Закон «Про захист персональних даних» стосується тієї інформації, яка може бути використана для ідентифікації фізичної особи. Він стосується господарюючих суб’єктів, що працюють з даними громадян. Тут встановлено, що він повинен захищати інформаційні системи і мати документи, які б підтверджували відповідність останніх нормативно-правовим вимогам.
Привід прийняття
Їм послужила необхідність усунення торговельних бар’єрів при здійсненні торгівлі з країнами ЄС. Конфіденційність персональних даних при обміні гарантується державами, які здатні її забезпечити. Подібний закон був прийнятий в Норвегії та Франції більше століття тому. В кінці 2005 року Держдума Росії ратифікувала конвенцію РЄ «ПРО захист особистості…», яка пов’язана з автоматичною обробкою розглянутих даних.
Класифікація інформаційних систем зберігання та обробки (ПОХОДИТЬ)
Згідно із законом «Про захист персональних даних», будь-яка система, що зберігає й обробляє подібні дані, повинна мати клас, який буде визначати здійснювану захист. ПОХОДИТЬ класифікуються на:
- типові;
- спеціальні.
Останні потребують проведення ліцензування для здійснення їх експлуатації. Прикладом таких систем є ті з них, в яких зберігаються дані про здоров’я конкретного громадянина, а також такі, на базі яких можуть прийматися рішення, що мають певні юридичні наслідки. Клас подібних систем визначають на базі моделі загроз безпеки розглянутого типу даних з нормативно-методичним документам певних регуляторів.
Прийняття закону
Федеральний закон «Про персональних даних» від 27.07.2006 № 152-ФЗ був прийнятий у 2006 році, а набрав чинності з січня наступного року. Кілька разів переносилися строки приведення створених в минулому інформаційних систем розглядаються в статті відомостей до вимог цього закону. В кінцевому підсумку було визначено, що вони, створені до початку 2011 року, повинні були бути приведені до нормативно-правовим вимогам даного документа не пізніше 1.07.2011.
Зміни з кінця 2015 року
З вересня цього року в обов’язки оператора при зборі персональних даних була поставлена їх обробка та зберігання по відношенню до громадян РФ з застосуванням баз даних, розташованих в межах нашої країни. Пізніше було випущено роз’яснення Мінкомзв’язку з суперечливих тлумачень і визначень даного положення.
Зміни, прийняті в 2017 році
Ще на початку минулого року Держдума прийняла нормативно-правовий акт про посилення покарань за порушення закону «Про персональних даних» у вигляді збільшення штрафів. Якщо дані збираються в передбачених законом випадках або обробка проводиться з цілями, несумісними з законодавчими, то штраф становить для фізичних осіб 1-3 тис. рублів, для юросіб — 30-50, для посадових — 5-10 тисяч рублів.
Перед прийняттям розглянутих відомостей потрібно, щоб дав згоду суб’єкта персональних даних на обробку його персональних даних. Якщо воно не було отримано, то на громадян накладається штраф 3000-5000 руб., на юросіб — 15 000-75 000 руб., при цьому на їх посадових представників — лише 10-20 тисяч рублів.
Якщо оператор, що працює в муніципальних або державних органах, не дотримується вимоги щодо знеособлювання даних, то на посадову особу накладається покарання у вигляді платежу в розмірі 10-15 тисяч рублів. При його відмові у наданні інформації конкретному громадянину про обробці розглянутих відомостей, наданих ним, накладається попередження або штраф, який становить 1-2 тисячі рублів для фізичних осіб, 10-15 – для підприємців, 20-40 тисяч рублів для юросіб, 4000-6000 руб. при накладенні штрафу на посадових осіб. Останні виділяються окремо у цій статті, оскільки господарюючі суб’єкти в більшості випадків намагаються піти від оплати штрафів, переклавши їх для пом’якшення удару саме на цих осіб.
