Выступление главного специалиста - эксперта отдела правового и кадрового обеспечения департамента экономики, финансирования и права Министерства искусства и культурной политики Ульяновской области Раевской А.И. «О законодательстве в сфере защиты персональных данных»

27.07.2017

Законодательство Российской Федерации о защите персональных данных базируется на Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 года). Цель Конвенции состоит в обеспечении на территории каждой из Сторон для каждого физического лица, независимо от его гражданства или местонахождения, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, 

в отношении автоматизированной обработки касающихся его персональных данных.

Конвенция была ратифицирована Российской Федерацией Федеральным законом от 19 декабря 2005 года № 160-ФЗ
«О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
. Стоит отметить, что в данном Федеральном Законе указано, что Российская Федерация не будет применять Конвенцию к персональным данным, обрабатываемым физическими лицами исключительно для личных
и семейных нужд и отнесённым к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне.

Основным нормативным актом в области работы с персональными данными является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», который регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учёта и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну;

4) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа
к информации о деятельности судов в Российской Федерации».

Согласно настоящему Федеральному закону, под персональными данными следует понимать любую информацию, относящуюся к прямо или косвенно копределённому или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных определена как любое действие (операция) или совокупность действий (операций), совершаемых
с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Соответственно, оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Настоящий Федеральный закон содержит принципы и условия обработки персональных данных, права субъекта персональных данных, обязанности оператора, положения о государственном контроле и надзоре
за обработкой персональных данных и ответственности за нарушение требований настоящего Федерального закона.

В связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и принятием Федерального закона «О персональных данных» были внесены соответствующие изменения в законодательство. Федеральным законом от 07 мая 2013 года № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» внесены изменения в ряд федеральных законов, а также в Трудовой кодекс Российской Федерации.

В актуальной редакции Трудового кодекса Российской Федерации требования к работе с персональными данными работников, хранению и передаче персональных данных, права работников в целях обеспечения защиты персональных данных и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных, определены статьями 86 – 90.

Стоит отметить тенденцию ужесточения наказаний за нарушения в сфере обработки персональных данных. С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов. Изменения вступили в силу 01 июля 2017 года (Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).

Так, в частности, установлена административная ответственность за:

обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц - от 5000 рублей до 10000 рублей, на юридических лиц - от 30000 рублей до 50000 рублей);

обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;

невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;

невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

В прежней редакции статьи 13.11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц - от 500 рублей до 1000 рублей, на юридических лиц - от 5000 рублей до 10000 рублей.

         В завершении хотелось бы отметить, что для организации качественной работы с персональными данными необходимо руководствоваться в работе следующими нормативными документами:

Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» - содержит особенности организации обработки персональных данных без использования средств автоматизации и меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.

Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом
«О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» - содержит такие положения, как необходимость закрепления ответственного за организацию обработки персональных данных в государственном или муниципальном органе, перечень необходимых документов, утверждаемых актом руководителя органа (правила обработки персональных данных, правила рассмотрения запросов субъектов персональных данных или их представителей, правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», правила работы с обезличенными данными в случае обезличивания персональных данных, перечень информационных систем персональных данных и так далее).

Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» - устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищённости таких данных.

Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Приказ Роскомнадзора от 05 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»).

Добавлено: 31 июля 2017 года, 15:41

Изменено: 25 декабря 2017 года, 12:25