Презентация Павла Антонова с семинара, организованного компаниями Accountor и Tieto в Москве, 23 июня, на тему "НОВЫЕ ПРАВИЛА ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В РФ"

1. ПОПРАВКИ К ФЕДЕРАЛЬНОМУ ЗАКОНУ
«О ПЕРСОНАЛЬНЫХ ДАННЫХ» .
ПОСЛЕДСТВИЯ ДЛЯ БИЗНЕСА.
PAVELANTONOV,ACCOUNTOR
10.7.2015

2. ОСНОВЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ
ОТНОШЕНИЙ, СВЯЗАННЫХ С ОБРАБОТКОЙ
ПЕРСОНАЛЬНЫХ ДАННЫХ
• Уважение прав и основных свобод человека;
• Необходимость усиления гарантий прав и основных свобод
для всех, и в частности права на уважение частной жизни, с
учетом увеличения трансграничного потока персональных
данных, подвергающихся автоматизированной обработке;
• Приверженность свободе информации независимо от границ;
• Необходимость совмещения фундаментальных ценностей
уважения неприкосновенности личной сферы и свободного
обмена информацией между народами.
10.7.20152

3. МЕЖДУНАРОДНОЕ ЗАКОНОДАТЕЛЬСТВО
• Конвенция о защите физических лиц при автоматизированной
обработке персональных данных (Страсбург, 28 января 1981 г.) (с
изменениями от 15 июня 1999 г.)
Конвенция ратифицирована Федеральным законом от 19.12.2005 г.
№160-ФЗ. Для Российской Федерации данный документ вступил в силу
с 1 сентября 2013 года.
• Дополнительный протокол к Конвенции о защите частных лиц в
отношении автоматизированной обработки данных личного
характера, о наблюдательных органах и трансграничной
передаче информации»
Подписан РФ 13.03.2006. Не ратифицирован. В ближайшее время
планируется рассмотреть вопрос о консолидации контролирующих
органов в соответствии с протоколом.
10.7.20153

4. МЕЖДУНАРОДНОЕ ЗАКОНОДАТЕЛЬСТВО
• Директива Европейского Парламента и Совета
Европейского Союза 95/46/ЕС от 24 октября 1995 г.о защите
физических лиц при обработке персональных данных и о
свободном обращении таких данных (в редакции Регламента
Европейского парламента и Совета ЕС 1882/2003 от 29
сентября 2003 года)
• Директива Европейского Парламента и Совета
Европейского Союза 2002/22/ЕС от 7 марта 2002 г.об
универсальных услугах и правах пользователей в отношении
сетей электронных коммуникаций и услуг (Директива об
универсальных услугах)
• Директива Европейского Парламента и Совета
Европейского Союза 2002/58/ЕС от 12 июля 2002 г.в
отношении обработки персональных данных и защиты
конфиденциальности в секторе электронных средств связи
(Директива о конфиденциальности и электронных средствах
связи)
10.7.20154

5. РОССИЙСКОЕ ЗАКОНОДАТЕЛЬСТВО
• Конституция Российской Федерации (принята на
всенародном голосовании 12 декабря 1993 г.)
• Федеральный закон от 19 декабря 2005 г. №160-ФЗ "О
ратификации Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке
персональных данных"
• Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об
информации, информационных технологиях и о защите
информации" (с последними изменениями от 21 июля
2011 г.)
• Федеральный закон от 27 июля 2006 г. №152-ФЗ "О
персональных данных" (с последними изменениями от 5
апреля 2013 г.)
10.7.20155

6. РОССИЙСКОЕ ЗАКОНОДАТЕЛЬСТВО
• Трудовой кодекс Российской Федерации от 30 декабря 2001
г. № 197-ФЗ (с последними изменениями от 21 июня 2012 г.)
• Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об
электронной подписи"
• Федеральный закон от 12 июня 2002 г. № 67-ФЗ "Об
основных гарантиях избирательных прав и права на участие в
референдуме граждан Российской Федерации"
• Федеральный закон от 7 мая 2013 г. №99-ФЗ "О внесении
изменений в отдельные законодательные акты Российской
Федерации в связи с принятием федерального закона "О
ратификации Конвенции Совета Европы О защите
физических лиц при автоматизированной обработке
персональных данных" и федерального закона "О
персональных данных"
10.7.20156

