ПОПРАВКИ К ФЕДЕРАЛЬНОМУ ЗАКОНУ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» . ПОСЛЕДСТВИЯ ДЛЯ БИЗНЕСА.

PAVEL ANTONOV, ACCOUNTOR

15.04.2023

2

ОСНОВЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОТНОШЕНИЙ,

СВЯЗАННЫХ С ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

• Уважение прав и основных свобод человека;• Необходимость усиления гарантий прав и основных свобод для всех, и в частности права на уважение частной жизни, с учетом увеличения трансграничного потока персональных данных, подвергающихся автоматизированной обработке;• Приверженность свободе информации независимо от границ;• Необходимость совмещения фундаментальных ценностей уважения неприкосновенности личной сферы и свободного обмена информацией между народами.

15.04.2023

3

МЕЖДУНАРОДНОЕ ЗАКОНОДАТЕЛЬСТВО• Конвенция о защите физических лиц при

автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (с изменениями от 15 июня 1999 г.)

Конвенция ратифицирована Федеральным законом от 19.12.2005 г. №160-ФЗ. Для Российской Федерации данный документ

вступил в силу с 1 сентября 2013 года.

• Дополнительный протокол к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации»

Подписан РФ 13.03.2006. Не ратифицирован. В ближайшее время планируется рассмотреть вопрос о консолидации контролирующих

органов в соответствии с протоколом.

15.04.2023

4

МЕЖДУНАРОДНОЕ ЗАКОНОДАТЕЛЬСТВО• Директива Европейского Парламента и Совета Европейского

Союза 95/46/ЕС от 24 октября 1995 г.о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (в редакции Регламента Европейского парламента и Совета ЕС 1882/2003 от 29 сентября 2003 года)

• Директива Европейского Парламента и Совета Европейского Союза 2002/22/ЕС от 7 марта 2002 г.об универсальных услугах и правах пользователей в отношении сетей электронных коммуникаций и услуг (Директива об универсальных услугах)

• Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12 июля 2002 г.в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи)

15.04.2023

5

РОССИЙСКОЕ ЗАКОНОДАТЕЛЬСТВО• Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)

• Федеральный закон от 19 декабря 2005 г. №160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"

• Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последними изменениями от 21 июля 2011 г.)

• Федеральный закон от 27 июля 2006 г. №152-ФЗ "О персональных данных" (с последними изменениями от 5 апреля 2013 г.)

15.04.2023

6

РОССИЙСКОЕ ЗАКОНОДАТЕЛЬСТВО

• Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (с последними изменениями от 21 июня 2012 г.)

• Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи"

• Федеральный закон от 12 июня 2002 г. № 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации"

• Федеральный закон от 7 мая 2013 г. №99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона "О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных" и федерального закона "О персональных данных"

15.04.2023

7

УКАЗЫ ПРЕЗИДЕНТА РОССИИ

• Указ Президента Российской Федерации от 17 марта 2008 года N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена"

• Указ Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"

• Указ Президента Российской Федерации от 6 марта 1997 года N 188 "Об утверждении перечня сведений конфиденциального характера"

15.04.2023

8

ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об

утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

• Постановление Правительства Российской Федерации от 13 июня 2012 г. N 584 "Об утверждении положения о защите информации в платежной системе"

• Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

• Постановление Правительства Российской Федерации от 4 марта 2010 г. N 125 "О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»

15.04.2023

9

ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ• Постановление Правительства Российской Федерации от 15

сентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

• Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"

• Постановление Правительства Российской Федерации от 12 декабря 2005 г. N 756 "О представлении Президенту Российской Федерации предложения о подписании Дополнительного протокола к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, касающегося наблюдательных органов и трансграничной передачи данных"

• Постановление Правительства Российской Федерации от 3 ноября 1994 г. №1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти"

15.04.2023

10

НПА ФЕДЕРАЛЬНЫХ ОРГАНОВ РФ• Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных»

• Приказ Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 г. N 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Введение реестра операторов, осуществляющих обработку персональных данных»

• Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»

• Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных…"

