Защита персональных данных курс лекций

В этом законе органам прокуратуры разрешено иметь доступ к персональным данным, например, направлять обоснованные запросы к предприятию на получение данных о конкретных физических лицах: «Органы прокуратуры в связи с осуществлением ими в соответствии с настоящим Федеральным законом прокурорского надзора вправе получать в установленных законодательством Российской Федерации случаях доступ к необходимой им для осуществления прокурорского надзора информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных».

Этот Закон следует учитывать в организационно-распорядительных документах предприятия, в положении об обработке персональных данных.

1.2.24. Федеральный Закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Современная тенденция в области информационных технологий направлена на перенос процесса обработки информации в так называемые «облака». При этом, к примеру, оператор персональных данных может арендовать вычислительную инфраструктуру (компьютерные сети, серверы, приложения, системы управления базами данных) у центров обработки данных (ЦОД) через Интернет. Данный ФЗ запретил первоначальный сбор персональных данных осуществлять в базы данных ЦОД, расположенных за пределами РФ: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации…». Первоначальный сбор данных в базы ЦОД, расположенных за пределами РФ разрешен только в строго оговоренных 4-х случаях.

1.2.25. Федеральный Закон от 7 февраля 2017 г. № 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"

Согласно изменениям, теперь за обработку персональных данных в случаях, не предусмотренных российским законодательством, либо обработку персональных данных, несовместимую с целями их сбора:

– гражданам, грозит предупреждение или штраф 15—30 тыс. рублей (30—50 тыс. рублей повторно).

– для должностных лиц сумма составит 100—200 тыс. рублей (200—500 тыс. рублей повторно),

– для юридических и ИП— от 300 до 500 тыс. (500—700 тыс. рублей повторно).

(данные на 20.06.2025).

За обработку персональных данных без письменного согласия субъекта штраф для граждан может составить 10—15 тыс. рублей, для должностных лиц – от 50 до 100 тыс. рублей, для юридических лиц – от 150 до 300 тыс. рублей. (данные на 20.06.2025).

1.2.26. Федеральный Закон от 30 декабря 2020 г.№ 519 -ФЗ «О внесение изменений в Федеральный закон «О персональных данных»

Введено новое понятие «Персональные данные, разрешенные субъектом персональных данных для распространения» – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом. Добавлены изменения, касающиеся новых требований об обработке таких данных, вступающие в силу с 1 марта 2021 г.:

1) Согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений между оператором и субъектом;

2) Получить согласие субъекта на предоставление неограниченного доступа к его персональным данным в согласии на их обработку нельзя;

3) Конкретные требования к содержанию согласия на персональные данные, разрешенные субъектом для распространения, будут установлены отдельным приказом Роскомнадзора;

4) Субъект персональных данных может в любое время обратиться к любому оператору персональных данных с требованием прекратить распространение его общедоступных персональных данных. Оператор обязан в течение трех дней удалить персональные данные из общего доступа;

5) Неправомерная обработка и распространение общедоступных персональных данных, а также отказ от их удаления по требованию субъекта влечет увеличенный штраф для ИП, должностных лиц и организаций (см. раздел «Перечень…»).

Таким образом, пункт 10 части 1 статьи 6 признан утратившим силу «осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

1.2.27. Трудовой кодекс Российской Федерации

Трудовой кодекс имеет статус Федерального закона, был принят 30 декабря 2001 г. под № 197 ФЗ, неоднократно корректировался за эти годы. В главе 14 «Защита персональных данных работника» дано определение персональных данных работника, которое не безынтересно будет сравнить с определением ФЗ 152: «информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника».

В статьях 86-89 приводятся общие требования при обработке персональных данных и гарантия их защиты. Среди них требование получать только те данные, которые необходимы для обеспечения трудовых отношений. Определен порядок получения персональных данных, доступа уполномоченных лиц, передачи их 3-м лицам. Интересно положение о том, что «работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников».

В кодексе также определены права работников и ответственность лиц, нарушавших порядок получения, обработки и защиты персональных данных.

В целом, все требования трудового кодекса, но в расширенном варианте присутствуют в ФЗ № 152.

1.3. Регуляторы в области защиты персональных данных

Защита персональных данных в целом определяется правовыми, организационными и техническими мерами. Хорошие законы создают предпосылки, благоприятные правовые условия для тонкого баланса между защитой законных прав физических лиц и дополнительной нагрузкой на предприятия, обеспечивающие эти права. В экономике же действуют объективные законы, цель коммерческих предприятий путем своей деятельности получить прибыль. Поэтому, еще раз следует подчеркнуть, что российские предприятия не будут добровольно вкладывать средства в защиту персональных данных в силу отсутствия внутренней экономической мотивации и отсутствия традиционной законопослушности.

Остаются еще внешние факторы воздействия на предприятия в виде наделенных полномочиями государственных структур и самих субъектов персональных данных, самостоятельно отстаивающих свои права и свободы. Вначале рассматриваются надзорные и контролирующие воздействия со стороны государства.

В законе № 152 такие структуры называются:

-Уполномоченным органом по защите прав субъектов персональных данных;

-Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;

-Федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.

