Ответы на популярные вопросы по ФЗ-152

ФЗ-152 действует уже давно, а вопросов по нему по-прежнему много. Наш специалист по ИБ Максим Горшков отвечает на те, которые задают чаще всего. Надеемся, что эта подборка поможет вам сэкономить время и деньги.

Что такое ФЗ-152 Он действительно нужен или это очередное "мудрое" изобретение властей?

Нужен. ФЗ №152 от 27.07.2006 «О защите персональных данных» — это основной закон, регулирующий персональные данные на территории России и ёмко отвечающий на большинство вопросов, касающихся персональных данных. Рекомендую начинать изучение темы именно с прочтения норм этого ФЗ. Закон полезный для людей, так как призван не пускать посторонних к вашей личной информации. Аналоги нашего ФЗ-152 приняты в большинстве развитых стран.

Что регулирует ФЗ-152?

Любые отношения, связанные с персональными данными на всех уровнях, как между физическими лицами, так и с юрлицами или государственными органами.

Что является персональными данными по ФЗ-152?

Это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. То есть охраняемыми законом будут те персональные данные, которые позволят установить личность.

Какой набор сведений не является персональными данными?

Те сведения, которые в совокупности не позволят установить личность. Здесь тонкая грань. Например, набор имя+фамилия+страна проживания сам со себе недостаточен для установления личности, так как можно найти большое количество людей с таким набором данных. Но если мы добавим город проживания, то это уже персональные данные. Номер мобильного телефона сам по себе является объектом персональных данных, так как позволит установить личность на кого номер зарегистрирован. А вот госномер транспортного средства не является ПНд, так как он относится не к человеку, а к автомобилю.

Кто контролирует ФЗ-152, следит за его исполнением?

Контролирующими органами в сфере обеспечения безопасности персональных данных являются Роскомнадзор, ФСБ и ФСТЭК России.

Что подразумевается под конфиденциальностью персональных данных?

Ответ на этот вопрос содержится в ст. 7 ФЗ-152: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».

Ранее законодательство не обязывало получать согласие на обработку ПДн, если человек разместил их в общем доступе в интернете (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Теперь эту норму убрали (п. 2 ст. 1 Федерального закона от 30.12.2020 № 519-ФЗ). Любые данные о человеке можно публиковать только с его прямого согласия. Кроме того, поправки коснулись и самого согласия субъекта на обработку персональных данных. Так, в законе сказано "Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения". Теперь само согласие (в письменном или электронном виде) должно иметь чёткие формулировки, о каких сведениях субъекта будет идти речь. Формулировка «все персональные данные», используемая ранее для простоты, недопустима. Важно отметить, что после дачи согласия на обработку персональных данных, оператор ПДн не имеет права предоставлять персональные данные для обработки третьим лицам без прямого согласия субъекта.

Можно ли обрабатывать персональные данные без согласия людей?

Законодательство допускает обработку ПДн без согласия субъекта в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии, что это не нарушает права и законные интересы гражданина.

Зачем нужно уничтожать ПДн и как документально оформить факт уничтожения персональных данных субъекта?

Персональные данные уничтожаются, когда цели их сбора и обработки достигнуты, а дальнейшая обработка не требуется.

Порядок документальной фиксации уничтожения ПДн субъекта самостоятельно определяется оператором. Уничтожение персональных данных субъекта осуществляется комиссией либо должностным лицом, созданным (уполномоченным) на основании приказа оператора. Наиболее распространенными способами документальной фиксации уничтожения ПДн является оформление Акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим оператором.

Фотография в СКУД – биометрические персональные данные?

Вообще, есть подробное разъяснение по этому вопросу. Если говорить коротко, то не любая фотография является биометрическими персональными данными. Есть два критерия её отнесения к этой категории:

  • сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

  • отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

  • Таким образом, обработка фотографии в системе СКУД к биометрическим персональным данным не относится, если фотография сделана не по ГОСТу.

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

В каких-то случаях да, а в каких-то нет. Критерием оценки будет оценка цели обработки персональных данных. Так, оформление банковского счета или покупки билета на транспорт вряд ли возможны без предоставления персональных данных, однако покупка продуктов питания в магазине никак не увязана с оформлением бонусной карты и заполнением анкеты, содержащей персональные данные. На практике отказывают довольно часто.

Может ли оператор передать кому-нибудь персональные данные?

Может, но только с письменного согласия субъекта.

Как передавать персональные данные сотрудников в рамках групп компаний

Если персональные данные сотрудника передаются в другое подразделение компании, то согласия субъекта не требуется. Если персональные действия передаются другой компании, то работодатель обязан получить письменное разрешение на это.

Является ли разглашением персональных данных список именинников, размещённый на доске объявлений для персонала с указанием ФИО, дня и месяца рождения?

