Документ содержит обзор законодательства РФ в области защиты прав субъектов персональных данных, включая ключевые федеральные законы и нормативно-правовые акты. Основное внимание уделяется правам субъектов данных, обязанностям операторов по обеспечению безопасности и конфиденциальности персональных данных, а также потенциальным нарушениям и последствиям несоответствия требованиям. Особое внимание также уделяется целям обработки данных и роли органов, осуществляющих контроль за соблюдением законодательства.

1. Управление Роскомнадзора по Ульяновской области
Законодательство в области защиты прав субъектов
персональных данных

2. ЮРИДИЧЕСКИЙ
АСПЕКТ

3. Основные нормативно-правовые акты
Директивы Европейского
Конвенция Совета
парламента и Совета
Европы от 28.01.81
Европейского союза
N 152-ФЗ
«О персональных данных»
от 27.07.2006 г.
ППРФ-687 ППРФ-781
..об особенностях ..без Положение об
использования средств обеспечении
автоматизации безопасности ПДн ..
Приказ N 55/86/20
Базовая модель угроз Методические рекомендации
Порядок проведения
безопасности ПДн при их по обеспечению с помощью
классификации
обработке в ИСПДн (ФСТЭК) криптосредств.. (8 Центр ФСБ
ИСПДн
России)
Типовые требования по
Приказ Приказ ФСТЭК №58
организации и обеспечению
Роскомнадзора № 482 «.. положение о методах и
функционирования
от 16.07.10г. «Об способах защиты
шифровальных
утверждении образца информации в ИСПДн»
(криптографических)
формы уведомления
средств .. (8 Центр ФСБ
об обработке ПДн»
России)

4. Основные положения Федерального Закона от 27.07.06г. №152-ФЗ 4
«О персональных данных» (вступил в силу с 26 января 2007 г.)
Целью Федерального закона является обеспечение защиты прав и свобод
человека и гражданина при обработке его персональных данных, в том числе
защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
• «Каждый имеет право на неприкосновенность частной
жизни, личную и семейную тайну, защиту своей чести и
доброго имени»
• «Каждый имеет право на тайну переписки,
телефонных переговоров, почтовых, телеграфных и
иных сообщений. Ограничение этого права допускается
только на основании судебного решения»
• «Сбор, хранение, использование и распространение
информации о частной жизни лица без его согласия не
допускаются»
• «Органы государственной власти и органы местного
самоуправления, их должностные лица обязаны
обеспечить каждому возможность ознакомления с
документами и материалами, непосредственно
затрагивающими его права и свободы, если иное не
предусмотрено законом»

5. Федеральный Закон «О защите персональных данных» 5
Сфера действия Закона
Федеральные органы Центральные аппараты, территориальные органы
государственной власти федеральных органов исполнительной власти
Исполнительные органы Правительства и Администрации субъектов РФ, их
государственной власти структурные подразделения
субъектов РФ
Государственные ГУПы, в т.ч. Центры занятости населения
органы
Органы местного ОМСУ всех уровней
самоуправления
Больницы, детские сады, коммунальные службы
Муниципальные органы и др.
Коме того, действия закона распространяются и на:
Организации различных форм собственности, общественные
организации, физические лица
Любая организация – оператор персональных данных

6. Основные положения Федерального Закона от 27.07.06г. №152-ФЗ
6
«О персональных данных»
Сфера действия Закона
Федеральным законом регулируются отношения, связанные с обработкой
персональных данных… с использованием средств автоматизации или без
использования таких средств, если обработка персональных данных без
использования таких средств соответствует характеру действий (операций),
совершаемых с персональными данными с использованием средств
автоматизации
Действие Федерального закона не распространяется на отношения,
возникающие при:
обработке ПДн физическими лицами исключительно для личных и семейных
нужд, если при этом не нарушаются права субъектов персональных данных;
обработке ПДн документов Архивного фонда РФ и других архивных документов в
соответствии с законодательством об архивном деле в Российской Федерации;
обработке сведений о физических лицах, подлежащих включению в в ЕГРИП,
если такая обработка осуществляется в связи с деятельностью физического лица
в качестве индивидуального предпринимателя;
обработке персональных данных, отнесенных в установленном порядке к
сведениям, составляющим государственную тайну.

