О персональных данных

Довольно часто работая с различными документами сталкиваешься с таким правовым понятием как "персональные данные". Этот юридический термин в последнее время у многих на слуху. Сегодня подписывая всевозможные договоры с разными организациями (банки, страховые компании, интернет провайдеры и т.д.) Вам наверное ни раз предлагали помимо договора подписать к нему и некое соглашение об использовании (обработке) ваших персональных данных. Правда иногда это соглашение может присутствовать в самом тексте договора, но суть от этого не меняется. Что же собой представляют эти "персональные данные"? Какова их ценность? В чем заключается их защита?

Как известно, каждый гражданин в нашей стране имеет право на личную жизнь. При этом государство гарантирует (по крайней мере на бумаге) неприкосновенность ее и защиту. Так согласно основному закону страны (ст.ст. 23, 24 Конституции РФ)

Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени...
Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Конституционное право на защиту частной жизни гражданина незыблемо в современном понимании права и имеет место быть в подавляющем большинстве демократических государств. Но что собственно это такое, с юридически точки зрения, "частная жизнь"?

Обозначая свою правовую позицию по данному вопросу Конституционный Суд РФ в своем Определении от 09.06.2005 N 248-О разъясняет, с точки зрения основного закона, что из себя представляет право на неприкосновенность частной жизни: "это предоставленная человеку и гарантированная государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. В понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер."

Так вот, именно для обеспечения защиты и реализации неприкосновенности частной жизни, в законодательство была введена некая юридическая конструкция - "персональные данные", которая призвана была защитить некие данные относящиеся к "определенной персоне". Эти "данные" с этого момента (по замыслу законодателя) перестают быть свободными в обращении, на них накладывается специальный юридический режим, суть которого заключается в использование этих данных третьими лицами только в строго определенном законом порядке. Неприкосновенность частной жизни и персональные данные всегда неразрывно связаны между собой. В мировой практике эта правовая конструкция (персональные данные) известна давно и используется очень широко, особенно в век информационных технологий.

В 1981 г. в Страсбурге была подписана Конвенция о защите физических лиц в связи с автоматической обработкой персональных данных (далее Конвенция). Россия ратифицировала Конвенцию в 2005 году.

Согласно положениям этой Конвенции персональные данные, проходящие автоматическую обработку:

· должны быть получены и обработаны добросовестным и законным образом;

· должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;

· должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;

· должны быть точными и в случае необходимости обновляться;

· должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

В связи с тем, что Россия стала участницей данной Конвенции, и развивая положения установленные Конституцией РФ, был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее Закон о персональных данных).

Согласно ст. 3 Закона о персональных данных

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Таким образом, персональные данные это прежде всего информация. В свою очередь, информация - это сведения сообщения, данные) независимо от формы их представления (Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Далее, согласно закону данная информация должна относиться к конкретному лицу (определенному или определяемому физическому лицу), т.е. субъектом персональных данных может быть только физическое лицо. Все это вполне укладывается в рамки ст. 2 Конвенции, согласно чему персональной информацией признана любая информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных).

Обычно к персональным данным относят такие сведения о лице как паспортные данные, ИНН, СНИЛС, ФИО, адрес места жительства, медицинская карта, телефонный номер и др. сведения, подпадающие под определение, приведенное в ст. 3 Закона о персональных данных. Важно понять одно, что с принятием Закона о персональных данных сведения о лице, подпадающие под определения "персональных данных", могут использоваться (обрабатываться) третьими лицами, за некоторым исключением, только с его согласия, и только в строго определенном порядке. Вот почему в последнее время подписывая какой-либо договор, в дополнение к нему, просят подписать также и согласие на обработку персональных данных, т.к. без этого сделать что-либо с этими данными, не нарушая Закон о персональных данных, будет проблематично.

Лица обрабатывающие персональные данные называются операторами. Согласно ст. 3. Закона о персональных данных оператор это

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Принципы которых должен придерживаться оператор при обработке персональных данных, помимо вышеуказанных из Конвенции, отражены в ст. 5 Закона о персональных данных. Основная идея заложенная законодателем заключается в том, что оператор при обработке персональных данных должен прежде всего четко определить: объем обрабатываемых персональных данных их содержание и цель обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. На этом и базируется в целом Закон о защите персональных данных.

Основной контроль и надзор за обработкой персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Так как обработка персональных данных строго регламентирована, какие персональные данные имеет право обрабатывать тот или иной оператор можно узнать из реестра операторов, осуществляющих обработку персональных данных. В реестре приведен перечень сведений (персональных данных), которые оператор имеет право обрабатывать. Правда стоит отметить, что на сегодня не все операторы пока подали в Роскомнадзор соответствующие уведомления, что в принципе само по себе уже говорит о недобросовестности того или иного оператора в сфере обработки им персональных данных.