15.04.2023

11

ПРИКАЗЫ РОСКОМНАДЗОРА• Приказ Роскомнадзора от 13 апреля 2011 г. №246 "Об утверждении Положения об обработке персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций«

• Приказ Роскомнадзора от 20 июня 2012 г. № 621 «Об утверждении Положения о Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных»

• Положение о Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных

• Приказ Роскомнадзора от 05 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию персональных данных»

15.04.2023

Статья Нарушение Санкция

КоАП

Статья 5.27ч. 1. Нарушение трудового законодательства и иных НПА, содержащих нормы трудового права

Нарушение трудового законодательства и иных НПА, содержащих нормы трудового права (положения о ПД)

ШТРАФ:на должностных лиц – 1 000 – 5 000 руб.на юридических лиц -30 000 – 50 000 руб.

Статья 5.27ч. 4. Нарушение трудового законодательства и иных НПА, содержащих нормы трудового права

То же нарушение лицом, ранее подвергнутым административному наказанию за аналогичное правонарушение (положения о ПД)

ШТРАФ:на должностных лиц – 10 000 – 20 000 руб. илидисквалификация 1-3 годана юридических лиц -50 000 – 70 000 руб.

ОТВЕТСТВЕННОСТЬ

15.04.202312

Статья Нарушение Санкция

КоАП

Статья 5.39Отказ в предоставлении информации

Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных

ШТРАФ:на должностных лиц -1 000 – 3 000 руб.

Статья 13.11Нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

ШТРАФ:на должностных лиц -500 – 1 000 руб.на юридических лиц -5 000 – 10 000 руб.

ОТВЕТСТВЕННОСТЬ

15.04.202313

Статья Нарушение Санкция

КоАП

Статья 13.11.1Распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера(персональных данных)

Распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера(персональных данных)

ШТРАФ:на должностных лиц – 3 000 – 5 000 руб.на юридических лиц -10 000 – 15 000 руб.

Статья 13.121. Нарушение правил защиты информации

Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации

ШТРАФ:на должностных лиц -1 500 – 2 500 руб.на юридических лиц -15 000 – 20 000 руб.

ОТВЕТСТВЕННОСТЬ

15.04.202314

Статья Нарушение Санкция

КоАП

Статья 13.122. Нарушение правил защиты информации

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации

ШТРАФ:на должностных лиц -2 500 – 3 000 руб.на юридических лиц -20 000 – 25 000 руб. с конфискацией средств защиты или без таковой

Статья 13.14Разглашение информации с ограниченным доступом

Разглашение информации (персональных данных), доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением профессиональных обязанностей

ШТРАФ:на граждан -500 – 1 000 руб.на должностных лиц -4 000 – 5 000 руб.

ОТВЕТСТВЕННОСТЬ

15.04.202315

Статья Нарушение Санкция

КоАП

Статья 19.15Невыполнение в срок законного предписания контролирующего органа

Невыполнение в срок законного предписания Роскомнадзора

ШТРАФ:на должностных лиц -1 000 – 2 000 руб.на юридических лиц -10 000 – 20 000 руб.

Статья 19.7Непредставление сведений (информации)

Непредставление или несвоевременное представлениеУведомления в Роскомнадзор

ШТРАФ:на должностных лиц -300 – 500 руб.на юридических лиц -3 000 – 5 000 руб.

ОТВЕТСТВЕННОСТЬ

15.04.202316

Статья Нарушение Санкция

УГОЛОВНЫЙ КОДЕКС

Статья 1371. Нарушение неприкосновенности частной жизни

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

ШТРАФ: до 200 000 руб. либо обязательные работы от 120 до 180 часов, либо исправительные работы до 1 года, либо принудительные работы до 2 лет, либо арест до 4 мес.