7. Основные понятия Закона 7
Персональные данные — любая информация, относящаяся к
определенному или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том числе его
фамилия, имя, отчество, год, месяц, дата и место рождения, адрес,
семейное, социальное, имущественное положение, образование,
профессия, доходы, другая информация
Обработка персональных данных - действия (операции) с
персональными данными, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование,
распространение (в том числе передачу), обезличивание, блокирование,
уничтожение персональных данных
Оператор – это государственный орган, муниципальный орган,
юридическое и физическое лицо, организующие и (или)
осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных данных.

8. Принципы обработки персональных данных 8
законность целей и способов обработки персональных данных и
добросовестности;
соответствие целей обработки персональных данных целям, заранее
определенным и заявленным при сборе персональных данных, а также
полномочиям оператора;
соответствие объема и характера обрабатываемых персональных данных,
способов обработки персональных данных целям обработки персональных
данных;
достоверность персональных данных, их достаточность для целей
обработки, недопустимость обработки персональных данных, избыточных
по отношению к целям, заявленным при сборе персональных данных;
недопустимость объединения созданных для несовместимых между собой
целей баз данных информационных систем персональных данных;
хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем
этого требуют цели их обработки, и они подлежат уничтожению по
достижении целей обработки или в случае утраты необходимости в их
достижении.

9. Конфиденциальность персональных данных
9
Операторами и третьими лицами, получающими доступ к
персональным данным, должна обеспечиваться
конфиденциальность таких данных
Меры по охране конфиденциальности персональных данных, принимаемые оператором,
должны включать в себя:
определение перечня персональных данных, переданных оператору для обработки и
включенных в число сведений конфиденциального характера;
ограничение доступа к персональным данным путем установления порядка обращения с
этой информацией и контроля за соблюдением такого порядка;
учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц,
которым такая информация была предоставлена или передана;
регулирование отношений по использованию персональных данных работниками оператора на основании
трудовых договоров и контрагентами на основании гражданско-правовых договоров;
применение мер технической защиты информации.
Меры по охране конфиденциальности персональных данных, понимаются разумно
достаточными, когда
исключается доступ к обрабатываемым персональным данным любых лиц без согласия их
обладателя;
обеспечивается возможность использования обрабатываемых персональных данных работниками
оператора и передачи ее контрагентам без нарушения установленного режима защиты.

10. Меры по обеспечению безопасности персональных данных 10
при их обработке
Оператор при обработке персональных данных обязан принимать
необходимые организационные и технические меры, в том числе
использовать шифровальные (криптографические) средства:
от неправомерного или случайного доступа к ним
уничтожения изменения блокирования копирования
распространения персональных данных
распространения от иных неправомерных действий
Права и свободы человека и гражданина не могут быть ограничены по мотивам,
связанным с использованием различных способов обработки персональных данных
или обозначения принадлежности персональных данных, содержащихся в
государственных или Контроль и надзор за выполнением требований, установленных
Правительством Российской Федерации в соответствии с частью 2 настоящей статьи,
осуществляются федеральным органом исполнительной власти, уполномоченным в
области обеспечения безопасности, и федеральным органом исполнительной власти,
уполномоченным в области противодействия техническим разведкам и технической
защиты информации, в пределах их полномочий и без права ознакомления с
персональными данными, обрабатываемыми в информационных системах
персональных данных.информационных системах персональных данных

11. Уведомление об обработке персональных данных 11
Оператор до начала обработки персональных данных обязан уведомить
уполномоченный орган по защите прав субъектов персональных данных о своем
намерении осуществлять обработку персональных данных, за исключением случаев
обработки таких данных:
относящихся к субъектам персональных данных, которых связывают с оператором трудовые
отношения
полученных оператором в связи с заключением договора, стороной которого является субъект
персональных данных, если персональные данные не распространяются, а также не
предоставляются третьим лицам без согласия субъекта персональных данных и используются
оператором исключительно для исполнения указанного договора и заключения договоров с
субъектом персональных данных
являющихся общедоступными персональными данными
включающих в себя только фамилии, имена и отчества субъектов персональных данных
необходимых в целях однократного пропуска субъекта персональных данных на территорию, на
которой находится оператор, или в иных аналогичных целях
необходимых в целях однократного пропуска субъекта персональных данных на территорию, на
которой находится оператор, или в иных аналогичных целях
включенных в информационные системы персональных данных, имеющие в соответствии с
федеральными законами статус федеральных автоматизированных информационных систем, а
также в государственные информационные системы персональных данных, созданные в целях
защиты безопасности государства и общественного порядка
обрабатываемых без использования средств автоматизации