Будьте внимательны подписывая данное соглашение (соглашение об обработке персональных данных). Ознакомьтесь с ним, обратите внимание на срок, в течение которого оператор имеет право осуществлять обработку. Перечень информации (персональных данных) полученной от вас должен укладываться в рамки перечня, представленного оператором в Роскомнадзор, а также соответствовать целям обработки. В любом случае помните, что предоставив когда-либо оператору согласие на обработку персональных данных, субъект персональных данных, вправе также его и отозвать при необходимости. И оператор, получив такой отзыв, уже не вправе (за некоторыми исключениями, указанных в законе) будет осуществлять обработку ваших персональных данных. Это очень важный момент, который в некоторой степени защищает интересы субъекта персональных данных. Ведь штрафы за нарушения в сфере защиты персональных данных довольно высоки, и операторам, как ни странно, здесь выгоднее соблюсти закон нежели его нарушить.

* * *

МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ АДМИНИСТРАЦИЕЙ ОКТЯБРЬСКОГО МУНИЦИПАЛЬНОГО РАЙОНА ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ

Постановление администрации муниципального района от 12.02.2010 № 53 "Об утверждении Положения об обработке персональных данных и созданию системы защиты информационных систем персональных данных в администрации Октябрьского муниципального района и его структурных подразделениях"

Постановление администрации муниципального района от 12.02.2010 № 54 "Об утверждении Положения об организации и проведению работ в администрации Октябрьского муниципального района и его структурных подразделениях по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Постановление администрации муниципального района от 29.08.2012 № 175 "Об утверждении Правил организации обработки персональных данных в администрации Октябрьского муниципального района Еврейской автономной области"

Постановление администрации муниципального района от 30.08.2012 № 176 "Об утверждении Правил рассмотрения запросов субъектов персональных данных или их представителей в администрации Октябрьского муниципального района Еврейской автономной области"

Распоряжение администрации муниципального района от 22.01.2013 № 10-p "Об утверждении типовой формы журнала учета съемных носителей персональных данных и Порядка организации учета, хранения, выдачи и уничтожения съемных носителей, содержащих персональные данные"

Распоряжение администрации муниципального района от 05.11.2013 № 370-p "Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Октябрьского муниципального района Еврейской автономной области"

Постановление администрации муниципального района от 05.11.2013 № 221 "Об утверждении Типового обязательства муниципального служащего администрации Октябрьского муниципального района Еврейской автономной области, непосредственно осуществляющего обработку персональных данных"

Постановление администрации муниципального района от 05.02.2013 № 45 "Об утверждении Правил работы с обезличенными персональными данными администрации Октябрьского муниципального района Еврейской автономной области"

Распоряжение администрации муниципального района от 05.02.2013 № 45" О назначении ответственного за организацию обработки персональных данных и утверждении должностной инструкции ответственного за организацию обработки персональных данных в администрации Октябрьского муниципального района Еврейской автономной области"

Постановление администрации муниципального района от 16.10.2014 № 164 "Об утверждении типовой формы согласия на обработку персональных данных служащих администрации муниципального района и типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные"

Постановление администрации муниципального района от 06.11.2014 № 179 "Об утверждении политики безопасности информационных систем персональных данных в администрации муниципального образования "Октябрьский муниципальный район"

Постановление администрации муниципального района от 22.06.2015 № 130 "О создании комиссии по обследованию информационных систем администрации Октябрьского муниципального района"

Oсновные понятия закона 152-ФЗ «О персональных данных»

Термин	Определение	Примеры
Персональные данные	Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).	ФИО, дата и место рождения, адрес, имущественное положение, образование, профессия и доходы.
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.	Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих.
Обработка персональных данных	Практически любые действия (операции) с персональными данными.	Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение.
Распространение персональных данных	Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц.	Обнародование персональных данных в СМИ, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Обезличивание персональных данных	Действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.	Результаты статистических опросов - обезличенные данные.
Информационная система персональных данных	Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств .	База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»).
Конфиденциальность персональных данных	обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.	Требование обеспечить защиту от утечек.