Для лучшего понимания того, какой статус имеют эти органы и какое имеют влияние на безопасность персональных данных полезно представить более общую систему государственного регулирования и контроля информационной безопасности. Более подробно представлены полномочия тех органов, деятельность которых оказывает непосредственное влияние на требования по защите персональных данных и контролю выполнения этих требований Операторами.

Система государственного регулирования и контроля в области информационной безопасности построена на деятельности специальных государственных органов, к которым относятся:

1) Президент Российской Федерации;

2) Совет Федерации Федерального Собрания Российской Федерации;

3) Государственная Дума Федерального Собрания;

4) Правительство Российской Федерации;

5) Совет безопасности России;

6) Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – федеральный орган исполнительной власти, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по различным вопросам.

Наиболее важным вопросом в контексте защиты персональных данных является обеспечение (технической) защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения, и блокирования доступа к ней на территории Российской Федерации.

Вторым по значимости вопросом в этом же контексте является разработка и/или производство средств защиты конфиденциальной информации, а также лицензирование деятельности по технической защите конфиденциальной информации.

Третьим по значимости вопросом в этом же контексте является сертификация средств защиты конфиденциальной информации, подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации. ФСТЭК России подведомственна Минобороны России. ФСТЭК России и ее территориальные органы входят в состав государственных органов обеспечения безопасности.

Решения ФСТЭК России являются обязательными для исполнения всеми органами государственной власти и местного самоуправления, государственными и негосударственными предприятиями, учреждениями, организациями, должностными лицами и гражданами.

7) Федеральная служба безопасности Российской Федерации (ФСБ России) – федеральный орган исполнительной власти, в пределах своих полномочий осуществляющий государственное управление в области обеспечения безопасности Российской Федерации, защиты и охраны государственной границы Российской Федерации, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление.

Наиболее важным вопросом в контексте защиты персональных данных является осуществление в пределах своих полномочий контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи, за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам.

Вторым по значимости вопросом в этом же контексте является лицензирование деятельности по технической защите конфиденциальной информации с применением криптографических методов.

Третьим по значимости вопросом в этом же контексте является сертификация средств защиты конфиденциальной информации, использующих криптографические методы.

Руководство деятельностью ФСБ России осуществляет Президент Российской Федерации.

Решения ФСБ России являются обязательными для исполнения всеми органами государственной власти и местного самоуправления, государственными и негосударственными предприятиями, учреждениями, организациями, должностными лицами и гражданами.

8) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций находится в ведении Министерства связи и массовых коммуникаций Российской Федерации.

Роскомнадзор в 2016 г. запустил проект "Электронная библиотека по защите прав субъектов персональных данных". Электронная библиотека по защите прав субъектов персональных данных будет расположена по адресу http://pd.rkn.gov.ru/library/. Данный сервис будет представлять собой каталог, структурированный на группы: «Законодательство и судебная практика», «Презентации, доклады, статьи и монограммы», «Методические документы, рекомендации и комментарии уполномоченного органа», «Международный опыт».

Итак, Совет безопасности России в координации с Комитетом Государственной думы по безопасности и Правительством России формируют правовое поле, а контроль и надзор за выполнением требований в сфере защиты персональных данных на территории Российской Федерации осуществляют следующие регуляторы:

- Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор надзирает и контролирует организационную защиту персональных данных.

- Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – Федеральная служба безопасности Российской Федерации (ФСБ России). ФСБ надзирает и контролирует техническую защиту персональных данных, в которой применены методы и средства криптографической защиты.

- Федеральный органом исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – Федеральная служба по техническому и экспортному контролю (ФСТЭК России). ФСТЭК надзирает и контролирует техническую защиту персональных данных, в которой не применены методы и средства криптографической защиты.

Можно ли вообще вообразить, что какое-то малое предприятие сможет противостоять натиску таких регулирующих монстров и игнорировать требования Федеральных Законов по защите персональных данных! В этом следует тщательно разобраться.

1.4. Ответственность за нарушение требований законодательства при обработке персональных данных

Физические и юридические лица, виновные в нарушении требований законодательства при обработке персональных данных, несут гражданскую, уголовную, административную и дисциплинарную ответственность в соответствии с законодательством РФ. Так декларирует ФЗ №152. Неотвратимая ответственность, адекватная правонарушению, выполняет предупредительные функции для потенциального нарушителя, снижая его побудительные мотивы к правонарушению.

Ниже будет акцентировано внимание на ответственности предприятия и его руководства при игнорировании или частичном выполнении требований законодательства. Нарушение безопасности персональных данных обычными пользователями информационных систем тоже является немаловажной проблемой, но все же, это проблема второго порядка.

Адекватная ответственность должна быть такой, чтобы юридическое лицу (предприятию) и физическому лицу (должностному лицу – руководителю предприятия) было невыгодно нарушать требования законодательства. Другими словами, финансовый (или иной) ущерб, потери, негативные последствия для указанных лиц должны быть меньше в случае выполнения требований законодательства и быть больше в случае его невыполнения. Если это так, будет поучительно разобраться, насколько неотвратима и весома ответственность.