Статья 1372. Нарушение неприкосновенности частной жизни

Те же деяния, совершенные лицом с использованием своего служебного положения

ШТРАФ: до 300 000 руб. либо принудительные работы до 4 лет, либо арест до 6 мес., либо лишение свободы до 4 лет

ОТВЕТСТВЕННОСТЬ

15.04.202317

Статья Нарушение Санкция

УГОЛОВНЫЙ КОДЕКС

Статья 140Отказ в предоставлении гражданину информации

Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке персональных данных

ШТРАФ: до 200 000 руб. либо зарплата за 18 мес., либо лишением права заниматься определенной деятельностью на срок до 5 лет

Статья 272Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации (персональные данные)

ШТРАФ: до 200 000 руб. либо лишение свободы до 2 лет (часть 1) + квалифицированные составы с более строгой санкцией

ОТВЕТСТВЕННОСТЬ

15.04.202318

Статья Нарушение Санкция

ТРУДОВОЙ КОДЕКС

Статья 81Расторжение трудового договора по инициативе работодателя

Разглашение персональных данных другого работника

Расторжение трудового договора по инициативе работодателя

Статья 238Материальная ответственность работника за ущерб, причиненный работодателю

Работник обязан возместить работодателю причиненный ему прямой действительный ущерб

Работник обязан возместить работодателю причиненный ему прямой действительный ущерб

ОТВЕТСТВЕННОСТЬ

15.04.202319

20

ПЕРСОНАЛЬНЫЕ ДАННЫЕ. ДЕФИНИЦИИ. КАТЕГОРИИ.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Персональные данные: ФИО, место рождения, год рождения, месяц рождения, семейное положение, имущественное положение, профессия, адрес, социальное положение, образование, доходы

15.04.2023

21

ПЕРСОНАЛЬНЫЕ ДАННЫЕ. ДЕФИНИЦИИ. КАТЕГОРИИ.

Специальные категории персональных данных: расовая принадлежность, политические взгляды, философские убеждения, состояние интимной жизни, национальная принадлежность, религиозные убеждения, состояние здоровья

Биометрические персональные данные: сведения, которые характеризуют биологические и физиологические особенности человека, на основании которых можно установить его личность

15.04.2023

22

ИНФОРМАЦИОННЫЕ СИСТЕМЫ

1. ИС, обрабатывающая ПД сотрудников оператора

2. ИС, обрабатывающая ПД НЕ сотрудников оператора

2.1. ИС, обрабатывающая специальные категории ПД

2.2. ИС, обрабатывающая биометрические ПД2.3. ИС, обрабатывающая общедоступные ПД

15.04.2023

23

БЕЗ УВЕДОМЛЕНИЯ РОСКОМНАДЗОРА

ПД сотрудников компании в соответствии с ТК ПД, полученные оператором в связи с заключением договора, стороной которого является субъект ПД (ПД не распространяются и не передаются третьим лицам) ПД, представляющие только ФИО ПД, необходимые для однократного пропуска ПД, обрабатываемые без использования средств автоматизации

15.04.2023

24

НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ

Изменения в ФЗ от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»

Статья 15.5. Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных

15.04.2023

25

НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ

В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства в области ПД, Роскомнадзором создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных».

ВНИМАНИЕ: в Реестр попадают

только по решению суда

15.04.2023

26

НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗВ реестре нарушителей:

1) доменные имена и (или) указатели страниц сайтов в сети "Интернет", содержащих ПД с нарушением закона;2) сетевые адреса, позволяющие идентифицировать сайты в сети "Интернет", содержащие ПД, обрабатываемые с нарушением закона;3) указание на вступивший в законную силу судебный акт;4) информация об устранении нарушения;5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.

15.04.2023

27

НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ

ВКЛЮЧЕНИЕ САНКЦИИ – ОГРАНИЧЕНИЕ ДОСТУПА К

ИНФОРМАЦИОННОМУ РЕСУРСУ В теч. 3 раб. дней со дня получения решения суда Роскомнадзор направляет провайдеру уведомление на рус. и англ. яз. о нарушении В теч. 1 раб. дня провайдер информирует владельца ресурса В теч. 1 раб. дня владелец инф. ресурса обязан принять меры

В случае непринятия мер ДОСТУП МОЖЕТ БЫТЬ ОГРАНИЧЕН

ПОСЛЕ УСТРАНЕНИЯ НАРУШЕНИЯ и сообщения об этом владельцем у РОСКОМНАДЗОРА (или его