Если доступ к доске имеют посторонние лица, не сотрудники, то безусловно да. Подобное размещение требует обязательного согласия субъекта.

Фамилия директора компании или размер зарплаты — это персональные данные?

Нет, это скорее коммерческая тайна. Кстати говоря, в нашем законодательстве насчитывается несколько десятков видов охраняемых законом тайн. Так что персональные данные лишь один из видов.

Можно ли отзывать разрешение на обработку ПДн?

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причём законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Что можно требовать у оператора, обрабатывающему ваши ПДн?

У вас есть право на получение у оператора информации, касающейся обработки ваших ПДн (кроме случаев обработки персональных данных в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.). Всё довольно подробно описано в гл.3, ст.14. Сохранение конфиденциальности, запрет на передачу третьим лицам и, конечно же, удаление ваших персональных данных — это то, что вы также можете требовать от оператора ПДн.

Сайт зарегистрирован на российском хостинге, но предназначается для клиентов из других стран. Сайт имеет форму ввода персональных данных. Как обеспечить выполнение 152-ФЗ?

Компания, работающая на территории РФ, подчиняется законам РФ. Все персональные данные граждан РФ в обязательном порядке должны храниться на серверах в РФ. Исходя из этих данных, если компания иностранная и обрабатывает персональные данные иностранцев, то она не обязана подчиняться 152-ФЗ, в других случаях на неё распространяется и требования и ответственность

Что будет в случае неуведомления Роскомнадзора о начале обработки персональных данных?

Санкции по ст. 19.7.1 КОАП РФ. Штраф в размере 5000 рублей.

Может ли человек предоставлять персональные данные своих близких родственников?

Может, если у него есть письменное согласие на обработку персональных данных от родственников, либо в случаях, когда согласие не требуется, о чем мы говорили выше.

Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?

Административная, предусмотренная в КОАП РФ, причём штрафы для юридических лиц могут доходить до 18 000 000 рублей

Возможно ли получение согласия на обработку персональных данных по телефону?

Нет, законодательство предусматривает только письменное согласие.

Можно ли осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

Нет, но есть исключения. Оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных. Исключения:

  1. обрабатываемые в соответствии с трудовым законодательством персональные данные сотрудников организации.
  2. полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4.  разрешённые для распространения субъектом персональных данных;
  5.  включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  9. обрабатываемые в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В организации есть обработка персональных данных, Роскомнадзор уведомили, но как их защищать? Чем это регламентировано?

В определении необходимой защиты персональных данных нам поможет Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Согласно этому постановлению, в РФ информационные системы, обрабатывающие персональные данные, делятся на 4 типа по уровню защищённости. Критерии оценки также приведены в этом НПА.

Смысл категорирования в том, чтобы соответствовать минимальному уровню защищённости (УЗ), согласно критериям. Соответствие более высокому УЗ допускается, но более низкому нет. С УЗ информационной системы определились, теперь открываем ПРИКАЗ от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В этом приказе в удобной табличной форме отражены все организационно-технические меры, которые необходимо реализовать в организации, чтобы соответствовать необходимому уровню защищенности при обработке персональных данных в вашей информационной системе. По итогу у вас должен быть издан ряд документов, установлены средства защиты и сформирован итоговый пакет документов для аттестации. То есть мало реализовать внутренние меры по защите информации, издать организационно распорядительные документы, нужно еще пройти аттестацию, чтобы аттестующий орган (имеющий на этой лицензию ФСТЭК) удостоверил, что меры по защите информации действительно приняты в полном объеме и соответствуют заявленному уровню защищенности.

Узнать о порядке аттестации и какие требования к ней можно в приказе от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В ходе изучения приказа вы увидите, что потребуется сформировать модель угроз, то есть такой документ, в котором будут отражены все актуальные возможные атаки на систему и соответственно от вас потребуются описать превентивные меры на эти атаки. Модель угроз формируется согласно методическим указаниям ФСТЭК от 2021 года.

Прошу ещё обратить внимание, что у государственных информационных систем помимо классификации по УЗ, есть классификация по классам защищённости (К1, К2, К3).

У меня свой интернет-магазин и я слышал, что надо как-то работать с персональными данными, иначе меня могут оштрафовать. Как мне понять, что менять и как действовать?

Да, действительно могут. Федеральным законом №152 от 27.07.2006 «О защите персональных данных» определены требования по защите персональных данных, а в КОАП РФ предусмотрены серьёзные санкции за нарушение этого закона, которые могут представлять собой штрафы в несколько миллионов для бизнеса.

Чтобы понимать, что нужно защищать, дадим определение персональным данным. Это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. То есть охраняемыми законом будут те персональные данные, которые позволят установить личность. С учётом того, что в интернет-магазинах есть учетные записи с анкетами, которые содержат адрес отправки, получателя, пол, дату рождения, телефон и пр., то подобный вид деятельности однозначно подпадает под требования по защите персональных данных.