ИНФОРМАЦИЯ о ходе выполнения мероприятий по защите информации в муниципальных информационных системах, в том числе информационных системах персональных данных администрации Октябрьского муниципального района

В ходе реализации мероприятий по защите информации в муниципальных информационных системах, в том числе обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Федерального закона от 27.06.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» за 2014 и текущий период 2015 года была проведена следующая работа:

1. Разрабатывается нормативно-правовая база:

Администрацией Октябрьского муниципального района принято постановление от 07.05.2015 № 104 "Об утверждении Положения о порядке создания, эксплуатации и регистрации муниципальных информационных систем администрации Октябрьского муниципального района, создаваемых и приобретаемых за счет средств местного бюджета", которым предусмотрены мероприятия по защите информации и муниципальных информационных ресурсов, содержащихся в муниципальных информационных системах. Данные мероприятия направлены на:

- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

- соблюдение конфиденциальности информации ограниченного доступа (Постановление администрации муниципального района от от 30.12.2014 № 212 "Об утверждении Порядка работы со сведениями конфиденциального характера в администрации Октябрьского муниципального района и Сводного перечня сведений конфиденциального характера, используемых в деятельности администрации Октябрьского муниципального района");

- реализацию права на доступ к информации.

В том числе приняты следующие нормативные акты в области защиты персональных данных:

- постановление администрации муниципального района от 22.06.2015 № 130 "О создании комиссии по обследованию информационных систем администрации муниципального района";

- постановление администрации муниципального района от 16.10.2014 № 164 "Об утверждении типовой формы согласия на обработку персональных данных служащих администрации муниципального района и типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные";

- постановление администрации муниципального района от 30.12.2014 "Об утверждении Порядка работы со сведениями конфиденциального характера в администрации Октябрьского муниципального района и Сводного перечня сведений конфиденциального характера, используемых в деятельности администрации Октябрьского муниципального района";

- постановление администрации муниципального района от 06.11.2014 № 179 "Об утверждении политики безопасности информационных систем персональных данных в администрации муниципального образования "Октябрьский муниципальный район", в котором определена система взглядов на обеспечение информационной безопасности администрации муниципального района.

Настоящая Политика определяет основные цели и задачи, а также стратегию построения системы защиты персональных данных администрации, а также определяет основные требования и подходы к их реализации, для достижения требуемого уровня безопасности информации.

2. Проведена классификация ИСПДн.

Согласно постановлению Правительства от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" принят перечень информационных систем, в которых обрабатываются персональные данные и иные сведения конфиденциального характера.

На основании данного перечня и, руководствуясь рекомендациями Решения Совета по информационной безопасности на территории Еврейской автономной области от 28.11.2013, в 2014 году проведено совещание комиссии по проведению классификации и определения уровня защищенности информационных систем, на котором были определены уровни защищенности каждой информационной системы (в соответствии с постановлением Правительства РФ от 01.11.2013 № 1119) и присвоены новым информационным системам персональных данных различные классы защищенности в зависимости от обрабатываемых в них персональных данных (в соответствии с приказом ФСТЭК России от 01.11.2013 № 17).

По результатам деятельности комиссии для новых информационных систем персональных данных разработан отдельный пакет документов, в который входят:

- Распоряжение "О допуске лиц к обработке персональных данных в ИСПДн";

- Описание Технологического процесса обработки информации в Информационной системе персональных данных;

- Инструкция по работе пользователей в информационной системе персональных данных, защищенной от несанкционированного доступа;

- Инструкция сотруднику, ответственному за обеспечение безопасности персональных данных в ИСПДн

- Матрица доступа.

3. Программа "Информационная безопасность муниципального образования "Октябрьский муниципальный район".

Постановлением администрации муниципального района от 13.03.2014 № 37 утверждена программа "Информационная безопасность муниципального образования "Октябрьский муниципальный район" на 2014 год", в которой планировалось потратить 135 000 рублей на аттестацию рабочих мест отдела бухгалтерского учета и отчетности администрации Октябрьского муниципального района. В связи с кредиторской задолженностью администрации муниципального района, финансирование запланированных мероприятий по программе на 2014 год не было осуществлено.

Постановлением администрации муниципального района от 27.02.2015 № 56 утверждена программа "Информационная безопасность муниципального образования "Октябрьский муниципальный район" на 2015 год", в которой планируется потратить 20000 рублей на приобретение СЗИ Secret Net.

4. Общие мероприятия.

На 2015 год разработан план мероприятий по выполнению требований к защите государственных (муниципальных) информационных систем, определенных Приказом ФСТЭК России от 11.02.2013 № 17.