представителя) 3 дня на исключение нарушителя из реестра

15.04.2023

28

НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ

Изменения в ФЗ от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»

Статья 16. Обладатель информации, оператор информационной системы

обязаны обеспечитьнахождение на территории России баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение,

уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

15.04.2023

29

НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ

Изменения в ФЗ от 27.07.2006 года №152-ФЗ "О персональных данных«

Статья 18. При сборе персональных данных, в том числе посредством

информационно-телекоммуникационной сети "Интернет", оператор обязан

обеспечить запись, систематизацию, накопление, хранение, уточнение

(обновление, изменение), извлечение персональных данных граждан

Российской Федерации с использованием баз данных, находящихся на территории

Российской Федерации..

15.04.2023

30

НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗИзменения в ФЗ от 27.07.2006 года №152-ФЗ

“О персональных данных”Статья 22. Уведомление в Роскомнадзор

должно содержать следующие новые сведения:

сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации

.

15.04.2023

31

НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗИзменения в ФЗ от 27.07.2006 года №152-ФЗ

“О персональных данных”Статья 23. Роскомнадзор наделяется новым

полномочием:

ограничивать доступ к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных, в порядке, установленном законодательством РФ

.

15.04.2023

32

ЧТО НУЖНО ПРЕДПРИНЯТЬ ДО 1.9.2015?ЮРИДИЧЕСКАЯ РАБОТА:

1. Уведомить Роскомнадзор, включая сведения о месте нахождения базы данных, содержащей ПД

2. Проверить текущее состояние документации по 152-ФЗ и 242-ФЗ и устранить недостатки, включая:

Назначение ответственного лица, подготовка

формы согласия (различные лица – партнеры,

сотрудники, кандидаты и т.д.), подготовка

локальных актов, политик, процедур, подготовка

доп. соглашений к действующим договорам

разной природы, внутренний аудит процессов

15.04.2023

33

ЧТО НУЖНО ПРЕДПРИНЯТЬ ДО 1.9.2015?

ТЕХНИЧЕСКАЯ РАБОТА:

РАЗРАБОТКА И ВНЕДРЕНИЕ

НЕОБХОДИМЫХ ИНСТРУКЦИЙ И

ТЕХНИЧЕСКИХ РЕШЕНИЙ, НАПРАВЛЕННЫХ

НА ЛОКАЛИЗАЦИЮ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИЦ,

ЯВЛЯЮЩИХСЯ ГРАЖДАНАМИ РОССИИ

15.04.2023

34

1. ПЛАНОВАЯ ПРОВЕРКА РОСКОМНАДЗОРА

2. НЕПЛАНОВЫЕ ПРОВЕРКИ (клиенты, поставщики,

конкуренты)

3. ПРОВЕРКИ ПО ОБРАЩЕНИЯМ СОТРУДНИКОВ – САМЫЙ

ВЫСОКИЙ УРОВЕНЬ РИСКА (В 2013 – 6153 ЖАЛОБ

ПОСТУПИЛО В РОСКОМНАДЗОР)

РИСКИ ОСТАВЛЕНИЯ БЕЗ ВНИМАНИЯ

15.04.2023

Год Всего проверок Всего проверок по ПД

Проверки по СПб

2015 2650 1223 30

2014 2873 1308 30

35

ЧТО НУЖНО ПРЕДПРИНЯТЬ ДО 1.9.2015?ТАКИМ ОБРАЗОМ, С УЧЕТОМ

НОВЫХ ПОПРАВОК В 152-ФЗ И 149-ФЗ

РИСКИ РЕАЛЬНЫ И РЕКОМЕНДУЕМ СОСТАВИТЬ И ИПМЛЕМЕНТИРОВАТЬ ПЛАН

НЕОБХОДИМЫХ МЕРОПРИЯТИЙ, НАПРАВЛЕННЫХ НА

СОБЛЮДЕНИЕ ЗАКОНОДАТЕЛЬСТВА О

ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

15.04.2023

15. HUHTIKUUTA 2023

36

PASSION FOR RESULTS