7. УКАЗЫ ПРЕЗИДЕНТА РОССИИ
• Указ Президента Российской Федерации от 17 марта 2008
года N 351 "О мерах по обеспечению информационной
безопасности Российской Федерации при использовании
информационно-телекоммуникационных сетей
международного информационного обмена"
• Указ Президента Российской Федерации от 30 мая 2005 года
N 609 "Об утверждении Положения о персональных данных
государственного гражданского служащего Российской
Федерации и ведении его личного дела"
• Указ Президента Российской Федерации от 6 марта 1997
года N 188 "Об утверждении перечня сведений
конфиденциального характера"
10.7.20157

8. ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных"
• Постановление Правительства Российской Федерации от 13 июня 2012 г. N
584 "Об утверждении положения о защите информации в платежной
системе"
• Постановление Правительства Российской Федерации от 21 марта 2012 г. N
211 "Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом "О
персональных данных"
• Постановление Правительства Российской Федерации от 4 марта
2010 г. N 125 "О перечне персональных данных, записываемых на
электронные носители информации, содержащиеся в основных документах,
удостоверяющих личность гражданина Российской Федерации, по которым
граждане Российской Федерации осуществляют выезд из Российской
10.7.20158

9. ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ
• Постановление Правительства Российской Федерации от 15 сентября 2008 г.
№687 "Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации"
• Постановление Правительства Российской Федерации от 6 июля 2008 г. №512
"Об утверждении требований к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне
информационных систем персональных данных"
• Постановление Правительства Российской Федерации от 12 декабря
2005 г. N 756 "О представлении Президенту Российской Федерации
предложения о подписании Дополнительного протокола к Конвенции Совета
Европы о защите физических лиц при автоматизированной обработке
персональных данных, касающегося наблюдательных органов и
трансграничной передачи данных"
• Постановление Правительства Российской Федерации от 3 ноября 1994 г.
№1233 "Об утверждении Положения о порядке обращения со служебной
информацией ограниченного распространения в федеральных органах
исполнительной власти"
10.7.20159

10. НПА ФЕДЕРАЛЬНЫХ ОРГАНОВ РФ
• Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября
2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной
службой по надзору в сфере связи, информационных технологий и массовых коммуникаций
государственной функции по осуществлению государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства российской
федерации в области персональных данных»
• Приказ Министерства связи и массовых коммуникаций Российской Федерации от 21
декабря 2011 г. N 346 «Об утверждении Административного регламента Федеральной службы
по надзору в сфере связи, информационных технологий и массовых коммуникаций по
предоставлению государственной услуги «Введение реестра операторов, осуществляющих
обработку персональных данных»
• Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об утверждении требований
о защите информации, содержащейся в информационных системах общего пользования»
• Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных при
их обработке в информационных системах персональных данных…"
10.7.201510

11. ПРИКАЗЫ РОСКОМНАДЗОРА
• Приказ Роскомнадзора от 13 апреля 2011 г. №246 "Об
утверждении Положения об обработке персональных данных в
центральном аппарате Федеральной службы по надзору в сфере
связи, информационных технологий и массовых коммуникаций«
• Приказ Роскомнадзора от 20 июня 2012 г. № 621 «Об
утверждении Положения о Консультативном совете при
уполномоченном органе по защите прав субъектов персональных
данных»
• Положение о Консультативном совете при уполномоченном
органе по защите прав субъектов персональных данных
• Приказ Роскомнадзора от 05 сентября 2013 г. №996 «Об
утверждении требований и методов по обезличиванию
персональных данных»
10.7.201511

12. Статья Нарушение Санкция
КоАП
Статья 5.27
ч. 1. Нарушение
трудового
законодательства и
иных НПА,
содержащих нормы
трудового права
Нарушение трудового
законодательства и иных
НПА, содержащих нормы
трудового права
(положения о ПД)
ШТРАФ:
на должностных лиц –
1 000 – 5 000 руб.
на юридических лиц -
30 000 – 50 000 руб.
Статья 5.27
ч. 4. Нарушение
трудового
законодательства и
иных НПА,
содержащих нормы
трудового права
То же нарушение лицом,
ранее подвергнутым
административному
наказанию за
аналогичное
правонарушение
(положения о ПД)
ШТРАФ:
на должностных лиц –
10 000 – 20 000 руб. или
дисквалификация 1-3
года
на юридических лиц -
50 000 – 70 000 руб.
ОТВЕТСТВЕННОСТЬ
10.7.201512