Согласно данному плану:

- в I квартале 2015 года проведена инвентаризация муниципальных информационных систем, на основе которой создан перечень информационных систем по включению в Реестр сведений о муниципальных информационных системах, переданных в эксплуатацию;

- разрабатываются частные модели угроз для каждой информационной системы;

- со специалистами – уполномоченными операторами информационных систем во втором квартале текущего года проведена отработка действий по реализации мер защиты информации;

- проводится периодический контроль над состоянием антивирусной защиты, а также за соблюдением установленного порядка антивирусного контроля.

- в третьем квартале запланированы мероприятия по аттестации информационных систем.

Основным и наиболее эффективным методом контроля над состоянием защиты информации в администрации муниципального района, а также в его структурных подразделениях является проверка. Администрацией муниципального района разработано, и утверждено постановление о проведении внутренних проверок деятельности по построению и совершенствованию системы защиты информации ограниченного доступа, согласно которому в 2015 году будут проведены проверки по выявлению и устранению недостатков в построении системы защиты информационных систем.

При осуществлении контроля над состоянием защиты информации особое внимание уделяется вопросам обращения с носителями конфиденциальной информации и их хранения в структурных подразделениях. В связи с этим администрацией принято распоряжение от 22.01.2013 № 10р "Об утверждении типовой формы журнала учета съемных носителей персональных данных и Порядка организации учета, хранения, выдачи и уничтожения съемных носителей, содержащих персональные данные". За период 2014-2015 гг. выданы 4 съемных учтенных носителя структурным подразделениям администрации.

Ежегодно разрабатываются планы по выполнению требований по защите информации, информационных систем персональных данных.

Специалисты администрации участвуют в областных и районных обучающих семинарах по вопросам организации защиты персональных данных. Так Управлением Роскомнадзора по Дальневосточному округу в октябре 2014 года был проведен семинар на тему "Основные обязанности операторов, осуществляющих обработку персональных данных", в котором приняли участие специалисты из всех сфер деятельности: образования, культуры, сельского хозяйства, ТСЖ, ЖКХ, управляющие компании и другие.

В 2013 году один специалист администрации муниципального района прошел обучение на курсах повышения квалификации в области защиты информации в Дальневосточном государственном университете путей сообщения по теме "Техническая защита персональных данных".

В апреле 2015 года с муниципальными служащими проведена учеба на тему: "Законодательство в сфере технической защиты муниципальных информационных систем".

ПОЛЕЗНАЯ ИНФОРМАЦИЯ

Защита прав субъектов персональных данных

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

Управление Роскомнадзора по Дальневосточному федеральному округу обращает внимание органов государственной власти, муниципальных органов всех видов, юридических и физических лиц, зарегистрированных на территории Хабаровского края, Еврейской автономной области и осуществляющих или намеревающихся осуществлять обработку персональных данных, о необходимости подачи уведомления об обработке персональных данных. Такое требование предписано статьей 22 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Целью Федерального закона № 152-ФЗ является обеспечение защиты конституционных прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Под определением «обработка персональных данных» понимаются любые действия с персональными данными, включающие сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Исходя из этой трактовки, под юрисдикцию закона «О персональных данных» попадают все без исключения органы государственной власти, муниципальные органы, практически все юридические лица и индивидуальные предприниматели, товарищества и кооперативы всех видов. И все эти хозяйствующие субъекты объединены определением «оператор, ведущий обработку персональных данных», а значит, обязаны направить соответствующее уведомление в уполномоченный орган, каким у нас в регионе является Управление Роскомнадзора по Хабаровскому краю и Еврейской автономной области.

Более подробную информацию можно получить на сайте Управления Роскомнадзора http://27.rkn/gov.ru/directions/pd/.

* * *

В соответствии с Федеральным законом 152-ФЗ все операторы (органы государственной и муниципальной властей, юридические или физические лица), до начала обработки персональных данных обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 закона, уведомление об обработке (о намерении осуществлять обработку) персональных данных.;

Процедуру его оформления и предоставления в Управление Роскомнадзора по ЕАО можно рассмотреть подробнее, воспользовавшись презентацией "Уведомление об обработке персональных данных" (Скачать)

* * *

Еще немного информации о персональных данных из газеты "Защита информации":

- Что делать с персональными данными?
Для реализации Федерального закона «О персональных данных» утвержден «Порядок проведения классификации информационных систем персональных данных». Что нам это дает? К чему обязывает?

- Законодательная и нормативная правовая база обеспечения информационной безопасности Российской Федерации
В статье проанализированы требования основных законодательных и нормативных актов в области информационной безопасности и технической защиты информации, действующих на территории Российской Федерации. На основе правоприменительной практики отмечены положительные моменты и недостатки действующей законодательной и нормативно-правовой базы в области информационной безопасности.