Принципи обробки персональних даних
Суб’єкти правовідносин щодо забезпечення безпеки
Ними можуть виступати практично будь-які особи. У разі якщо інспектор відділу кадрів або секретар набирають ідентифікує співробітників інформацію, включаючи їх Ф. В. О., телефони, адреси, дати народжень — це вже персональна інформація, яка повинна бути захищеною. Цінність даних відомостей зростає з кожним днем. Вона може використовуватися для отримання кредитів, шантажу певних осіб, іншої незаконної діяльності.
Персональні дані складають велику частку від усіх можливих джерел витоку інформації. У зв’язку з цим законом україни “Про захист персональних даних” в обов’язки оператора при зборі персональних даних віднесено забезпечення:
- записи;
- накопичення;
- систематизації;
- зберігання;
- вилучення;
- уточнення (при необхідності) розглянутих ідентифікують дані фізичних осіб, які є громадянами РФ при використанні баз даних, які знаходяться на просторах нашої держави.
Спецкатегории розглянутих даних
Існує Наказ ФСТЕК, ФСБ і Миниформсвязи РФ від 2008 року, за яким досліджувані відомості поділяються на кілька категорій. До першої з них відносяться спеціальні категорії персональних даних.
До них відноситься надання наступних відомостей:
- про здоров’я громадянина;
- про його інтимного життя;
- про національної і расової приналежності;
- про судимості;
- про політичні погляди;
- про філософських і релігійних переконаннях.
86-я стаття Трудового кодексу передбачає спеціальні вимоги для отримання і обробки даних відомостей щодо політичних та інших переконань працівника, інформації про його приватного життя, членство у профспілках та громадських організаціях. Однак розглядуваний закон не передбачає віднесення двох останніх категорій до спеціальних.
Відповідальність за невиконання вимог
Господарюючі суб’єкти, які працюють з персональними даними, мають ризики через надходження цивільних позовів у суди від суб’єктів подібних відомостей, що особливо актуально при витоку останніх. На них можуть бути накладені штрафи, несертифіковані засоби захисту можуть бути конфісковані. Крім цього, їм може бути заборонена діяльність з обробки досліджуваних дані.
У ст. Кпап 13.11 внесені зміни про порушення законодавства в розглядуваній сфері. Згода суб’єкта на обробку персональних даних в окремих випадках повинна бути письмовою. Якщо ця умова порушується, то на громадян накладається штраф у розмірі 3000-5000 руб., на юросіб — 15 000-75 000 руб., на їхніх представників у вигляді посадових осіб — 10-20 тисяч рублів. Таке ж покарання у вигляді обов’язкового платежу застосовується в разі зміни складу інформації, на обробку якої було отримано згоду від певного суб’єкта.
Протоколи про порушення даної статті Кпап складаються Роскомнаглядом або його територіальними відділеннями. Раніше при зверненні їх до суду в ланцюжок вбудовувалися органи прокуратури, які в даний час виключені з процесу, що повинно прискорити його проходження. Це є негативним моментом для господарюючих суб’єктів і позитивним для держави, оскільки термін позовної давності у справах, пов’язаних із захистом розглянутих відомостей, що становить лише 3 місяці, і при знаходженні прокуратури в ланцюжку багато економічні суб’єкти встигали йти від відповідальності.
Висновок
Закон «Про захист персональних даних», прийнятий законодавчим органом ще в 2006 році. Проте і на сьогоднішній день не існує ефективних і недорогих способів захисту персональної інформації від витоку та інших загроз. Більшість господарюючих суб’єктів, що займаються аутсорсингом в розглянутій сфері, займаються не захистом, а збором документів для отримання відповідних ліцензій. Вимоги цього закону покликані забезпечити усунення бар’єрів при здійсненні міжнародної торгівлі з країнами ЄС. Прийняті в 2017 році поправки говорять про те, що, по всій видимості, він буде використовуватися і для поповнення бюджету.
