ООО «ЮрСпектр» 24.11.2021 провело аудиториум ilex на тему «Новые требования законодательства в области защиты персональных данных». В качестве лектора выступил Кирилл Шафеев, ассоциированный партнер ООО «Юридическая компания ЮКОН», руководитель направления «Privacy & Data Protection». Он подробно рассказал об источниках правового регулирования защиты персональных данных, общих требованиях к их обработке, о субъектном составе.
1. Правовое регулирование защиты персональных данных
1. Закон от 10.11.2008 N 455-З «Об информации, информатизации и защите информации», который устанавливает:
— понятие информационной системы;
— роль и задачи Оперативно-аналитического центра (регулирование и контроль технической и криптографической защиты информации, регулирование межведомственных и информационных систем и т.д.);
— виды информации (общедоступная; ограниченного распространения и (или) предоставления);
— правовой режим персональных данных и служебной информации;
— требования и меры по защите информации (ст. 1, 12, 15, 18, 18-1, гл. 7 Закона от 10.11.2008 N 455-З «Об информации, информатизации и защите информации»).
2. Закон от 07.05.2021 N 99-З «О защите персональных данных» (далее — Закон N 99-З).
3. Указ от 28.10.2021 N 422 «О мерах по совершенствованию защиты персональных данных» (далее — Указ N 422).
4. Приказы Оперативно-аналитического центра:
— от 12.03.2020 N 77 «О подтверждении соответствия средств защиты информации»;
— от 05.02.2021 N 22 «О наделении полномочиями на составление протоколов об административных правонарушениях, подготовку дел об административных правонарушениях к рассмотрению»;
— от 12.11.2021 N 194 «Об обучении по вопросам защиты персональных данных», устанавливающий обязательный перечень организаций, работники которых должны обучаться в рамках Национального центра по защите персональных данных (далее — НЦЗПД);
— от 12.11.2021 N 195 «О технической и криптографической защите персональных данных», который определяет классы информационных систем, перечень требований к системам защиты информации, методы обезличивания данных и т.д.
2. Субъектный состав
2.1. Субъект персональных данных
Субъект персональных данных — это:
1) физическое лицо, персональные данные которого обрабатываются;
2) идентифицированное физическое лицо или лицо, которое можно идентифицировать (абз. 9, 13, 17 ст. 1 Закона N 99-З).
Определенный субъект персональных данных — конкретное лицо, выделяемое из группы лиц. Прямая идентификация — возможность прямо идентифицировать лицо. Косвенная идентификация — возможность при неизвестности характеристик физического лица выделить его из группы других лиц по некоторым известным фактам (например, по имени и месту работы).
Субъект персональных данных имеет право:
— на отзыв согласия;
— доступ и получение информации об обработке персональных данных;
— изменение персональных данных;
— получение информации о передаче данных;
— прекращение обработки данных (их удаление);
— обжалование действий (бездействия) оператора (ст. 10 — 13, 15 Закона N 99-З).
2.2. Оператор и уполномоченное лицо
Обязанности оператора:
— разъяснение субъектам персональных данных определенной информации;
— получение согласия субъекта персональных данных или обеспечение иного правового основания обработки данных;
— обеспечение мер по защите персональных данных;
— реализация прав субъектов персональных данных;
— уведомление НЦЗПД о нарушениях систем защиты персональных данных и выполнение его требований;
— назначение ответственного лица, контролирующего законность обработки данных в организации;
— издание политики в отношении обработки персональных данных;
— ознакомление работников с ЛНПА, касающимися обработки и защиты персональных данных;
— установление порядка доступа к персональным данным;
— обеспечение технической и криптографической защиты информации;
— организация обучения определенных лиц по вопросам защиты персональных данных;
— ведение реестра информационных ресурсов (систем);
— внесение в случае необходимости информации в Реестр операторов персональных данных и т.д. (ст. 16, 17 Закона N 99-З; абз. 2 подп. 3.2, подп. 3.3, 3.6 п. 3 Указа N 422).
Обязанности уполномоченного лица:
— соблюдение целей обработки персональных данных;
— совершение определенного перечня действий по обработке данных;
— обеспечение конфиденциальности персональных данных;
— организация обучения определенных лиц по вопросам защиты персональных данных и т.д. (ст. 17 Закона N 99-З, подп. 3.3 п. 3 Указа N 422);
— принятие мер по защите персональных данных.
3. НЦЗПД
Задачи и функции:
— защита субъектов персональных данных;
— организация обучения конкретных лиц по вопросам защиты персональных данных;
— контроль операторов (доступ к документам, помещениям, информационным системами т.д.);
— определение перечня государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных;
— рассмотрение жалоб субъектов персональных данных;
— выдача разрешений на трансграничную передачу данных;
— разъяснение и совершенствование законодательства;
— принятие сообщений о нарушениях защиты информации в информационных ресурсах (системах);
— работа с международными организациями и т.д. (п. 6, 7 Положения о НЦЗПД).
Полномочия:
— запрос у операторов и уполномоченных лиц необходимой информации;
— проведение проверок (аудита);
— вынесение требований, решений (п. 8 Положения о НЦЗПД).
