Защита персональных данных курс лекций

Введено новое понятие «Персональные данные, разрешенные субъектом персональных данных для распространения» – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом. Добавлены изменения, касающиеся новых требований об обработке таких данных, вступающие в силу с 1 марта 2021 г.:

1) Согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений между оператором и субъектом;

2) Получить согласие субъекта на предоставление неограниченного доступа к его персональным данным в согласии на их обработку нельзя;

3) Конкретные требования к содержанию согласия на персональные данные, разрешенные субъектом для распространения, будут установлены отдельным приказом Роскомнадзора;

4) Субъект персональных данных может в любое время обратиться к любому оператору персональных данных с требованием прекратить распространение его общедоступных персональных данных. Оператор обязан в течение трех дней удалить персональные данные из общего доступа;

5) Неправомерная обработка и распространение общедоступных персональных данных, а также отказ от их удаления по требованию субъекта влечет увеличенный штраф для ИП, должностных лиц и организаций (см. раздел «Перечень…»).

Таким образом, пункт 10 части 1 статьи 6 признан утратившим силу «осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

1.2.27. Трудовой кодекс Российской Федерации

Трудовой кодекс имеет статус Федерального закона, был принят 30 декабря 2001 г. под № 197 ФЗ, неоднократно корректировался за эти годы. В главе 14 «Защита персональных данных работника» дано определение персональных данных работника, которое не безынтересно будет сравнить с определением ФЗ 152: «информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника».

В статьях 86-89 приводятся общие требования при обработке персональных данных и гарантия их защиты. Среди них требование получать только те данные, которые необходимы для обеспечения трудовых отношений. Определен порядок получения персональных данных, доступа уполномоченных лиц, передачи их 3-м лицам. Интересно положение о том, что «работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников».

В кодексе также определены права работников и ответственность лиц, нарушавших порядок получения, обработки и защиты персональных данных.

В целом, все требования трудового кодекса, но в расширенном варианте присутствуют в ФЗ № 152.

1.3. Регуляторы в области защиты персональных данных

Защита персональных данных в целом определяется правовыми, организационными и техническими мерами. Хорошие законы создают предпосылки, благоприятные правовые условия для тонкого баланса между защитой законных прав физических лиц и дополнительной нагрузкой на предприятия, обеспечивающие эти права. В экономике же действуют объективные законы, цель коммерческих предприятий путем своей деятельности получить прибыль. Поэтому, еще раз следует подчеркнуть, что российские предприятия не будут добровольно вкладывать средства в защиту персональных данных в силу отсутствия внутренней экономической мотивации и отсутствия традиционной законопослушности.

Остаются еще внешние факторы воздействия на предприятия в виде наделенных полномочиями государственных структур и самих субъектов персональных данных, самостоятельно отстаивающих свои права и свободы. Вначале рассматриваются надзорные и контролирующие воздействия со стороны государства.

В законе № 152 такие структуры называются:

-Уполномоченным органом по защите прав субъектов персональных данных;

-Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;

-Федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.

Для лучшего понимания того, какой статус имеют эти органы и какое имеют влияние на безопасность персональных данных полезно представить более общую систему государственного регулирования и контроля информационной безопасности. Более подробно представлены полномочия тех органов, деятельность которых оказывает непосредственное влияние на требования по защите персональных данных и контролю выполнения этих требований Операторами.

Система государственного регулирования и контроля в области информационной безопасности построена на деятельности специальных государственных органов, к которым относятся:

1) Президент Российской Федерации;

2) Совет Федерации Федерального Собрания Российской Федерации;

3) Государственная Дума Федерального Собрания;

4) Правительство Российской Федерации;

5) Совет безопасности России;

6) Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – федеральный орган исполнительной власти, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по различным вопросам.

Наиболее важным вопросом в контексте защиты персональных данных является обеспечение (технической) защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения, и блокирования доступа к ней на территории Российской Федерации.

Вторым по значимости вопросом в этом же контексте является разработка и/или производство средств защиты конфиденциальной информации, а также лицензирование деятельности по технической защите конфиденциальной информации.

Третьим по значимости вопросом в этом же контексте является сертификация средств защиты конфиденциальной информации, подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации. ФСТЭК России подведомственна Минобороны России. ФСТЭК России и ее территориальные органы входят в состав государственных органов обеспечения безопасности.

Решения ФСТЭК России являются обязательными для исполнения всеми органами государственной власти и местного самоуправления, государственными и негосударственными предприятиями, учреждениями, организациями, должностными лицами и гражданами.

7) Федеральная служба безопасности Российской Федерации (ФСБ России) – федеральный орган исполнительной власти, в пределах своих полномочий осуществляющий государственное управление в области обеспечения безопасности Российской Федерации, защиты и охраны государственной границы Российской Федерации, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление.

Наиболее важным вопросом в контексте защиты персональных данных является осуществление в пределах своих полномочий контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи, за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам.

