Консультация юриста
Назад

Закон «О персональных данных» — что нужно знать агентству

Опубликовано: 30.07.2019
0
6

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

https://www.youtube.com/watch?v=ytadvertiseru

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник картинки на тизере:Flickr

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Закон «О персональных данных» — что нужно знать агентству

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Что значит «мера пресечения»?

Мера пресечения — это какие-то запреты и ограничения, которые государство может наложить на человека, чтобы не дать ему сделать что-то вредное. Мера пресечения ограничивает свободу человека. Если есть подозрения, что человек, например, грабит караваны, но это пока не доказано, то на время следствия его могут посадить под домашний арест или заключить под стражу — то есть насильно временно ограничат его свободу, чтобы он не мог и дальше грабить караваны. Хотя приговора еще нет, но меру пресечения уже можно применить — причем надолго.

Что изменилось?

К списку мер пресечения добавили запрет определенных действий. Это не каламбур и не обобщение: мера так и называется в законе. Она будет упоминаться в разных местах УПК. Также для нее ввели новую статью — 105.1.

Но эти запреты не касались личных прав и свобод конкретного человека. Поэтому когда подозреваемый проходил по уголовному делу и нужно было ограничить его передвижения и круг общения, можно было только поместить под домашний арест. Запретить пользоваться интернетом, посещать какие-то мероприятия и общаться с конкретными людьми без домашнего ареста было нельзя.

Какие действия могут запрещать?

Список запретов конкретный и закрытый. Это значит, что другие действия запретить нельзя. Вот что можно запретить:

  1. Выходить из дома в определенное время.
  2. Находиться в определенных местах или ближе какого-то расстояния до конкретных объектов. Тут стоит отметить, что речь именно об объектах, а не о лицах. «Я не могу подходить к своей бывшей ближе чем на 500 метров» не пройдет. А вот «Я не могу подходить к дому и месту работы своей бывшей» теоретически может пройти. Но для этого своей бывшей надо как-то навредить, чтобы это попало под статью УК.
  3. Посещать определенные мероприятия и участвовать в них.
  4. Общаться с определенными людьми.
  5. Отправлять и получать письма и телеграммы. Потому что ведь все сейчас получают письма и телеграммы.
  6. Использовать телефон и интернет.
  7. Управлять автомобилем, если преступление связано с нарушением ПДД.

Других действий в списке нет.

Предлагаем ознакомиться:  Брачный договор при разводе (Москва), образец в суд

как подготовить сайт под 152-фз

Запрещать могут какое-то одно действие из перечня, несколько или все сразу. Могут сначала запретить что-то одно, а потом добавить еще запретов. Если подозреваемого отпустили под залог, то могут дополнительно запретить с кем-то общаться, пользоваться интернетом и куда-то ходить. Еще эти меры могут применять дополнительно к домашнему аресту, но они упоминались и до этого закона.

Запрет на выход из дома зависит от тяжести преступления и разных обстоятельств, включая личные, и может длиться максимум три года. Сначала меру назначают максимум на два месяца, а потом могут продлевать. Когда предельный срок истечет, запрет снимут. Но там есть нюансы со сроками: например, они описаны в ст. 109, 128 и 221 УПК.

Срок для остальных действий из перечня установит суд. Применить запрет можно в любой момент производства по уголовному делу.

Основные требования законодательства в области персональных данных

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

Закон «О персональных данных» — что нужно знать агентству

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Предлагаем ознакомиться:  Договор транспортной экспедиции: как избежать проблем с НДС

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Если во время запрета случится форс-мажор

Запрет может наложить только суд. Следователь или дознаватель возбуждает ходатайство перед судом, в котором просит запретить такому-то человеку совершать определенные действия из перечня. Следователь обязан объяснить, зачем это нужно. Суд выносит постановление: запретить действия или не запрещать.

Постановление отправят следователю, прокурору, самому подозреваемому, а также потерпевшему или свидетелю — если запрет как-то касается их безопасности. Если запретили управлять автомобилем, заберут права.

В постановлении напишут, из какого помещения нельзя выходить, в какое время, к какому именно объекту не подходить, с каким человеком не общаться и в течение какого времени. Все конкретно.

Запрет не касается звонков в скорую, аварийные службы или полицию. Но о каждом звонке нужно сообщать в орган, который контролирует исполнение запрета. Можно неограниченно связываться со следователем и дознавателем. А вот про адвокатов ничего не сказано.

Если подозреваемый попадет в больницу, запрет продолжит действовать. Там ему тоже не дадут телефон и не пустят друзей, если это запрещено.

Кем проверяется выполнение требований закона?

https://www.youtube.com/watch?v=ytcopyrightru

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Предлагаем ознакомиться:  Уволен по статье 81 Могу ли устроиться назад

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

https://www.youtube.com/watch?v=upload

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Закон «О персональных данных» — что нужно знать агентству

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

https://www.youtube.com/watch?v=ytpolicyandsafetyru

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

список персональных данных

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Кто будет контролировать

Выход из дома можно контролировать с помощью электронного браслета. Этим занимаются службы исполнения наказаний и другие надзорные ведомства. Но если такого запрета нет, а просто нельзя куда-то ходить, с кем-то общаться и приближаться к каким-то объектам, проверять будет сложнее.

https://www.youtube.com/watch?v=ytpressru

Если подозреваемый нарушит запрет, для него выберут более строгую меру пресечения. Например, заменят запрет на использование интернета и общение с друзьями на домашний арест или даже содержание под стражей.

, , ,
Поделиться
Похожие записи
Комментарии:
Комментариев еще нет. Будь первым!
Имя
Укажите своё имя и фамилию
E-mail
Без СПАМа, обещаем
Текст сообщения
Adblock detector