13. Статья Нарушение Санкция
КоАП
Статья 5.39
Отказ в
предоставлении
информации
Неправомерный отказ в
предоставлении гражданину
информации об обработке
его персональных данных
ШТРАФ:
на должностных
лиц -
1 000 – 3 000 руб.
Статья 13.11
Нарушение порядка
сбора, хранения,
использования или
распространения
информации о
гражданах
(персональных
данных)
Нарушение установленного
законом порядка сбора,
хранения, использования или
распространения
информации о гражданах
(персональных данных)
ШТРАФ:
на должностных
лиц -
500 – 1 000 руб.
на юридических
лиц -
5 000 – 10 000 руб.
ОТВЕТСТВЕННОСТЬ
10.7.201513

14. Статья Нарушение Санкция
КоАП
Статья 13.11.1
Распространение
информации о свободных
рабочих местах или
вакантных должностях,
содержащей ограничения
дискриминационного
характера
(персональных данных)
Распространение
информации о свободных
рабочих местах или
вакантных должностях,
содержащей ограничения
дискриминационного
характера
(персональных данных)
ШТРАФ:
на должностных лиц
– 3 000 – 5 000 руб.
на юридических лиц -
10 000 – 15 000 руб.
Статья 13.12
1. Нарушение правил
защиты информации
Нарушение условий,
предусмотренных
лицензией на
осуществление
деятельности в области
защиты информации
ШТРАФ:
на должностных лиц -
1 500 – 2 500 руб.
на юридических лиц -
15 000 – 20 000 руб.
ОТВЕТСТВЕННОСТЬ
10.7.201514

15. Статья Нарушение Санкция
КоАП
Статья 13.12
2. Нарушение
правил
защиты
информации
Использование
несертифицированных
информационных систем, баз и
банков данных, а также
несертифицированных средств
защиты информации, если они
подлежат обязательной
сертификации
ШТРАФ:
на должностных лиц -
2 500 – 3 000 руб.
на юридических лиц -
20 000 – 25 000 руб. с
конфискацией средств
защиты или без таковой
Статья 13.14
Разглашение
информации
с
ограниченны
м доступом
Разглашение информации
(персональных данных), доступ к
которой ограничен федеральным
законом, лицом, получившим
доступ к такой информации в связи
с исполнением профессиональных
обязанностей
ШТРАФ:
на граждан -
500 – 1 000 руб.
на должностных лиц -
4 000 – 5 000 руб.
ОТВЕТСТВЕННОСТЬ
10.7.201515

16. Статья Нарушение Санкция
КоАП
Статья 19.15
Невыполнение в срок
законного предписания
контролирующего
органа
Невыполнение в срок
законного предписания
Роскомнадзора
ШТРАФ:
на должностных лиц -
1 000 – 2 000 руб.
на юридических лиц -
10 000 – 20 000 руб.
Статья 19.7
Непредставление
сведений
(информации)
Непредставление или
несвоевременное
представление
Уведомления в
Роскомнадзор
ШТРАФ:
на должностных лиц -
300 – 500 руб.
на юридических лиц -
3 000 – 5 000 руб.
ОТВЕТСТВЕННОСТЬ
10.7.201516

17. Статья Нарушение Санкция
УГОЛОВНЫЙ КОДЕКС
Статья 137
1. Нарушение
неприкосновенно
сти частной
жизни
Незаконное собирание или
распространение сведений о
частной жизни лица,
составляющих его личную
или семейную тайну, без его
согласия либо
распространение этих
сведений в публичном
выступлении, публично
демонстрирующемся
произведении или СМИ
ШТРАФ: до 200 000 руб.
либо обязательные
работы от 120 до 180
часов, либо
исправительные работы
до 1 года, либо
принудительные работы
до 2 лет, либо арест до 4
мес.
Статья 137
2. Нарушение
неприкосновенно
сти частной
Те же деяния, совершенные
лицом с использованием
своего служебного положения
ШТРАФ: до 300 000 руб.
либо принудительные
работы до 4 лет, либо
арест до 6 мес., либо
ОТВЕТСТВЕННОСТЬ
10.7.201517

18. Статья Нарушение Санкция
УГОЛОВНЫЙ КОДЕКС
Статья 140
Отказ в
предоставлении
гражданину
информации
Неправомерный отказ
должностного лица в
предоставлении собранных в
установленном порядке
персональных данных
ШТРАФ: до 200 000 руб.
либо зарплата за 18 мес.,
либо лишением права
заниматься
определенной
деятельностью на срок
до 5 лет
Статья 272
Неправомерный
доступ к
компьютерной
информации
Неправомерный доступ к
охраняемой законом
компьютерной информации
(персональные данные)
ШТРАФ: до 200 000 руб.
либо лишение свободы до
2 лет (часть 1) +
квалифицированные
составы с более строгой
санкцией
ОТВЕТСТВЕННОСТЬ
10.7.201518