Вторым по значимости вопросом в этом же контексте является лицензирование деятельности по технической защите конфиденциальной информации с применением криптографических методов.

Третьим по значимости вопросом в этом же контексте является сертификация средств защиты конфиденциальной информации, использующих криптографические методы.

Руководство деятельностью ФСБ России осуществляет Президент Российской Федерации.

Решения ФСБ России являются обязательными для исполнения всеми органами государственной власти и местного самоуправления, государственными и негосударственными предприятиями, учреждениями, организациями, должностными лицами и гражданами.

8) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций находится в ведении Министерства связи и массовых коммуникаций Российской Федерации.

Роскомнадзор в 2016 г. запустил проект "Электронная библиотека по защите прав субъектов персональных данных". Электронная библиотека по защите прав субъектов персональных данных будет расположена по адресу http://pd.rkn.gov.ru/library/. Данный сервис будет представлять собой каталог, структурированный на группы: «Законодательство и судебная практика», «Презентации, доклады, статьи и монограммы», «Методические документы, рекомендации и комментарии уполномоченного органа», «Международный опыт».

Итак, Совет безопасности России в координации с Комитетом Государственной думы по безопасности и Правительством России формируют правовое поле, а контроль и надзор за выполнением требований в сфере защиты персональных данных на территории Российской Федерации осуществляют следующие регуляторы:

- Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор надзирает и контролирует организационную защиту персональных данных.

- Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – Федеральная служба безопасности Российской Федерации (ФСБ России). ФСБ надзирает и контролирует техническую защиту персональных данных, в которой применены методы и средства криптографической защиты.

- Федеральный органом исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – Федеральная служба по техническому и экспортному контролю (ФСТЭК России). ФСТЭК надзирает и контролирует техническую защиту персональных данных, в которой не применены методы и средства криптографической защиты.

Можно ли вообще вообразить, что какое-то малое предприятие сможет противостоять натиску таких регулирующих монстров и игнорировать требования Федеральных Законов по защите персональных данных! В этом следует тщательно разобраться.

1.4. Ответственность за нарушение требований законодательства при обработке персональных данных

Физические и юридические лица, виновные в нарушении требований законодательства при обработке персональных данных, несут гражданскую, уголовную, административную и дисциплинарную ответственность в соответствии с законодательством РФ. Так декларирует ФЗ №152. Неотвратимая ответственность, адекватная правонарушению, выполняет предупредительные функции для потенциального нарушителя, снижая его побудительные мотивы к правонарушению.

Ниже будет акцентировано внимание на ответственности предприятия и его руководства при игнорировании или частичном выполнении требований законодательства. Нарушение безопасности персональных данных обычными пользователями информационных систем тоже является немаловажной проблемой, но все же, это проблема второго порядка.

Адекватная ответственность должна быть такой, чтобы юридическое лицу (предприятию) и физическому лицу (должностному лицу – руководителю предприятия) было невыгодно нарушать требования законодательства. Другими словами, финансовый (или иной) ущерб, потери, негативные последствия для указанных лиц должны быть меньше в случае выполнения требований законодательства и быть больше в случае его невыполнения. Если это так, будет поучительно разобраться, насколько неотвратима и весома ответственность.

Ответственность за неисполнение, не надлежащее исполнение требований по защите персональных данных в отношении предприятия может инициироваться «сверху» регуляторами и «снизу» субъектом персональных данных. Вначале рассмотрим действия регуляторов, т.е. ФСТЭК, ФСБ, Роскомнадзора.

1.4.1. Практический подход к анализу ответственности

Роскомнадзор, видимо, наиболее близок среди всех регуляторов к предприятиям. В каждом территориальном управлении Роскомнадзора созданы отделы, непосредственно занимающиеся проверкой соответствия обработки персональных данных требованиям законодательства. Ежегодно, обычно в декабре на официальном сайте (гиперссылка http://rkn.gov.ru/plan-and-reports/) в соответствии с регламентом размещается План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на следующий год. В плане указываются реквизиты проверяемого предприятия, основание для проверки, дату и длительность проверки, форму проверки (документарная или выездная).

К примеру, количество предприятий Владимирской области, включенных в план проверок на 2014 год, равно 15. Если учесть, что количество только малых предприятий во Владимирской области в 2013 году достигло примерно 4000, то вероятность плановой проверки (потенциальной угрозы предприятию со стороны реального источника угроз) конкретного предприятия будет примерно равна 0,004. Если взять обратное отношение, то можно вычислить, что для проверки всех предприятий Роскомнадзору при сохранении набранных темпов потребуется около 270 лет. Как видно, риск плановых проверок ничтожно мал, и о плановой неотвратимой ответственности можно забыть. На 2025 год план проверок вообще не формировался.

