Защита персональных данных

Практика последних лет показывает, что вопреки мнению скептиков, вопросы защиты персональных данных не теряют своей актуальности — они становятся все более актуальными, что подтверждается тенденциями к увеличению ответственности за нарушения требований Федерального Закона «О персональных данных» и расширению полномочий надзорных органов в отношении организации и проведения внеплановых проверок, в частности:

  1. Мероприятия по контролю и надзору за обработкой персональных данных, проводимые Роскомнадзором в соответствии с Главой 5 Федерального закона «О персональных данных» более не требуют предварительного согласования проведения плановых и внеплановых проверок операторов персональных данных с органами прокуратуры.
  2. Проект Постановления правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства РФ», уже прошедший стадию публичного обсуждения, существенным образом расширит набор условий, позволяющих Роскомнадзору инициировать внеплановые проверки выполнения обязательных требований к процессам обработки ПДн, и предоставит ему следующие полномочия по результатам проведения проверок:
    • выдавать обязательные для выполнения предписания об устранении выявленных нарушений;
    • выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона №152-ФЗ;
    • составлять протоколы об административном правонарушении и передавать соответствующую информацию в прокуратуру для рассмотрения вопроса о принятии мер прокурорского реагирования.
  3. В первом чтении 24.02.2015 Государственной думой РФ был принят проект закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных)», в соответствии с которым предусматривающий ужесточение мер административной ответственности за невыполнение требований к организации обработки персональных данных, предусмотренных Федеральным законом №152-ФЗ, а также подзаконных актов, путем расширения перечня административных правонарушений, предусмотренных ст. 13.11 КоАП, и существенным увеличением штрафов, которые станут более существенными по сравнению с текущей редакцией КоАП.

Ознакомиться с планируемыми изменениями в ст. 13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Статья КоАП Состав нарушения Размер штрафа, тыс. руб.
Для граждан Для должностных лиц Для ИП Для юридических лиц
13.11 ч.1 Обработка персональных данных с нарушением требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных 0,7-2 3-8 10-25 15-50
13.11 ч.2 Обработка персональных данных без согласия субъекта и в отсутствие предусмотренных законодательством Российской Федерации о персональных данных иных условий обработки персональных данных 1-3 5-15 20-35 35-50
13.11 ч.3 Обработка специальных категорий персональных данных, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных 3-5 10-25 50-100 150-300
13.11 ч.4 Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных 0,7-1,5 3-6 5-10 15-30
13.11 ч.5 Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных 1-2 4-6 10-15 25-40
13.11 ч.6 Невыполнение оператором в сроки, установленные законодательством Российской Федерации, требования субъекта либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении 1-2 4-10 10-20 25-45
13.11 ч.7 Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанностей по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных 0,7-2 4-10 10-20 25-50
13.11 ч.8 Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных, а равно несоблюдение установленных требований и методов по обезличиванию персональных данных 3-6

Приведенные выше аргументы подтверждают существенное увеличение рисков для операторов персональных данных, связанных с невыполнением требований законодательства РФ к организации процессов обработки персональных данных.

Кроме того, стоит отметить, что сроки действия документов, подтверждающих соответствие ИСПДн требованиям по защите персональных данных (аттестаты соответствия), полученные операторами персональных данных до вступления в силу Постановления Правительства РФ от 01.11.2012 г. №1119 и Приказа ФСТЭК от 18.02.2013 г. №21, уже истекли или истекут в недалеком будущем.

Ознакомиться со сравнительной характеристикой требований по защите ПДн при их обработке в ИСПДн

ppa-PDn-pie1

Из 109 мер, предусмотренных Приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»:

  1. 40 являются рекомендуемыми (компенсирующими, дополнительными);
  2. 30 полностью или частично соответствуют ранее существовавшим требованиям;
  3. 39 являются абсолютно новыми.

В связи с чем вопросы реализации необходимых организационных и технических мер по защите персональных данных при их обработке в ИСПДн в соответствии с обновлёнными требованиями также приобретают свою актуальность.

Компания реализует следующий комплекс услуг по реализации требований 152-ФЗ «О персональных данных»