19. Статья Нарушение Санкция
ТРУДОВОЙ КОДЕКС
Статья 81
Расторжение
трудового договора
по инициативе
работодателя
Разглашение
персональных данных
другого работника
Расторжение трудового
договора по инициативе
работодателя
Статья 238
Материальная
ответственность
работника за ущерб,
причиненный
работодателю
Работник обязан
возместить работодателю
причиненный ему прямой
действительный ущерб
Работник обязан
возместить
работодателю
причиненный ему
прямой действительный
ущерб
ОТВЕТСТВЕННОСТЬ
10.7.201519

20. ПЕРСОНАЛЬНЫЕ ДАННЫЕ.
ДЕФИНИЦИИ. КАТЕГОРИИ.
Персональные данные - любая информация,
относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту
персональных данных)
Персональные данные: ФИО, место рождения, год
рождения, месяц рождения, семейное положение,
имущественное положение, профессия, адрес,
социальное положение, образование, доходы
10.7.201520

21. ПЕРСОНАЛЬНЫЕ ДАННЫЕ.
ДЕФИНИЦИИ. КАТЕГОРИИ.
Специальные категории персональных данных:
расовая принадлежность, политические взгляды,
философские убеждения, состояние интимной
жизни, национальная принадлежность, религиозные
убеждения, состояние здоровья
Биометрические персональные данные: сведения,
которые характеризуют биологические и
физиологические особенности человека, на
основании которых можно установить его личность
10.7.201521

22. ИНФОРМАЦИОННЫЕ СИСТЕМЫ
1. ИС, обрабатывающая ПД сотрудников оператора
2. ИС, обрабатывающая ПД НЕ сотрудников оператора
2.1. ИС, обрабатывающая специальные категории ПД
2.2. ИС, обрабатывающая биометрические ПД
2.3. ИС, обрабатывающая общедоступные ПД
10.7.201522

23. БЕЗ УВЕДОМЛЕНИЯ РОСКОМНАДЗОРА
 ПД сотрудников компании в соответствии с ТК
 ПД, полученные оператором в связи с
заключением договора, стороной которого является
субъект ПД (ПД не распространяются и не
передаются третьим лицам)
 ПД, представляющие только ФИО
 ПД, необходимые для однократного пропуска
 ПД, обрабатываемые без использования средств
автоматизации
10.7.201523

24. НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ
Изменения в ФЗ от 27.07.2006 г. №149-ФЗ
«Об информации, информационных
технологиях и о защите информации»
Статья 15.5. Порядок ограничения доступа к
информации, обрабатываемой с нарушением
законодательства Российской Федерации в
области персональных данных
10.7.201524

25. НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ
В целях ограничения доступа к информации в
сети "Интернет", обрабатываемой с нарушением
законодательства в области ПД,
Роскомнадзором создается автоматизированная
информационная система "Реестр нарушителей
прав субъектов персональных данных».
ВНИМАНИЕ: в Реестр попадают
только по решению суда
10.7.201525

26. НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ
В реестре нарушителей:
1) доменные имена и (или) указатели страниц сайтов в
сети "Интернет", содержащих ПД с нарушением закона;
2) сетевые адреса, позволяющие идентифицировать
сайты в сети "Интернет", содержащие ПД,
обрабатываемые с нарушением закона;
3) указание на вступивший в законную силу судебный акт;
4) информация об устранении нарушения;
5) дата направления операторам связи данных об
информационном ресурсе для ограничения доступа к
этому ресурсу.
10.7.201526

27. НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ
ВКЛЮЧЕНИЕ САНКЦИИ – ОГРАНИЧЕНИЕ
ДОСТУПА К ИНФОРМАЦИОННОМУ
РЕСУРСУ
 В теч. 3 раб. дней со дня получения решения суда
Роскомнадзор направляет провайдеру уведомление на рус.
и англ. яз. о нарушении
 В теч. 1 раб. дня провайдер информирует владельца
ресурса
 В теч. 1 раб. дня владелец инф. ресурса обязан принять
меры
В случае непринятия мер ДОСТУП МОЖЕТ БЫТЬ
ОГРАНИЧЕН
10.7.201527

28. НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ
Изменения в ФЗ от 27.07.2006 г. №149-ФЗ «Об
информации, информационных технологиях и о
защите информации»
Статья 16. Обладатель информации, оператор
информационной системы обязаны обеспечить
нахождение на территории России баз данных
информации, с использованием которых
осуществляются сбор, запись, систематизация,
накопление, хранение, уточнение (обновление,
изменение), извлечение персональных данных
граждан Российской Федерации.
10.7.201528

29. НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ
Изменения в ФЗ от 27.07.2006 года №152-ФЗ "О
персональных данных«
Статья 18. При сборе персональных данных, в
том числе посредством информационно-
телекоммуникационной сети "Интернет",
оператор обязан обеспечить запись,
систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение
персональных данных граждан Российской
Федерации с использованием баз данных,
находящихся на территории Российской
Федерации.
10.7.201529

30. НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ
Изменения в ФЗ от 27.07.2006 года №152-ФЗ “О
персональных данных”
Статья 22. Уведомление в Роскомнадзор должно
содержать следующие новые сведения:
сведения о месте нахождения базы
данных информации, содержащей
персональные данные граждан
Российской Федерации
.
10.7.201530

31. НОВЕЛЛЫ 1 СЕНТЯБРЯ 2015, ФЗ №242-ФЗ
Изменения в ФЗ от 27.07.2006 года №152-ФЗ “О
персональных данных”
Статья 23. Роскомнадзор наделяется новым
полномочием:
ограничивать доступ к информации,
обрабатываемой с нарушением
законодательства РФ в области
персональных данных, в порядке,
установленном законодательством РФ
10.7.201531

32. ЧТО НУЖНО ПРЕДПРИНЯТЬ ДО 1.9.2015?
ЮРИДИЧЕСКАЯ РАБОТА:
1. Уведомить Роскомнадзор, включая сведения о
месте нахождения базы данных, содержащей ПД
2. Проверить текущее состояние документации по
152-ФЗ и 242-ФЗ и устранить недостатки,
включая:
Назначение ответственного лица, подготовка формы
согласия (различные лица – партнеры, сотрудники,
кандидаты и т.д.), подготовка локальных актов, политик,
процедур, подготовка доп. соглашений к действующим
договорам разной природы, внутренний аудит процессов
10.7.201532

33. ЧТО НУЖНО ПРЕДПРИНЯТЬ ДО 1.9.2015?
ТЕХНИЧЕСКАЯ РАБОТА:
РАЗРАБОТКА И ВНЕДРЕНИЕ НЕОБХОДИМЫХ
ИНСТРУКЦИЙ И ТЕХНИЧЕСКИХ РЕШЕНИЙ,
НАПРАВЛЕННЫХ НА ЛОКАЛИЗАЦИЮ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИЦ,
ЯВЛЯЮЩИХСЯ ГРАЖДАНАМИ РОССИИ
10.7.201533

34. 1. ПЛАНОВАЯ ПРОВЕРКА РОСКОМНАДЗОРА
2. НЕПЛАНОВЫЕ ПРОВЕРКИ (клиенты, поставщики, конкуренты)
3. ПРОВЕРКИ ПО ОБРАЩЕНИЯМ СОТРУДНИКОВ – САМЫЙ ВЫСОКИЙ
УРОВЕНЬ РИСКА (В 2013 – 6153 ЖАЛОБ ПОСТУПИЛО В
РОСКОМНАДЗОР)
РИСКИ ОСТАВЛЕНИЯ БЕЗ ВНИМАНИЯ
10.7.201534
Год Всего проверок Всего проверок по
ПД
Проверки по СПб
2015 2650 1223 30
2014 2873 1308 30

35. ЧТО НУЖНО ПРЕДПРИНЯТЬ ДО 1.9.2015?
ТАКИМ ОБРАЗОМ, С УЧЕТОМ НОВЫХ
ПОПРАВОК В 152-ФЗ И 149-ФЗ
РИСКИ РЕАЛЬНЫ И РЕКОМЕНДУЕМ
СОСТАВИТЬ И ИПМЛЕМЕНТИРОВАТЬ
ПЛАН НЕОБХОДИМЫХ
МЕРОПРИЯТИЙ, НАПРАВЛЕННЫХ НА
СОБЛЮДЕНИЕ ЗАКОНОДАТЕЛЬСТВА
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ
10.7.201535

36. 10/7/1536
PASSION FOR RESULTS