X Международная студенческая научная конференция
«Студенческий научный форум» - 2018
 
     

НОРМАТИВНО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Павленков А.Н., Валиев М.М.
Текст научной работы размещён без изображений и формул.
Полная версия научной работы доступна в формате PDF


В современном мире к защите конфиденциальных сведений предъявляют большие требования. Поскольку персональные данные человека содержат данные личного характера, к обеспечению гарантий по их сохранности и неразглашению относятся очень серьезны. В связи с этим, обеспечение сохранности персональных данных человека регулирует законодательство Российской Федерации.

Согласно ч.1 ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени1.

Общие и специальные положения о защите персональных данных регламентируются в соответствии с Конституцией РФ следующими федеральными законами:

  1. Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ(ч. 3, ст.85-90)2.

  2. Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации».

  3. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

В соответствии с этими федеральными законами и в их развитие приняты подзаконные нормативно-правовые акты:

  1. Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера».

  2. Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

  3. Постановление правительства от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

  4. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Кроме того, на локальном уровне должны приниматься нормативные и иные акты в целях обеспечения защиты персональных данных.

Законом «О персональных данных» в статье 7 предусмотрено, что операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.

Статьей 9 Закона «Об информации, информационных технологиях и защите информации» также установлено, что обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Согласно ст. 19 Федерального Закона «О персональных данных», оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; постоянный контроль за обеспечением уровня защищенности информации3.

Статьей 24 Федерального Закона «О персональных данных» и статьей 17 Закона «Об информации, информационных технологиях и защите информации» предусмотрена дисциплинарная, гражданско-правовая, административная и уголовная ответственность для лиц, виновных в нарушении данных требований.

Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 18 февраля 2013 г. № 21 утверждены Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных.

Согласно п. 3 ст. 4 Закона «О персональных данных» порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.

Под автоматизированной обработкой, согласно ст. 3 Закона «О персональных данных», понимается обработка данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее.

Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для каждой категории персональных данных должен использоваться отдельный материальный носитель4.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. работники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии)5.

Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных». Согласно пункту 2 данного постановления система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.6

Большинство организаций используют электронные системы хранения и обработки персональных данных.

В соответствии со ст. 21 Закона о персональных данных оператор (работодатель) также обязан:

- осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения субъекта персональных данных или его законного представителя либо получения запроса уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора на период проверки.

В случае подтверждения факта недостоверности персональных данных работодатель на основании документов, представленных работником персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование:

- устранить допущенные нарушения в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган;

- незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в случае достижения цели обработки персональных данных в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган;

- прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

1 Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 № 6-ФКЗ РФ, от 30.12.2008 № 7-ФКЗ, от 05.02.2014 № 2-ФКЗ, от 21.07.2014 № 11-ФКЗ) [Электронный ресурс] // КонсультантПлюс: справочно-правовая система /Режим доступа: URL: http://base.www.consultant.ru/ (дата обращения 20.12.2017 г.).

2 Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ: принят Гос. Думой 21 дек. 2001 г.( ред. от 03.07.2016) [Электронный ресурс] // КонсультантПлюс: справочно-правовая система/ Режим доступа:/ URL: http://www.consultant.ru/ (дата обращения 20.12.2017г.).

3 Федеральный закон от 27.27.2006 № 149-ФЗ (ред. 19.12.2016) «Об информации, информационных технологиях и защите информации» [Электронный ресурс] // КонсультантПлюс: справочно-правовая система/ Режим доступа: /URL: http://www.consultant.ru/ (дата обращения 20.12.2017г.).

4 Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" [Электронный ресурс] // КонсультантПлюс: справочно-правовая система/ Режим доступа: /URL: http://www.consultant.ru/ (дата обращения 20.12.2017г.).

5 Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" [Электронный ресурс] // КонсультантПлюс: справочно-правовая система/ Режим доступа: /URL: http://www.consultant.ru/ (дата обращения 20.12.2017г.).

6 Постановление правительства от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" [Электронный ресурс] // КонсультантПлюс: справочно-правовая система/ Режим доступа: /URL: http://www.consultant.ru/ (дата обращения 20.12.2017г.).