12. Формулирование цели обработки ПДн
Цель обработки необходимо формулировать особенно тщательно, так как она
определяет:
- законность обработки;
- соответствие цели заявленной при сборе (указывается в согласии) цели
обработки;
- необходимый состав персональных данных;
- сроки хранения персональных данных в ИСПДн;
«В поле «Цель обработки персональных данных» указываются цели
обработки персональных данных (а так же их соответствие
полномочиям оператора ).
Под «целью обработки персональных данных» понимаются как цели,
указанные в учредительных документах оператора, так и цели
фактически осуществляемой оператором деятельности по
обработке персональных данных».
(Приказ Россвязькомнадзора от 17 июля 2008 г. №08 «Об утверждении
образца формы уведомления об обработке персональных данных»)

13. Проработка юридических вопросов
1. Формулирование целей обработки персональных данных.
2. Правовое основание обработки персональных данных. (Наличие ФЗ,
устанавливающего цель, условия получения ПДн, круг субъектов
ПДн, полномочия оператора.
3. Необходимость получения согласия, в том числе – на передачу
третьим лицам.
4. Форма получения согласия.
5. Правовые акты, определяющие срок хранения персональных
данных.
6. Определение перечня 3-х лиц, оснований, порядка, перечня ПДн,
передаваемых 3-м лицам.
7. Разработка формы договоров при передаче ПДн.
8. Заключение соглашений со своими сотрудниками о неразглашении
ПДн.

14. Права субъектов персональных данных
• Право решать когда, кому и какие данные предоставлять
• Контролировать как обрабатываются и кому передаются его ПДн
• Требовать уточнения своих персональных данных
• Требовать блокирования или уничтожения своих персональных данных
В каких случаях согласие должно быть в письменной форме?
• при включении персональных данных для информационного обеспечения в
общедоступные источники (в том числе справочники, адресные книги) –
ст.8.1;
• при обработке специальных категорий персональных данных – ст. 10.2, п.1;
• при обработке биометрических персональных данных – ст. 11.1;
• при трансграничной передаче персональных данных – ст. 12.3 п.1;
• в случае, когда решение, порождающее юридические последствия в
отношении субъекта персональных данных или иным образом
затрагивающее его права и законные интересы, принимается на основании
исключительно автоматизированной обработки его персональных данных –
ст. 16.2;
• в случаях прямо предусмотренных иными федеральными законами
(например, ст. 88ТК РФ, ст. 53 Закона «О связи»)

15. Основные обязанности операторов ИСПДн
• принимать необходимые организационные и технические меры для
защиты персональных данных;
• предоставлять субъекту информацию об обрабатываемых ПДн:
• по запросу субъекта (ст. 14 ч. 4 152-фз);
• при начале обработки данных, полученных у 3-х лиц (кроме
обработки на основе ФЗ или общедоступных ПДн) (ст. 18 ч. 3 152-фз);
• блокировать ПДн если они недостоверны или при неправомерных
действиях с ПДн;
• прекратить обработку, уничтожить соответствующие ПДн, и уведомить
субъекта в случаях отзыва согласия или достижения цели обработки;
• уведомить субъекта об устранении нарушений или об уничтожении ПДн,
если устранить невозможно;
• подать уведомление об обработке в Роскомнадзор;
•Привести в соответствие с требованиями закона информационные
системы персональных данных не позднее 01.01.2011

16. Реальная защита или формальное выполнение требований
Возможные линии поведения операторов:
1. Игнорирование требования законодательства
Возможные негативные последствия:
- Гражданско-правовые иски со стороны клиентов и работников
- Принудительное приостановление или прекращение обработки ПДн в
компании
- Привлечение компании и (или) ее руководителя к административной или
иным видам ответственности
- Приостановление деятельности или аннулирование лицензии (при
определенных условиях)
- Репутационные риски
- Риски недобросовестной конкуренции
2. Формальное выполнение требований (занижение класса ИСПДн,
упрощение описания системы)
Во время проверки легко выявляется «упрощения», негативные последствия
могут быть те же, что в п. 1
3. Создание реальной системы защиты
Достоинства:
- Устранение недостатков п. 1
- Персональные данные могут быть одновременно коммерческой тайной
- Наведение порядка, документирование системы, как следствие, уменьшается
зависимость от отдельных сотрудников.