Может быть, санкции в отношении нерадивых предприятий со стороны регуляторов таковы, что не выполнять требования по защите персональных данных себе дороже? Для оценки экономической целесообразности нужно соотнести минимальные затраты на проведение работ по защите с максимально возможными потерями в виде штрафных санкций.

Грубая оценка расходов на создание системы защиты для малого предприятия приведена в нижеследующей таблице и равна примерно 96 тысячам рублей.

Это минимальные затраты, не учитывающие обучение пользователей и сопровождение безопасности

Теперь следует оценить в стоимостном выражении максимальные штрафы, которые получит предприятие, не предпринявшее никаких действий по выполнению требований закона.

Вначале обратимся к административной ответственности.

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

- на граждан – от 10000 до 15000 руб.;

- на должностных лиц – от 50000 до 100000 руб.;

- на юридических лиц – от 150000 до 300 000 руб. (данные на 20.06.25)

Из текста данной нормы можно сделать вывод, что работодатель как юридическое лицо может быть привлечен к административной ответственности за нарушение порядка сбора, хранения, использования или распространения персональных данных.

Примем, что за данное нарушение требований Закона «О персональных данных» на предприятие наложен штраф в сумме 300000 руб.

Помимо организации, ответственность за нарушение несет ее руководитель как должностное лицо. Это вытекает из смысла ст. 2.4 КоАП РФ, где указано, что под должностным лицом понимается лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Как указал Верховный Суд РФ в Постановлении от 10.02.2000 N 6 "О судебной практике по делам о взяточничестве и коммерческом подкупе", организационно-распорядительные функции включают в себя руководство коллективом, расстановку и подбор кадров, организацию труда или службы подчиненных, поддержание дисциплины, применение мер поощрения и наложение дисциплинарных взысканий.

Аналогично, примем, что руководитель предприятия также заплатит максимальный штраф, т.е. 100000 р.

На основании уже известных нам законов персональные данные относятся к конфиденциальной информации, т.е. к информации с ограниченным доступом. В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

- на граждан – от 10000 до 150000 руб.;

- на должностных лиц – от 50000 до 100000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа.

Если руководитель предприятия не будет уличен в разглашении персональных данных, то нет оснований в привлечении его к ответственности по данной статье.

Если предприятие не попадает под перечень исключений, указанных в п. 2 статьи 22 ФЗ 152 «О персональных данных», то оно обязано в соответствии с п.1 той же статьи уведомить Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных, о своем намерении осуществлять обработку персональных данных.

Непредставление или несвоевременное представление в Роскомнадзор сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности (например, уведомления об обработке ПДн или ответа на запрос), а равно представление таких сведений (информации) в неполном объеме или в искаженном виде образуют признаки состава административного правонарушения, предусмотренного ст.19.7. «Непредставление сведений (информации)».

Данное правонарушение влечет предупреждение или наложение административного штрафа на граждан в размере от 5000 до 10000 рублей; на должностных лиц – от 30000 до 50000 рублей; на юридических лиц – от 100000 тысяч до 300000 тысяч рублей. (размеры установлены с 30.05.2025).

Примем, что на руководителя будет наложен штраф в 30000 руб., а на предприятие 100000 руб.

Теперь обратимся к дисциплинарной ответственности.

Персональные данные относятся к сведениям, которые охраняются федеральными законами. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника. Поскольку такое увольнение относится к увольнениям за нарушение трудовой дисциплины, то работника, разгласившего персональные данные, необходимо уволить с соблюдением процедуры, предусмотренной ст. 193 ТК РФ.

Как было отмечено выше, руководитель предприятия не причастен к разглашению персональных данных, поэтому применить к нему данную ответственность неправомочно.

Настало время обратиться к уголовной ответственности.

В соответствии со ст. 137 УК РФ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, в публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в сумме до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок 360 часов, либо исправительными работами на срок до двух лет, либо арестом на срок до 2-х лет а с использованием служебного положения до 4-х лет. (данные на 20.06.25).

Следовательно, если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности.

С учетом отсутствия «состава преступления» в действиях руководителя в разделе «дисциплинарная ответственность», эта статья УК РФ к нему также не применима. Правда существует нюанс, если руководитель одновременно выполняет обязанности инспектора отдела кадров и нарушил правила законного получения персональных данных, то применение данной статьи не исключено.

Грубая оценка расходов в виде штрафов руководителю и предприятию за нарушение требований законодательства приведена в нижеследующей таблице и равна 15 тысячам рублей.

Настало время понять, какую ответственность может инициировать пострадавший субъект персональных данных.

Далее предполагается, что в результате нарушения конфиденциальности персональных данных конкретного субъекта, скажем Василия Ивановича Пупкина работника предприятия из примера лекции № 1, ему нанесен ущерб. И Вася Пупкин решил защитить свое конституционное право в соответствии с пунктом 2 статьи 15 ФЗ 152 «Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке», а также в соответствие с п. 1 «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность» и п. 2 «Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков» статьи 24.