Ответственность за неисполнение, не надлежащее исполнение требований по защите персональных данных в отношении предприятия может инициироваться «сверху» регуляторами и «снизу» субъектом персональных данных. Вначале рассмотрим действия регуляторов, т.е. ФСТЭК, ФСБ, Роскомнадзора.

1.4.1. Практический подход к анализу ответственности

Роскомнадзор, видимо, наиболее близок среди всех регуляторов к предприятиям. В каждом территориальном управлении Роскомнадзора созданы отделы, непосредственно занимающиеся проверкой соответствия обработки персональных данных требованиям законодательства. Ежегодно, обычно в декабре на официальном сайте (гиперссылка http://rkn.gov.ru/plan-and-reports/) в соответствии с регламентом размещается План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на следующий год. В плане указываются реквизиты проверяемого предприятия, основание для проверки, дату и длительность проверки, форму проверки (документарная или выездная).

К примеру, количество предприятий Владимирской области, включенных в план проверок на 2014 год, равно 15. Если учесть, что количество только малых предприятий во Владимирской области в 2013 году достигло примерно 4000, то вероятность плановой проверки (потенциальной угрозы предприятию со стороны реального источника угроз) конкретного предприятия будет примерно равна 0,004. Если взять обратное отношение, то можно вычислить, что для проверки всех предприятий Роскомнадзору при сохранении набранных темпов потребуется около 270 лет. Как видно, риск плановых проверок ничтожно мал, и о плановой неотвратимой ответственности можно забыть. На 2025 год план проверок вообще не формировался.

Может быть, санкции в отношении нерадивых предприятий со стороны регуляторов таковы, что не выполнять требования по защите персональных данных себе дороже? Для оценки экономической целесообразности нужно соотнести минимальные затраты на проведение работ по защите с максимально возможными потерями в виде штрафных санкций.

Грубая оценка расходов на создание системы защиты для малого предприятия приведена в нижеследующей таблице и равна примерно 96 тысячам рублей.

Это минимальные затраты, не учитывающие обучение пользователей и сопровождение безопасности

Теперь следует оценить в стоимостном выражении максимальные штрафы, которые получит предприятие, не предпринявшее никаких действий по выполнению требований закона.

Вначале обратимся к административной ответственности.

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

- на граждан – от 10000 до 15000 руб.;

- на должностных лиц – от 50000 до 100000 руб.;

- на юридических лиц – от 150000 до 300 000 руб. (данные на 20.06.25)

Из текста данной нормы можно сделать вывод, что работодатель как юридическое лицо может быть привлечен к административной ответственности за нарушение порядка сбора, хранения, использования или распространения персональных данных.

Примем, что за данное нарушение требований Закона «О персональных данных» на предприятие наложен штраф в сумме 300000 руб.

Помимо организации, ответственность за нарушение несет ее руководитель как должностное лицо. Это вытекает из смысла ст. 2.4 КоАП РФ, где указано, что под должностным лицом понимается лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Как указал Верховный Суд РФ в Постановлении от 10.02.2000 N 6 "О судебной практике по делам о взяточничестве и коммерческом подкупе", организационно-распорядительные функции включают в себя руководство коллективом, расстановку и подбор кадров, организацию труда или службы подчиненных, поддержание дисциплины, применение мер поощрения и наложение дисциплинарных взысканий.

Аналогично, примем, что руководитель предприятия также заплатит максимальный штраф, т.е. 100000 р.

На основании уже известных нам законов персональные данные относятся к конфиденциальной информации, т.е. к информации с ограниченным доступом. В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

- на граждан – от 10000 до 150000 руб.;

- на должностных лиц – от 50000 до 100000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа.

Если руководитель предприятия не будет уличен в разглашении персональных данных, то нет оснований в привлечении его к ответственности по данной статье.

Если предприятие не попадает под перечень исключений, указанных в п. 2 статьи 22 ФЗ 152 «О персональных данных», то оно обязано в соответствии с п.1 той же статьи уведомить Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных, о своем намерении осуществлять обработку персональных данных.

Непредставление или несвоевременное представление в Роскомнадзор сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности (например, уведомления об обработке ПДн или ответа на запрос), а равно представление таких сведений (информации) в неполном объеме или в искаженном виде образуют признаки состава административного правонарушения, предусмотренного ст.19.7. «Непредставление сведений (информации)».

Данное правонарушение влечет предупреждение или наложение административного штрафа на граждан в размере от 5000 до 10000 рублей; на должностных лиц – от 30000 до 50000 рублей; на юридических лиц – от 100000 тысяч до 300000 тысяч рублей. (размеры установлены с 30.05.2025).

Примем, что на руководителя будет наложен штраф в 30000 руб., а на предприятие 100000 руб.

Теперь обратимся к дисциплинарной ответственности.

Персональные данные относятся к сведениям, которые охраняются федеральными законами. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника. Поскольку такое увольнение относится к увольнениям за нарушение трудовой дисциплины, то работника, разгласившего персональные данные, необходимо уволить с соблюдением процедуры, предусмотренной ст. 193 ТК РФ.