Защита персональных данных курс лекций

Как было отмечено выше, руководитель предприятия не причастен к разглашению персональных данных, поэтому применить к нему данную ответственность неправомочно.

Настало время обратиться к уголовной ответственности.

В соответствии со ст. 137 УК РФ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, в публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в сумме до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок 360 часов, либо исправительными работами на срок до двух лет, либо арестом на срок до 2-х лет а с использованием служебного положения до 4-х лет. (данные на 20.06.25).

Следовательно, если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности.

С учетом отсутствия «состава преступления» в действиях руководителя в разделе «дисциплинарная ответственность», эта статья УК РФ к нему также не применима. Правда существует нюанс, если руководитель одновременно выполняет обязанности инспектора отдела кадров и нарушил правила законного получения персональных данных, то применение данной статьи не исключено.

Грубая оценка расходов в виде штрафов руководителю и предприятию за нарушение требований законодательства приведена в нижеследующей таблице и равна 15 тысячам рублей.

Настало время понять, какую ответственность может инициировать пострадавший субъект персональных данных.

Далее предполагается, что в результате нарушения конфиденциальности персональных данных конкретного субъекта, скажем Василия Ивановича Пупкина работника предприятия из примера лекции № 1, ему нанесен ущерб. И Вася Пупкин решил защитить свое конституционное право в соответствии с пунктом 2 статьи 15 ФЗ 152 «Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке», а также в соответствие с п. 1 «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность» и п. 2 «Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков» статьи 24.

Кроме того, Вася «заручился» поддержкой другого ФЗ, а именно статьей 90 Трудового кодекса РФ «Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами».

Проштудировав понятие гражданско-правовой ответственности, Пупкин понял, что гражданская ответственность является имущественной ответственностью и носит компенсационный характер. Она выражается в применении к нарушителю таких мер воздействия, которые носят для него экономически невыгодные последствия имущественного характера в виде обязанности уплатить неустойку, возместить пострадавшему лицу убытки и (или) компенсировать моральный вред.

Исходя из вышеизложенного, Пупкин должен подать иск в суд на ответчика и доказать в суде его вину. Но, во-первых, кто из перечисленных ниже субъектов является ответчиком:

1) Внутренние нарушители – юрисконсульт, бухгалтер – расчетчик, сотрудник отдела сбыта;

2) Внешние нарушители – сотрудник фирмы партнера, обслуживающей предприятие, студент или мошенник;

3) Само предприятие, где работает Пупкин;

4) Пенсионный фонд, налоговая инспекция, банк, куда передаются персональные данные Пупкина;

5) Аудиторская фирма, которой ежегодно предприятие любезно предоставляет копию базы данных для аудиторской проверки.

Во-вторых, какие доказательства в суде на выбранного ответчика предъявит Пупкин? Конечно, он может обратиться в Роскомнадзор в соответствии со статьей 23 ФЗ 152, который осуществит выездную проверку предприятия Пупкина, выявит нарушения и даже возможно накажет руководителя и предприятие за неисполнение требований ФЗ (см. выше, штраф в сумме 250000 руб. поступит в государственную казну). Но станет ли от этого легче Пупкину, ни возмещение имущественного ущерба, ни тем более возмещения морального вреда он не получит.

Аналогично, разобравшись с соответствующими статьями уголовного кодекса (ст. 137 УК РФ «Нарушение неприкосновенности частной жизни» и ст. 140 «Отказ в предоставлении гражданину информации»), Пупкин понял, воспользоваться уголовным кодексом для восстановления справедливости не удастся.

У Пупкина еще осталась надежда уповать на административную ответственность. Однако и здесь его ждет разочарование. Административная ответственность за правонарушения возникает в соответствии с Кодексом об административных правонарушениях у физического и юридического лица перед государством и никакого возмещения вреда Пупкину административная ответственность не подразумевает.

Если подвести итог, то лаконичная и грозная фраза «Физические и юридические лица, виновные в нарушении требований законодательства при обработке персональных данных, несут гражданскую, уголовную, административную и дисциплинарную ответственность в соответствии с законодательством РФ», направленная в сторону предприятия и его руководства, будет расценена субъектом персональных данных не иначе, как издевательство над его правами и свободами.

Существующий порядок надзора и контроля над выполнением требований законодательства при обработке персональных данных со стороны регуляторов, и низкая ответственность предприятия и его руководства провоцируют выбор бездействия последних по защите персональных данных в качестве экономически оптимального поведения.