Я просто торгую товаром в интернете, а не шлю СМС-рассылки и не передаю данные покупателей куда-либо. Разве я могу быть оператором персональных данных? Кого законодатель включает в категорию операторов персональных данных?

На все эти вопросы нам однозначно отвечает ФЗ-152. Оператор персональных данных —государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Соответственно, обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Очевидно, что любые действия с чужими персональными данными будут являться обработкой, а тот кто совершает эти действия – оператор. Даже если он не занимается рассылками и никуда не передаёт свою клиентскую базу.

Какие иностранные государства обеспечивают адекватную защиту персональных данных?

Например, Евросоюз со своим законом по защите персональных данных — GDPR. Ответ на этот вопрос уже давал РКН, но можно и перечислить эти страны. К надёжно охраняющим ПДн относятся страны, подписавшие и ратифицировавшие Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS N 108. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, могут страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

В каких случаях GDPR может применяться к российским компаниям?

В Европейском законодательстве существует три критерия применения GDPR (закона о защите персональных данных)

  1. компания из страны, не входящей в ЕС, ведёт деятельность через постоянную структуру в Евросоюзе;
  2. неевропейская компания предлагает в Европе товары;
  3. компания ведёт мониторинг клиентов в ЕС.

Что появилось в 2021 году, что ожидается?

С 1 марта 2021 года в ФЗ-152 от 27.07.2006 "О защите персональных данных" вступили серьёзные ограничения для бизнеса, касающиеся обработки и хранения персональных данных. Ранее законодательство не обязывало получать согласие на обработку персональных данных, если человек разместил их в общем доступе в интернете (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Теперь эту норму убрали (п. 2 ст. 1 Федерального закона от 30.12.2020 № 519-ФЗ). Любые данные о человеке можно публиковать только с его прямого согласия.

Кроме того, поправки коснулись и самого согласия субъекта на обработку персональных данных. Так, в законе сказано "Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения." Теперь само согласие (в письменном или электронном виде) должно иметь четкие формулировки о каких сведениях субъекта будет идти речь. Формулировка "все персональные данные", используемая ранее для простоты, не допустима.

Важно отметить, что после дачи согласия на обработку персональных данных, оператор персональных данных не имеет права предоставлять персональные данные для обработки третьим лицам без прямого согласия субъекта. И в заключение, санкции за нарушение ФЗ-152 увеличились и тем самым бизнес будет нести значительные убытки, если не позаботится о соблюдении законодательства в части обработки персональных данных. А обязанность предоставить доказательства законности последующего распространения или иной обработки персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

С 5 февраля 2021 года начал действовать новый методический документ ФСТЭК России «Методика оценки угроз безопасности информации».

В связи с утверждением нового методического документа не применяются для оценки угроз безопасности информации «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК России, 2008 г.) и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (ФСТЭК России, 2007 г.)

Новая методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, а также по разработке моделей угроз безопасности информации систем и сетей.

Методика применяется для определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях, отнесённых к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. В иных случаях решение о применении указанной методики принимается обладателями информации или операторами систем и сетей.

Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до появления этой методики, продолжают действовать и подлежат изменению в соответствии с новой методикой лишь при развитии (модернизации) соответствующих систем и сетей.

Таким образом законодатель актуализировал виды угроз, тактику и методику проверки информационных систем на устойчивость к тем или иным угрозам.

С 1 февраля 2021 года вступил в законную силу Федеральный закон от 30.12.2020 № 530-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». В 149-ФЗ «Об информации, информационных технология и о защите информации» появилась статья 10.6. «Особенности распространения информации в социальных сетях». Так законодатель закрепил большой список требований и ограничений к владельцам «социальных сетей», поскольку последние являются огромной базой персональных данных пользователей, суточное посещение которых превышает более 500 тыс. При этом владельцы социальных сетей должны постоянно осуществлять мониторинг ресурсов на отсутствие в них широкого списка запрещённой информации. Причём реагирование на появление подобной информации должно быть «незамедлительным».

Заключение

Тема защиты персональных данных «как ком на голову» свалилась на бизнес, ведь санкции за нарушения выросли, да и контроль со стороны государства возрос. Подготовить информационную систему, соответствующую критериям уровня защищенности, класса защищенности порой непосильная задача. Особенно без наличия в штате опытных специалистов в сфере информационной безопасности. От начала и до этапа аттестации может пройти больше года, что для некоторых систем фатально. Единственный вариант ускорить процесс: обратиться к сторонним компаниям, которые подготовят вашу систему к аттестации и помогут её аттестовать.

Вверх!