4. Для сотрудников организации: разглашение информации с ограниченным доступом штраф для физических лиц от 500 до 1000 рублей.
3. Непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ штраф для юридических лиц до 5 000 рублей.
2. Обязанности работодателя по хранению и использованию персональных данных закреплены также в Трудовом кодексе РФ, а любое нарушение законодательства о труде и об охране труда влечет за собой ответственность по ст. 5.27 КоАП штраф для юридических лиц от 30000 до 50000 рублей или административное приостановление деятельности на срок до 90 суток. Каждое наружение также рассматривается отдельно.
1. Любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ штраф для юридических лиц от 5000 до 10000 рублей. При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно.
Ответственность за нарушения в области персональных данных:
Также, для выполнения всех требований Закона 152-ФЗ, организация должна принять около 30 внутренних (локальных) документов: положение об обработке персональных данных, приказы о назначении ответственных лиц, модель угроз, приказы о вводе системы в эксплуатацию и т.д.
По Закону 152-ФЗ, организация оператор, еще до начала обработки персональных данных, обязан уведомить органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Подача такого уведомления автоматически влечет включение оператора в специализированный реестр и план проверок, а для успешного прохождения проверки, должны быть выполнены все требования Закона, в том числе и обеспечена безопасность информации, о чем говорилось выше. В Законе перечислены случаи, в которых оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, но к каждому такому случаю необходимо относиться очень осторожно, поскольку обработка персональных данных, выходящая за рамки этих исключений, будет расценена как нарушение законодательства в области персональных данных.
Из всего этого следует, что организации операторы персональных данных, для того, чтобы выполнить в полной мере требования Закона 152-ФЗ в части обеспечения безопасности персональных данных, вынуждены, за соответствующую плату, обращаться к организациям, специализирующимся на защите информации, имеющим необходимые лицензии ФСТЭК и ФСБ, и закупать у них же сертифицированные средства защиты информации.
3. "Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия". Для оператора это означает, что он обязан использовать только те средства защиты информации, которые имеют сертификаты ФСТЭК или ФСБ. Случай из практики: на компьютеры организации были установлены лицензионные антивирусные программы определенного производителя версии 4, а сертификат ФСТЭК имеет программа того же производителя, но версии 3, и, по итогам проверки, установленное антивирусное обеспечение, не имеющее сертификата, было расценено как нарушение законодательства в области персональных данных.
2. "Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора". Таким образом, если оператор произвел необходимые действия по защите информации, это отнюдь не означает, что при проведении проверки ФСТЭК или ФСБ эти действия будут признаны достаточными, а недостаточность защиты информации, опять же, является нарушением законодательства в области персональных данных.
1. "Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности РФ (ФСБ) в пределах их полномочий". Это означает, что оператор персональных данных вправе применять только методы и способы защиты информации, установленные приказами указанных органов-регуляторов. Иное расценивается как нарушение правил сбора и обработки персональных данных.
Требования Федерального закона "О персональных данных" 152-ФЗ от 27.07.06 и ответственность за нарушения в данной области. Данный Закон, прежде всего, накладывает на все организации операторы персональных данных трудновыполнимые и чрезвычайно затратные требования по обеспечению безопасности персональных данных. Согласно действующей редакции Закона оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. При этом требования к обеспечению безопасности персональных данных при их обработке устанавливает Правительство РФ. Некоторые выдержки из Постановления Правительств РФ от 17.11.07 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных":
1 июля 2011 года истекает срок, установленный Федеральным законом "О персональных данных" 152-ФЗ от 27.07.06, по приведению всеми операторами персональных данных своих информационных систем в соответствие с требованиями данного закона и, соответственно, возможность привлечения оператора персональных данных к ответственность за необеспечение безопасности персональных данных при их обработке.
ГЛАВНАЯ ТЕМА:ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Вместе с тем участники встречи выразили надежду на реформирование законодательства в сфере обработки персональных данных в сторону упрощения процедуры обеспечения безопасности персональных данных и устранения излишних административных барьеров.
По итогам дискуссии участники встречи пришли к выводу, что, несмотря на последние изменения законодательства в сфере обработки персональных данных (которые носят, скорее, "косметический" характер и сути основных положений закона не меняют), ни одна НКО не в силах самостоятельно соблюсти все требования ФЗ "О персональных данных". Организации вынуждены нести серьезные финансовые затраты на привлечение сторонних специалистов для создания системы защиты конфиденциальной информации. Для защиты наряду с сейфами придется использовать дорогостоящие системы защиты ЭВМ (антивирусы, межсетевые экраны, шлюзы и т.д.), привела пример Я. Леонова.
"Закон по-прежнему изобилует положениями, которые удивляют субъектов его применения. Например, необходимо получать письменное согласие на размещение информации о партнерах в телефонном справочнике организации. В случае, если субъект персональных данных решит, что его номера телефона и должности не должно быть в справочнике организации, последняя обязана удалить информацию вероятно, зачеркнуть эти данные, заклеить или вовсе переписать справочник", отметила юрист Агентства социальной информации Яна Леонова, принявшая участие во встрече. Важно помнить, что любое упоминание на страницах брошюр, сайтов информатериалов хотя бы ФИО человека обязывает организацию заручиться его письменным на это согласием, считает юрист.
Очередное обсуждение изменений от 25.07.11 в ФЗ N152 "О персональных данных" прошло 29 сентября в рамках делового завтрака из цикла "Как нам обустроить НКО". Он проводится филиалом Международного центра некоммерческого права в РФ и Некоммерческим партнерством "Юристы за гражданское общество" в рамках совместной программы правовой поддержки гражданского общества. Модератором и докладчиком выступил старший юрист филиала центра Василий Романец. Также в качестве эксперта был приглашен специалист по защите информации Михаил Кашаев, который рассказал о практике применения законодательства в области обработки персональных данных, наиболее часто встречающихся нарушениях закона и способах их предотвращения. Так, организации, осуществляющие обработку персональных данных (сбор, систематизацию, накопление, хранение, распространение и т.д.), в соответствии с законом являются операторами, а потому должны выполнять его требования. Разобраться с тем, надо ли подавать уведомление о начале обработки персональных данных, помимо текста закона может помочь портал персональных данных Роскомнадзора
Законодательство о персональных данных обсудили юристы и представители НКО
Законодательство о персональных данных обсудили юристы и представители НКО
Комментариев нет:
Отправить комментарий