4. Общие требования к обработке персональных данных
4.1. Принципы обработки персональных данных
Это принципы:
1) справедливости. Обработка персональных данных должна обеспечивать справедливое соотношение интересов всех заинтересованных лиц;
2) законности. Обработка данных осуществляется с согласия их субъекта, за исключением предусмотренных законодательством случаев;
3) ограничения целью. Обработка данных должна ограничиваться достижением конкретных, заранее заявленных законных целей;
4) минимизации данных. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям обработки;
5) прозрачности. Обработка данных должна иметь прозрачный характер (своевременные ответы на запросы субъекта данных и т.д.);
6) точности. Оператор обязан обеспечить достоверность обрабатываемых им персональных данных, обновлять их при необходимости;
7) ограничения хранения. Персональные данные должны храниться в форме, позволяющей идентифицировать субъекта персональных данных. Хранить их можно не дольше, чем этого требуют заявленные цели обработки.
4.2. Согласие на обработку персональных данных
Такое согласие должно быть:
— свободным, однозначным, содержать информированное выражение воли субъекта персональных данных;
— письменным в форме электронного документа (в этом случае обязательна ЭЦП), в иной электронной форме (проставление отметок на информационных ресурсах, получение согласия путем авторизации через SMS или с помощью электронной почты) (п. 1 — 3 ст. 5 Закона N 99-З).
Доказать получение согласия обязан оператор (п. 7 ст. 5 Закона N 99-З). Информационная система должна иметь техническую возможность фиксировать согласие субъекта на обработку его персональных данных. Тогда в случае необходимости такую информацию можно будет представить в НЦЗПД или в суд.
4.3. Трансграничная передача персональных данных
Такая передача предусматривает:
1) свободную передачу данных в юрисдикции, осуществляющие надлежащий уровень защиты информации;
2) информированное согласие субъекта персональных данных на передачу его данных в юрисдикции, не осуществляющие надлежащего уровня защиты информации.
3) передачу персональных данных:
— на основании договора с субъектом или в целях заключения такого договора;
— путем направления запроса в соответствии с законодательством иностранных государств;
— в целях защиты жизни, здоровья, жизненно важных интересов физического лица; исполнения международных договоров; противодействия легализации доходов, полученных преступным путем, финансирования терроризма и производства оружия массового поражения;
4) передачу персональных данных с разрешения НЦЗПД (ст. 9 Закона N 99-З).
4.4. Необходимые документы
Оператор обработки персональных данных обязан предусмотреть:
1) форму согласия на обработку данных (ст. 5, 8, 9 Закона N 99-З);
2) шаблон договора с субъектом персональных данных и уполномоченным лицом (ст. 6, 7, 9 Закона N 99-З);
3) оформление процедуры обработки персональных данных, а именно процедуру:
— отзыва согласия;
— предоставления информации субъекту персональных данных;
— изменения и удаления персональных данных;
— реагирования на инциденты в сфере информационной безопасности (ст. 10 — 13, 16 Закона N 99-З);
4) приказ о назначении ответственного лица, контролирующего обработку персональных данных (абз. 2 п. 3 ст. 17 Закона N 99-З);
5) политику в отношении обработки персональных данных (абз. 3 п. 3 ст. 17 Закона N 99-З);
6) порядок доступа к персональным данным и т.д. (абз. 5 п. 3 ст. 17 Закона N 99-З). Например, установить для работников критерии (прохождение обучения, внутренних тренингов и т.д.), позволяющие иметь доступ к данным.
4.5. Технические меры по защите персональных данных
Меры выбираются исходя из класса информационной системы, в которой обрабатываются персональные данные. Допускается использовать только те средства защиты информации, которые сертифицировал Оперативно-аналитический центр.
Классы информационных систем
4-ин | Персональные данные без подключения к интернету |
4-спец | Специальные персональные данные без подключения к интернету |
4-бг | Биометрические и генетические данные без подключения к интернету |
3-ин | Персональные данные с подключением к интернету |
3-спец | Специальные персональные данные с подключением к интернету |
3-бг | Биометрические и генетические данные с подключением к интернету |
4.6. Ответственные лица и обучение
Ответственным за обработку персональных данных признается:
— лицо (подразделение), осуществляющее контроль за обработкой;
— лицо, непосредственно осуществляющее обработку персональных данных (подп. 3.3 п. 3 Указа N 422).
Обучение | ||
НЦЗПД | Оператор | Иные места |
Обязательное для ответственных за контроль в специализированных организациях.
Возможно для ответственных за контроль и обработку в иных организациях |
Невозможно для ответственных за контроль в специализированных организациях.
Обязательное для ответственных за обработку, если не организовано в иных местах |
Обязательное для ответственных за контроль всех организаций, за исключением специализированных.
Возможно для ответственных за обработку в иных организациях |
К специализированным организациям относятся:
— банки и НКФО;
— страховые организации;
— операторы электросвязи;
— организации госрегистрации недвижимости;
— нотариальные палаты;
— риэлтерские организации;
— организации здравоохранения;
— исполкомы;
— операторы с не менее чем 10 000 субъектами персональных данных, за исключением работников.
Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex