональных данных работников регламентирует глава 14 ТК РФ. К ПДн работника гражданское законодательство относит общие сведения о физическом лице, которые необходимы работодателю в связи с возникновением трудовых правоотношений. К ним относятся:

- фото работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности;

- приказы или распоряжения о приеме на работу, поощрении, увольнении, личная карточка, документы по оплате труда.

При этом в статье 86 указано, что каждый работник имеет право на защиту своих данных. Данное право предусматривает:

- наличие свободного доступа работника к личным данным;

- получение полной информации об обработке ПДн;

- возможность вносить правки в ПДн, если они содержат ошибочную информацию или обработаны с нарушением законодательства;

- возможность обжаловать в суде неправомерные действия или бездействие работодателя по защите прав субъекта ПДн.

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле - самыми важными шагами в решении этого вопроса должны быть следующие:

- Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;

- Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;

- Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;

- Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

- предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;

- предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;

- клиенты предприятия - физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора - уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн -Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам - определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении. Кроме положения об обработке персональных данных, оператор должен подготовить следующий пакет документов:

1. Уведомление об обработке ПДн (для Роскомнадзора).

ив

ЦЩВ

2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.

3. Согласие субъекта на обработку его персональных данных.

4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).

5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.

6. Документы по организации приема и обработки обращений и запросов субъектов.

7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

В среднем пакет документов включает порядка 30 различных приказов, положений и правил. Количество и содержание документов во многом зависит от сферы деятельности организации. Например, производственному предприятию с пропускной системой потребуется документ с требованиями к ведению журналов для однократного пропуска субъекта на территорию. А интернет-магазину такой документ ни к чему.

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

- средства защиты от несанкционированного доступа;

- антивирусные программы;

- межсетевые экраны;

- криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России. Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.

Оператор обязан защищать личную информацию о гражданах от следующих угроз:

- неправомерного или случайного доступа;

- уничтожения;

- изменения;

- блокирования;

- копирования;

- распространения.

Любые неправомерные действия с данными могут повлечь за собой ответственность оператора, который отвечает за их сохранность по закону.

Персональные данные граждан РФ защищены действующим законодательством, которое предусматривает несколько видов ответственности за нарушение требований законов в области защиты персональной информации:

- гражданско-правовую;

- дисциплинарную;

- материальную;

- административную;

- уголовную.

Причем, некоторые санкции действуют в отношении физических, юридических и должностных лиц.

Гражданско-правовая ответственность за нарушения в области использования личных данных осуществляется в требовании выплаты денежной компенсации за моральный вред.

В случае незаконного распространения чужих персональных данных на рабочем месте на виновника могут возложить дисциплинарную ответственность в виде увольнения. Если нарушение было не слишком серьезным, работник может отделаться выговором или замечанием.

Материальная ответственность может затронуть работников, которых уличили в разглашении информации, связанной с персональными данными других лиц.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных предполагает предупреждение или штраф в размере от 1 000 до 3 000 рублей - для физических лиц; от 5 000 до 10 000 рублей - для должностных лиц, от 20 000 до 50 000 рублей - для юридических лиц.

А за распространение охраняемой законом информации на рабочем месте - штраф в размере от 500 до 1 000 рублей - для физических лиц, от 4 000 до 5 000 рублей - для должностных лиц.

Уголовная ответственность в области персональных данных полагается за нарушение неприкосновенности частной жизни. Меры ответственности по УК РФ следующие:

- штраф в 200 000 рублей или в размере зарплаты/иного дохода нарушителя за 18 месяцев;

- обязательные работы на срок от 120 до 180 часов;

- исполнительные работы на срок до 12 месяцев;

- арест на срок до 4-х месяцев.

Если лицо, нарушившее неприкосновенность частной жизни, использовало при этом служебное положение наказание будет строже:

- штраф от 100 000 до 300 000 рублей или в размере зарплаты/иного дохода правонарушителя за 1-2 года;

- лишение права занимать определенные должности на срок от 2 до 5 лет;

- арест на срок от 4 до 6 месяцев.

Следует учитывать, что к ответственности за

нарушение законодательства в сфере ПДн операторов может привлекать регулятор -Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.

К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.

Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.

Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными. В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону. Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.

Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.

Так, с 1 сентября 2015 года, когда в России появился реестр операторов ПДн, суды приняли 238 положительных решений по обращениям Роскомнадзора. Эта цифра не выглядит

устрашающей на фоне общего числа операторов в реестре - 401 624 по состоянию на 31.12.2017.

Но и штрафы, которые компаниям выписывают чаще, на деле выглядят не такими уж большими. К примеру, итоговая сумма выписанных регулятором штрафов за 2019 год составила 4 068 500 рублей.

Закон «О персональных данных» устанавливает меры по обеспечению безопасности при обработке персональной информации. Соответствие информационной системы предприятия этим требованиям контролируют ФСТЭК и ФСБ. На практике они зачастую проверяют только организации, которые используют государственные информационные системы.

Проверки ФСТЭК и ФСБ могут быть плановыми и внеплановыми. При этом инспекторы обоих органов обращают внимание на одни и те же вещи, но рассматривают их под разными углами. К примеру, проверяют, какие организационные меры для защиты данных приняты в организации, исходя из требований ФСТЭК и ФСБ соответственно.

Таким образом, при выборе мер по обеспечению соблюдения требований

законодательства в области персональных данных необходимо учитывать множество обстоятельств, включая размеры организации, качество внутренней документации и форм договоров, а также потенциальный уровень риска попасть в поле зрения надзорного органа.

Список использованных источников

1. Конституция Российской Федерации (принята всенародным голосованием 12 дек. 1993 г.) (с учетом поправок, внесенных законами РФ о поправках к Конституции РФ от 30.12.2008 г. № 6 ФКЗ, от 30.12.2008 г. № 7-ФКЗ, от 05.02.2014 г. № 2-ФКЗ, от 21.07.2014 г. № 11-ФКЗ) // Собрание законодательства РФ. - 2014. - № 31. - Ст. 4398.

2. Федеральный закон от 27.07.2006 г. № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) // Российская газета. - 2006. - 29 июля. - № 165; 2014. - 23 июня. - № 163.

3. «Об утверждении Перечня сведений конфиденциального характера» // Собрание законодательства РФ. - 1997. - № 10. - Ст. 1127.

Сафонов Максим Сергеевич

THE PUBLIC COMPANIES LAW AND SUBSTANTIVE IMAGES OF PERSONS OF PUBLIC LAW IN

MODERN RUSSIAN LEGISLATION

DOI: 10.31618/ESSA.2782-1994.2021.3.75.168 The article outlines the general problems arising in the system of the Russian legislation associated with the contradiction between the legal forms set forth in the Civil Code and the forms of legal entities that were actually formed in public law. As a specific example, it was impossible to inscribe those entities which had special legal status (Central Bank of the Russian Federation, the Pension Fund of Russia, Vnesheconombank of the USSR, Bank for Foreign Trade of the RSFSR) in the proposed by Civil Code classification. The emergence of the legal form of a public corporation is seen in the article as an attempt to remove the existing contradictions in legislation. Keywords: legal entity, the Civil Code, a public corporation, a legal entity of public law.