Персональные данные и их защита
Что такое персональные данные? Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Правовое регулирование Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а так же Гражданским кодексом РФ.
Защита персональных данных Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранению и передачи персональных данных граждан.
Комплекс мероприятий по обеспечению защиты ПД Организационные меры по защите персональных данных включают в себя: Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных; Определение перечня мероприятий по защите ПД.
Комплекс мероприятий по обеспечению защиты ПД Технические меры по защите персональных данных предполагают использование программно - аппаратных средств защиты информации. При обработке ПД с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы персональных данных.
Кто такой оператор ПД? Оператор персональных данных - государственный орган, муниципальный орган, юр. или физ. лицо, организующие и (или) осуществляющие обработку ПД, а также определяющие цели и содержание обработки ПД. Закон «О персональных данных» обязывает оператора принимать необходимые организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Операторы, обрабатывающие ПД в информационных системах, обязаны обеспечить: Операторы, обрабатывающие ПД в информационных системах, обязаны обеспечить: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПД и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к ПД; в) недопущение воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности ПД.
Основные положения Закона «О персональных данных» Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке; Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц.
Требования к информационным системам персональных данных Требования к обеспечению безопасности персональных данных установлены Постановлением Правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационной системе персональных данных». Положение определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их классом.
Контроль за выполнением возложен на следующие органы: Роскомнадзор – основной надзорный орган в области персональных данных; ФСБ – основной надзорный орган в части использования средств шифрования; ФСТЭК – надзорный орган в части использования технических средств защиты информации.
На кого распространяется Закон? В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и её контрагентах. Таким образом такая компания является оператором персональных данных, действия ФЗ-152 распространяются и на неё.
Ответственность За нарушения законодательных актов РФ, регулирующих правоотношения в сфере ПД предусмотрены следующие санкции: 1. Привлечение к административной и гражданской ответственности 2. Направление в органы прокуратуры материалов о возбуждении уголовных дел 3. Прекращение обработки персональных данных 4. Приостановление деятельности оператора в случае осуществления ее без лицензии 5. Конфискация неcертифицированных средств обеспечения безопасности и шифровальных средств
Спасибо за внимание!