Закон
«О персональных данных»
практика применения
г. Москва,
2012г.

Мифы, заблуждения,
типичные ошибки
Наша компания не обрабатывает ПД, а
значит ФЗ-152 нас не касается !

Федеральный закон №152-ФЗ
О персональных данных
Статья 3:
Персональные данные – любая информация,
относящаяся к прямо или косвенно
определенному или определяемому
физическому лицу (субъекту персональных
данных)

Обработка
персональных данных
- Это любые действия с
персональными данными
(сбор, хранение, уничтожение
и т.д.)
- Разрешается с согласия
гражданина
- Разрешается после
проведения организационно-
технических мероприятий по
защите информационных
систем с персональными
данными (ИСПДн)

Согласие
Согласие – в любой форме позволяющей подтвердить факт
законного его получения (ст.9, ч.1)
Письменное согласие субъекта ПД на бумажном носителе
(= электронный документ с ЭЦП)
необходимо лишь в особенных случаях
Статья 5 ФЗ -152 (Принципы обработки ПД) запрещает
оператору обработку избыточных персональных данных
относительно к целям, заявленным при сборе
персональных данных и не дольше , чем это требуют цели
обработки.
Обязанность предоставить доказательство законности
обработки ПД возложена на ОПЕРАТОРА

Контрольно-надзорные
органы
 Роскомнадзор России
 Федеральная служба по техническому
и экспортному контролю (ФСТЭК
России)
 ФСБ России

Перспективы
Ещё «вчера»:
 Приведение ИСПДн операторов в
соответствие с требованиями
законодательства РФ
Уже «завтра»:
 Ужесточение ответственности оператора за
нарушения Закона
 Изменения в Закон (возможные и ожидаемые)
 Либерализация требований по организации
технической защиты ИСПДн.

Наказание
Как есть сегодня:
КоАП: Срок давности 3 месяца
Штраф - для граждан – 500 руб.
- для должностных лиц – 1.000 руб.
- для юридических лиц – до 10.000 руб.
УК РФ: штраф до 200.000 руб.
или обязательные работы до 180 час.,
или исправительные работы до 1 года
или арест на срок до 4 месяцев.

Ужесточение
ответственности
Изменения в Кодекс об Административных
правонарушениях:
 увеличение срока давности за нарушения
законодательства в области персональных данных
 Увеличение размеров штрафов
Изменения в Уголовный Кодекс
 Уголовная ответственность руководителя предприятия за
незаконную обработку персональных данных
Резюме: изменения законодательства не учитывают
последствия незаконной обработки персональных данных и
ущерб причинённый гражданину незаконными действиями
оператора

Инициативы
Роскомнадзора
Как может быть:
Проект федерального закона «О внесении изменений в Кодекс
Российской Федерации об административных
правонарушениях» (доработанный), направленный на
совершенствование законодательства Российской Федерации
в сфере защиты прав субъектов персональных данных
(разработчик акта: Роскомнадзор)
Публичное обсуждение с 12 по 25 сентября
на сайте Минэкономразвития (Департамент оценки
регулирующего воздействия):
http://www.economy.gov.ru/minec/about/structure/depregulatinginfluence/doc2

Наши действия
Изменения в федеральное законодательство в области
персональных данных с учётом сложившейся
европейской практики:
 внедрить европейскую модель при которой
- идентификационные данные разрешается обработывать
при отсутствии возражений
- «чувствительные» данные обработываются только с
согласия (как задача максимум)
 Либерализовать (упростить) требования по организации
технической защиты ИСПДн.
Создание отраслевого стандарта по безопасной
обработке персональных данных в целях продвижения
и продажи товаров, работ и услуг.

Отраслевой стандарт
Общее содержание отраслевых ИС:
- Фамилия, имя, отчество
- Адрес для получения почты и др. контактная информация
- Дата рождения
- Пол
- Иная информация не характеризующая субъекта ПД как личность
Резюме:
А) ИСПДн, обрабатываемые компаниями ДТ, содержат только основные
(идентификационные) персональные данные;
Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют характеризовать
гражданина и не затрагивают его частную жизнь (семейную тайну и т.п.).
В) ИСПДн не нуждаются в специальных технических мерах защиты
(криптография и т.п.) и должны классифицироваться по классификации
ФСТЭК как К3

Отраслевой стандарт
- Это рамочные нормативные документы для обеспечения информационной
безопасности организаций дистанционной торговли.
-Это не только рамочные нормативы для компаний дистанционной торговли,
но и для сервисных компаний, являющиеся обработчиками ИСПДн
(согласно европейским нормам), но причисленные согласно российскому
законодательству также к операторам
Отраслевой стандарт:
1. Универсальная отраслевая модель угроз
2. Требования к безопасности отраслевых ИСПДн
3. Отраслевая методика проверки соответствия требованиям безопасности
ИСПДН
4. Методика реализации требований безопасности отраслевых ИСПДн
5. Типовой отраслевой продукт (коробочное решение) с минимальной
адаптацией для отраслевых предприятий, вкл набор организационно-
технических мероприятий и средств для организации обработки ПД в
информационных системах с учётом требований создаваемого
отраслевого стандарта.

Мифы, заблуждения,
типичные ошибки
 Отраслевой стандарт не обязателен к исполнению
 Регуляторы ничего не понимают в современной
организации безопасности
 Необходимо получить лицензию ФСТЭК и ФСБ для
обработки ПД
 Организация безопасности ИСПДн – это очень дорого

Приглашаем к сотрудничеству!