Персональные данные: популярные вопросы

Что такое персональные данные?

Данное понятие определено в Федеральном законе №152-ФЗ « О персональных данных» и звучит оно как: 

«Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Относится ли ФИО без дополнительной информации к ПДн?

Согласно определению выше: ПДн - это любая информация связанная с  каким-либо физическим лицом, которого обычно определяет, хоть и не достоверно, ФИО. Значит, ПДн - это ФИО и любая другая информация, относящаяся к его обладателю. Но стоит заметить, что вопрос дискуссионный, и до сих пор у экспертов идут жаркие споры о нём.

Защита ПДн включает какие-то новые требования?

В целом - нет. Закон №152 вышел в 2006 году, а вступил в силу в 2009 году. Но почти каждый год происходят уточнения как данного закона, так и остальных нормативных документов по защите ПДн.

Закон №152-ФЗ касается только крупных предприятий?

Нет, любых юридических лиц, которые осуществляют работу с персональными данными граждан РФ. На индивидуальных предпринимателей (ИП) он также распространяется, так как почти у всех есть бухгалтерия, кадры и CRM.

А если компания обрабатывает только данные граждан других государств?

Тогда она выполняет требования того государства, данные граждан которого она обрабатывает.

Должна ли компания сообщать госструктурам, что занимается обработкой ПДн?

Да, нужно направить уведомление в Роскомнадзор.

Когда нужно направлять уведомление в Роскомнадзор?

Согласно закону №152-ФЗ уведомлением необходимо подать перед началом обработки ПДн, то есть сразу после регистрации юридического лица. Но большинство компаний были зарегистрированы е до 2009, и даже до 2006 года. Несмотря на это, отсутствие уведомления это нарушение, которое нужно устранить. Если ваша компания ещё не направила уведомление, то сегодня самый подходящий для этого день. Если возникнут сложности с  заполнением уведомления и вопрос  куда его отправить – у нас скоро выйдет подробная инструкция, следите за каналом.

Если подадим уведомление, то придёт проверка?

Планы проверки формируются вне зависимости от нахождения в реестре операторов ПДн.

Закон  касается только обработки ПДн в электронном виде?

В бумажном тоже. Закон касается всех процессов обработки ПДн.

Все требования содержатся в законе №152-ФЗ?

Только основные. Как минимум нужно ещё выполнить требования ПП 1119, приказ ФСТЭК №21 и ПП 692.

Для защиты ПДн достаточно ли будет применение только организационных мер?

Даже при обработке ПДн только на бумаге нужно применять меры физической защиты. А если говорить про автоматизированную обработку данных, то тут без средств защиты информации не обойтись. Система защиты информации - это баланс организационных и технических мер.

Можно использовать только сертифицированные средства защиты информации?

Такого явного требования нет. Но если вы используете сертифицированные  средства защиты, то есть ряд требований, которые должны быть выполнены. Кроме того, если вы передаёте данные за пределы вашей компании, то нужно использовать криптографическую защиту. А вот криптошлюзы должны быть сертифицированы. Так как здесь вы попадаете под требования ФСБ России, которая курирует вопросы криптографии в России.

Можно ли самим выполнить все требования?

Это не запрещено. Но нужно будет разобраться в куче нормативной документации, смоделировать угрозы, разработать технический проект, внедрить систему защиты информации. Тут можно легко запутаться и наделать много ошибок, которые могут не дать успешно пройти проверку и создать систему защиты информации, которая не обеспечивает реальную защиту данных.

А можно ли взять типовой проект и шаблоны организационно-распорядительных документов?

Можно, но тут очень серьезные риски из-за того, что все компании разные, с разным набором обрабатываемых данных, информационных систем и множеством других нюансов. Чаще всего такой подход ведёт к необходимости всё переделать после проверки.

Какая ответственность  за несоблюдение требований по ПДн?

Ответственность разная, от выговора или увольнения до штрафа в 17 млн. рублей. В большинстве случаев это административная ответственность. Подробно описано в материале по ссылке.

А также и уголовная ответственность:

• Статья 137 УК РФ. Штраф до 200 000 рублей или удержание дохода гражданина за 18 месяцев, либо исправительные или принудительные работы периодом 1-3 года, либо тюремное заключение на 2 года за занятие сбором и распространением персональных сведений, затрагивающих личную или семейную тайны без разрешение владельца.

• Статья 272 УК РФ. Штраф до 200 000 рублей или удержание дохода гражданина за 18 месяцев, либо исправительные или принудительные работы периодом 1-2 года, либо тюремное заключение на 2 года за незаконное получение доступа к сведениям находящихся под защитой законодательства с последующим их уничтожением, блокировкой, модификацией.

• Статья 140 УК РФ. Штраф до 200 000 рублей и лишение права на ведение профессиональной деятельности чиновнику, отказавшемуся предоставить информацию на обращение к нему гражданина, связанную с его правами, свободами. К примеру, отказ чиновника предоставить информацию игнорируя запрос или ссылаясь на её отсутствие при её наличии.

А кого-нибудь уже наказывали за невыполнение требований?

Да, в результате проверок нередко последствием являются штрафы.

Кто в организации несёт ответственность за вопросы обработки ПДн?

Тот, кто приказом  назначен ответственным за выполнение требований по защите ПДн. Ну и генеральный директор компании.