17. Типовые нарушения в области персональных данных 17
Отсутствие у оператора (в учреждении, организации, на предприятии и т.д.) Положения об обеспечении
информационной безопасности (персональных данных).
Отсутствие Приказа руководителя о назначении должностных лиц ответственных за обеспечение безопасности
информации (персональных данных).
Отсутствие согласия (в письменной форме) субъектов персональных данных (сотрудников учреждений, работников
организаций, абонентов, клиентов и т.д.) на обработку их персональных данных (передачу персональных
данных третьим лицам - территориальным органам (учреждениям) федеральной налоговой службы,
пенсионного и социального обеспечения, учреждения медицинского страхования, в районные военные
комиссариаты и другие органы исполнительной власти субъектов Российской Федерации).
Отсутствие списка лиц, допущенных к работе с персональными данными, утвержденных установленным порядком
(списки лиц, допущенных к работе с персональными данными в информационных системах (с учетом
программистов, администраторов ИСПДн), не утверждены оператором (Руководителем) или
уполномоченным им лицом).
Отсутствие списка лиц, допущенных в помещение, где обрабатываются персональные данные работников
организаций, абонентов, клиентов и т.д. (помещения бухгалтерии, инспектора по кадрам, серверная, …),
утвержденных установленным порядком (списки лиц, допущенных к работе с персональными данными в
информационных системах (с учетом программистов, администраторов ИСПДн), не утверждены
оператором (Руководителем) или уполномоченным им лицом).
В трудовых договорах и должностных инструкциях работников, ответственных за обеспечение безопасности
персональных данных и допущенных к обработке персональных данных отсутствуют обязанности по
обеспечению безопасности (конфиденциальности) персональных данных, не указаны полномочия и
ответственность в области обработки персональных данных.
Дела работников (субъектов персональных данных, в том числе и уволенных после прекращения трудовых
отношений) хранятся в шкафах, не закрывающихся на замок. Документы установленным порядком
своевременно в архивы не передаются. В сейфах вместе с трудовыми книжками работников хранятся
документы (пропуска) уволенных работников, уничтожение их установленным порядком не организовано.
Отсутствие журнала учета письменных обращений граждан РФ, подлежащих обязательной регистрации в течение
трех дней с момента поступления в государственный орган, орган местного самоуправления или должностному
лицу.
Отсутствие журнала учета выданных выписок (копий) из документов, содержащих персональные данные
работников (сотрудников).
Содержание электронного журнала обращений периодически не проверяется соответствующими должностными
лицами (работниками) оператора или уполномоченного им лица, меры по устранению недостатков
своевременно не принимаются.
Результаты классификации информационных систем не оформлены актом оператора.
Отсутствие журнала учета мероприятий по контролю.

18. Ответственность за несоблюдение законодательства
Статья Вид нарушения Ответственность
КоАП Нарушение установленного Штраф на должностных лиц - от
ст. 13.11 законом порядка сбора, хранения, пятисот до одной тысячи рублей;
использования или
распространения информации о на юридических лиц - от пяти тысяч
гражданах (персональных данных) до десяти тысяч рублей
-
КоАП Использование Штраф на должностных лиц - от
ч. 2 несертифицированных одной тысячи до двух тысяч рублей;
информационных систем, баз и
ст. 13.12
банков данных, а также на юридических лиц - от десяти
несертифицированных средств тысяч до двадцати тысяч рублей с
защиты информации, если они конфискацией
подлежат обязательной несертифицированных средств
сертификации (за исключением защиты информации или без
средств защиты информации, таковой.
составляющей государственную
тайну)

19. Ответственность за несоблюдение законодательства
Статья Вид нарушения Ответственность
КоАП Занятие видами деятельности в Штраф на должностных лиц - от
ч. 1 области защиты информации (за двух тысяч до трех тысяч рублей с
исключением информации, конфискацией средств защиты
ст. 13.13
составляющей государственную тайну) информации или без таковой;
без получения в установленном
порядке специального разрешения на юридических лиц - от десяти
(лицензии), если такое разрешение тысяч до двадцати тысяч рублей с
(такая лицензия) в соответствии с конфискацией средств защиты
федеральным законом обязательно информации или без таковой.
(обязательна)
КоАП Разглашение информации, доступ к штрафа на должностных лиц - от
ст. 13.14 которой ограничен федеральным четырех тысяч до пяти тысяч
законом (за исключением случаев, рублей
если разглашение такой информации
влечет уголовную ответственность),
лицом, получившим доступ к такой
информации в связи с исполнением
служебных или профессиональных
обязанностей