В качестве «страшилки» может выступать ст. 5.27 КоАП «Нарушение законодательства о труде и об охране труда», ответственность по которой выражается в приостановление деятельности предприятия на срок до 90 суток. Однако, судебных прецедентов пока не обнаружено.

1.4.2.Перечень документов, определяющих ответственность должностных, юридических и иных лиц

В соответствии со статьей 24 Федерального закона № 152-ФЗ, лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

1.Административная ответственность

1 – В соответствии с пунктом 2 статьи 5.27 КоАП нарушение законодательства о труде и об охране труда должностным лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение, влечет дисквалификацию на срок от одного года до трех лет.

2 – Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.

2. Уголовная ответственность

3. Ответственность за нарушения трудового законодательства

В соответствии с ТК РФ разглашение персональных данных, а также нарушение норм, регулирующих получение, обработку и защиту персональных данных работников, может грозить работнику организации увольнением (ст. 81, 90 ТК). В частности пункт «в» статьи 81 ТК РФ предусматривает, что трудовой договор может быть расторгнут в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

Согласно статье 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Вопросы для самопроверки

Почему предприятие, как правило, не заинтересовано в защите персональных данных своих сотрудников:

Цель коммерческого предприятия – извлечение максимальной прибыли из своей деятельности. Защита персональных данных своих сотрудников требует постоянного расходования финансовых, людских и прочих ресурсов, что сказывается на снижении прибыли;

Собственники и руководители предприятий плохо информированы о мошеннических схемах нанесения вреда физическим лицам, используемых злоумышленниками;

Практически любые персональные данные доступны в Интернете и на дешевых DVD дисках на рынках, поэтому их защита бессмысленна;

Руководители предприятия считают, что персональные данные сотрудников никому не нужны, поэтому нет смысла тратить деньги на их защиту.

Если существует противоречие между положениями Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и ФЗ «О персональных данных», то какое из них имеет высшую силу:

Положения Федерального закона имеют высшую силу в силу принадлежности к Закону, а положения Конвенции имеют рекомендательный характер для присоединившихся к ней стран;

Положения Конвенции имеют высшую силу, так как в Конституции РФ утверждается верховенство, признанных РФ норм международного права.

Почему ввод в действие принятого в 2006 году ФЗ «О персональных данных» многократно переносился вплоть до редакции, выпущенной уже в 2011 году:

В законе с течением времени обнаруживались противоречия;

Требования ФЗ оказывались слишком жесткими и непосильными для выполнения предприятиями;

В государственном бюджете и муниципальных бюджетах не были заложены средства для реализации защиты персональных данных.

К этому закону по-разному относились президенты Путин и Медведев;

a-d

Если предприятие не использует компьютеры при обработке персональных данных, то должно ли оно выполнять какие-либо требования по их защите:

Нет, защита персональных данных должна осуществляться на тех предприятиях, которые используют для их обработки компьютеры. Это следует из ФЗ «О защите персональных данных»;

Да, Предприятие обязано защитить персональные данные независимо от того используются компьютеры для обработки персональных данных или нет. Требования по защите изложены в постановлении Правительства от 15 сентября 2008 г. за номером 687 и в Трудовом Кодексе РФ.

Различаются ли требования к защите персональных данных, обрабатываемых в государственной информационной системе, муниципальной информационной системе, коммерческой информационной системе:

Нет, ФЗ «О защите персональных данных» не делает различий между информационными системами обработки персональных данных в зависимости от формы собственности;

Да, для государственных и муниципальных информационных систем дополнительно к требованиям, изложенным в Приказе ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению персональных данных при их обработке в информационных системах персональных данных», должны применяться требования, изложенные в Приказе ФСТЭК № 17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

В ФЗ «О защите персональных данных» в редакции № 261 от 25.07.2011 г. введена новая парадигма безопасности персональных данных, в основе которой находится понятие «уровень защищенности» персональных данных, а не класс информационной системы. В связи с этим отменены и заменены постановления правительства и Приказы ФСТЭК, определяющие новые требования к защите. Должно ли предприятие, защитившие персональные данные в соответствии с прежними требованиями, адаптировать информационные системы к новым требованиям:

Нет, как известно, закон не имеет обратной силы. Новые требования должны применяться к информационным системам, создание которых началось после вступления в силу этих новых требований;

Да, в соответствии с пунктом 1 ст. 18.1 ФЗ № 152 в редакции № 261 от 25.07.2011 г. «Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами».

Имеет ли право федеральная служба Роскомнадзор в ходе плановой проверки деятельности предприятия по защите персональных данных оценивать состояние технической защиты персональных данных:

Да, Роскомнадзор наделен соответствующими полномочиями для проверки степени соответствия технической защиты персональных данных требованиям законодательства;

Нет, это находится вне сферы компетентности Роскомнадзора. Он имеет право надзора только за административным и процедурным уровнями защиты.

Имеет ли право ФСТЭК осуществлять надзорные функции в области технической защиты персональных данных без применения криптографических средств защиты в коммерческих организациях:

Нет, только в государственных информационных системах;

Да, может.

Имеет ли право предприятие силами собственных сотрудников без наличия лицензии на проведение работ в области технической защиты конфиденциальной информации разработать организационно-распорядительную документацию, регулирующую административный и процедурный уровни защиты персональных данных:

Да, имеет право;

Нет, на проведение работ по защите конфиденциальной информации, которой являются персональные данные, наличие лицензии обязательно.

Имеет ли право индивидуальный предприниматель Вася Пупкин без лицензии на ТЗКИ за деньги разработать частную модель угрозы безопасности ПДн Оператору «Рога и копыта»?

Нет, эта деятельность лицензируема;

Да, так как эта деятельность не относится к проектированию;

Не знаю, что и сказать. Нормативно-правовые акты не дают однозначного ответа на этот вопрос.

Имеет ли право Роскомнадзор при проведении проверок предприятия по защите персональных данных иметь доступ к персональным данным:

Да, Роскомнадзор имеет право в ходе проверки иметь доступ к персональным данным для оценки легитимности персональных данных;

Нет, такого права Роскомнадзор не имеет.

Используемая литература:

1. Конституция Российской федерации

2. Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных

3. Федеральный закон «О персональных данных»

4. Постановление правительства РФ «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

5. Постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

6. Постановление правительства РФ от 13.02.2019 № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных

7. Приказ федеральной службы по техническому и экспортному контролю «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

8. Информационное сообщение от 15 июля 2013 г. № 240/22/2637 ФСТЭК

9. Информационное сообщение от 24 марта 2017 г. № 240/24/1382 по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации

10. Государственный стандарт ГОСТ Р 51583 – 2014 «Порядок создания автоматизированных систем в защищенном исполнении»

11. Постановление правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнение обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными и правовыми актами, операторами, являющимися государственными или муниципальными органами»

12. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144

13. Приказ Федеральной службы безопасности РФ № 378 от 10 июля 2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

14. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622

15. Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

16. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152».

17. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015)».

18. Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».

19. Постановление Правительства РФ от 3 февраля 2012 г. «О лицензировании деятельности по технической защите конфиденциальной информации».

20. Постановление Правительства РФ от 16 марта 2009 г. № 228 «О федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (в ред. Постановлений Правительства РФ от 17.03.2010 г. № 160, от 15.06.2010 г. № 438).

21. Федеральный Закон 23.07.2013 г. № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнениями полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных».

22. Федеральный Закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

23. Федеральный Закон от 7 февраля 2017 г. № 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".

24. Федеральный Закон от 30 декабря 2020 г.№ 519 -ФЗ «О внесение изменений в Федеральный закон «О персональных данных».

25. Трудовой кодекс Российской Федерации.

Лекция 4 Анализ документов правительства

ФЗ № 152 «О персональных данных», Постановления ПРАВИТЕЛЬСТВА № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСБ № 378 от «Об утверждении состава…» Приказа ФСТЭК №21«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

В лекции пристальное внимание уделено неоднозначным терминам и определениям, используемым в двух важнейших нормативных актах. От их адекватного понимания напрямую зависят финансовые затраты Операторов и эффективность систем защиты персональных данных. Дан комментарий каждой мере приказа ФСТЭК

Оглавление

1. Анализ ФЗ № 152 «О персональных данных»

Введение

Глава 1. Общие положения.

Статья 1. Сфера действия настоящего Федерального закона

Статья 3. Основные понятия, используемые в настоящем Федеральном законе.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

Статья 6. Условия обработки персональных данных

Статья 8. Общедоступные источники персональных данных

Глава 4 Обязанности оператора

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Статья 22. Уведомление об обработке персональных данных

2. Анализ Постановления правительства № 1119

Введение

2.1. Что такое актуальные угрозы 1-го типа

2.2. Что такое актуальные угрозы 2-го типа

2.3. Что такое актуальные угрозы 3-го типа