20. Ответственность за несоблюдение законодательства
Статья Вид нарушения Ответственность
КоАП Невыполнение в установленный срок штраф на должностных лиц - от
ч. 1 законного предписания одной тысячи до двух тысяч
(постановления, представления, рублей или дисквалификацию на
ст. 19.5
решения) органа (должностного лица), срок до трех лет;
осуществляющего государственный на юридических лиц - от десяти
надзор (контроль), об устранении тысяч до двадцати тысяч рублей
нарушений законодательства
КоАП Невыполнение в установленный срок штраф на должностных лиц в
ч. 2 законного предписания, решения размере от пяти тысяч до десяти
органа, уполномоченного в области тысяч рублей или
ст. 19.5
экспортного контроля, его дисквалификацию на срок до трех
территориального органа лет;
на юридических лиц - от двухсот
тысяч до пятисот тысяч рублей

21. Ответственность за несоблюдение законодательства
Статья Вид нарушения Ответственность
УК РФ Незаконное собирание или наказываются штрафом в размере
ч. 1 распространение сведений о частной до двухсот тысяч рублей или в
жизни лица, составляющих его личную размере заработной платы или
ст. 137
или семейную тайну, без его согласия иного дохода осужденного за
либо распространение этих сведений в период до восемнадцати месяцев,
публичном выступлении, публично либо обязательными работами на
демонстрирующемся произведении срок от ста двадцати до ста
или средствах массовой информации восьмидесяти часов, либо
исправительными работами на
срок до одного года, либо арестом
на срок до четырех месяцев, либо
лишением свободы на срок до
двух лет с лишением права
занимать определенные
должности или заниматься
определенной деятельностью на
срок до трех лет

22. Ответственность за несоблюдение законодательства
Статья Вид нарушения Ответственность
УК РФ Незаконное собирание или наказываются штрафом в размере
ч. 2 распространение сведений о частной от ста тысяч до трехсот тысяч
жизни лица, составляющих его личную рублей или в размере заработной
ст. 137
или семейную тайну, без его согласия платы или иного дохода
либо распространение этих сведений в осужденного за период от одного
публичном выступлении, публично года до двух лет, либо лишением
демонстрирующемся произведении права занимать определенные
или средствах массовой информации с должности или заниматься
использованием своего служебного определенной деятельностью на
положения срок от двух до пяти лет, либо
арестом на срок от четырех до
шести месяцев, либо лишением
свободы на срок от одного года
до четырех лет с лишением права
занимать определенные
должности или заниматься
определенной деятельностью на
срок до пяти лет

23. Ответственность за несоблюдение законодательства
Статья Вид нарушения Ответственность
УК РФ Неправомерный отказ должностного наказываются штрафом в размере
ст. 140 лица в предоставлении собранных в до двухсот тысяч рублей или в
установленном порядке документов и размере заработной платы или
материалов, непосредственно иного дохода осужденного за
затрагивающих права и свободы период до восемнадцати месяцев
гражданина, либо предоставление либо лишением права занимать
гражданину неполной или заведомо определенные должности или
ложной информации, если эти деяния заниматься определенной
причинили вред правам и законным деятельностью на срок от двух до
интересам граждан пяти лет
УК РФ Неправомерный доступ к охраняемой наказывается штрафом в размере
ч. 1 законом компьютерной информации, то до двухсот тысяч рублей или в
есть информации на машинном размере заработной платы или
ст. 272
носителе, в электронно- иного дохода осужденного за
вычислительной машине (ЭВМ), период до восемнадцати месяцев,
системе ЭВМ или их сети, если это либо исправительными работами
деяние повлекло уничтожение, на срок от шести месяцев до
блокирование, модификацию либо одного года, либо лишением
копирование информации, нарушение свободы на срок до двух лет
работы ЭВМ, системы ЭВМ или их сети

24. Тенденции законодательства
1. «Законопроект Резника» - поправки к 152-ФЗ. Основные моменты:
- Соглашение (об обработке ПДн) может быть заключено в устной
форме или посредством совершения конклюдентных действий, либо
путем акцепта субъектами ПДн условий договора, оферта которого
предложена оператором.
- Необязательность письменного соглашения в случаях:
трансграничной передачи, обработки специальных категорий ПДн,
обработки исключительно автоматизированным способом с
юридическими последствиями для субъекта ПДн.
2. Парламентские слушания (октябрь 2009 г.) критика документов
ФСБ за излишнюю строгость в отношении применения только
сертифицированной криптографии.
3. Появление отраслевых стандартов (финансовые организации
(СТО БР РС), операторы связи (НИР Тритон), Рособразование,
Минздравсоцразвития).
4. Предоставление прав доступа к ПДн судебным приставам.