ООО «ЮрСпектр» 24.11.2021 провело аудиториум ilex на тему «Новые требования законодательства в области защиты персональных данных». В качестве лектора выступил Кирилл Шафеев, ассоциированный партнер ООО «Юридическая компания ЮКОН», руководитель направления «Privacy & Data Protection». Он подробно рассказал об источниках правового регулирования защиты персональных данных, общих требованиях к их обработке, о субъектном составе.

1. Правовое регулирование защиты персональных данных

1. Закон от 10.11.2008 N 455-З «Об информации, информатизации и защите информации», который устанавливает:

— понятие информационной системы;

— роль и задачи Оперативно-аналитического центра (регулирование и контроль технической и криптографической защиты информации, регулирование межведомственных и информационных систем и т.д.);

— виды информации (общедоступная; ограниченного распространения и (или) предоставления);

— правовой режим персональных данных и служебной информации;

— требования и меры по защите информации (ст. 1, 12, 15, 18, 18-1, гл. 7 Закона от 10.11.2008 N 455-З «Об информации, информатизации и защите информации»).

2. Закон от 07.05.2021 N 99-З «О защите персональных данных» (далее — Закон N 99-З).

3. Указ от 28.10.2021 N 422 «О мерах по совершенствованию защиты персональных данных» (далее — Указ N 422).

4. Приказы Оперативно-аналитического центра:

— от 12.03.2020 N 77 «О подтверждении соответствия средств защиты информации»;

— от 05.02.2021 N 22 «О наделении полномочиями на составление протоколов об административных правонарушениях, подготовку дел об административных правонарушениях к рассмотрению»;

— от 12.11.2021 N 194 «Об обучении по вопросам защиты персональных данных», устанавливающий обязательный перечень организаций, работники которых должны обучаться в рамках Национального центра по защите персональных данных (далее — НЦЗПД);

— от 12.11.2021 N 195 «О технической и криптографической защите персональных данных», который определяет классы информационных систем, перечень требований к системам защиты информации, методы обезличивания данных и т.д.

5. КоАП, УК.

2. Субъектный состав

2.1. Субъект персональных данных

Субъект персональных данных — это:

1) физическое лицо, персональные данные которого обрабатываются;

2) идентифицированное физическое лицо или лицо, которое можно идентифицировать (абз. 9, 13, 17 ст. 1 Закона N 99-З).

Определенный субъект персональных данных — конкретное лицо, выделяемое из группы лиц. Прямая идентификация — возможность прямо идентифицировать лицо. Косвенная идентификация — возможность при неизвестности характеристик физического лица выделить его из группы других лиц по некоторым известным фактам (например, по имени и месту работы).

Субъект персональных данных имеет право:

— на отзыв согласия;

— доступ и получение информации об обработке персональных данных;

— изменение персональных данных;

— получение информации о передаче данных;

— прекращение обработки данных (их удаление);

— обжалование действий (бездействия) оператора (ст. 10 — 13, 15 Закона N 99-З).

2.2. Оператор и уполномоченное лицо

Обязанности оператора:

— разъяснение субъектам персональных данных определенной информации;

— получение согласия субъекта персональных данных или обеспечение иного правового основания обработки данных;

— обеспечение мер по защите персональных данных;

— реализация прав субъектов персональных данных;

— уведомление НЦЗПД о нарушениях систем защиты персональных данных и выполнение его требований;

— назначение ответственного лица, контролирующего законность обработки данных в организации;

— издание политики в отношении обработки персональных данных;

— ознакомление работников с ЛНПА, касающимися обработки и защиты персональных данных;

— установление порядка доступа к персональным данным;

— обеспечение технической и криптографической защиты информации;

— организация обучения определенных лиц по вопросам защиты персональных данных;

— ведение реестра информационных ресурсов (систем);

— внесение в случае необходимости информации в Реестр операторов персональных данных и т.д. (ст. 16, 17 Закона N 99-З; абз. 2 подп. 3.2, подп. 3.3, 3.6 п. 3 Указа N 422).

Обязанности уполномоченного лица:

— соблюдение целей обработки персональных данных;

— совершение определенного перечня действий по обработке данных;

— обеспечение конфиденциальности персональных данных;

— организация обучения определенных лиц по вопросам защиты персональных данных и т.д. (ст. 17 Закона N 99-З, подп. 3.3 п. 3 Указа N 422);

— принятие мер по защите персональных данных.

3. НЦЗПД

Задачи и функции:

— защита субъектов персональных данных;

— организация обучения конкретных лиц по вопросам защиты персональных данных;

— контроль операторов (доступ к документам, помещениям, информационным системами т.д.);

— определение перечня государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных;

— рассмотрение жалоб субъектов персональных данных;

— выдача разрешений на трансграничную передачу данных;

— разъяснение и совершенствование законодательства;

— принятие сообщений о нарушениях защиты информации в информационных ресурсах (системах);

— работа с международными организациями и т.д. (п. 6, 7 Положения о НЦЗПД).

Полномочия:

— запрос у операторов и уполномоченных лиц необходимой информации;

— проведение проверок (аудита);

— вынесение требований, решений (п. 8 Положения о НЦЗПД).

4. Общие требования к обработке персональных данных

4.1. Принципы обработки персональных данных

Это принципы:

1) справедливости. Обработка персональных данных должна обеспечивать справедливое соотношение интересов всех заинтересованных лиц;

2) законности. Обработка данных осуществляется с согласия их субъекта, за исключением предусмотренных законодательством случаев;

3) ограничения целью. Обработка данных должна ограничиваться достижением конкретных, заранее заявленных законных целей;

4) минимизации данных. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям обработки;

5) прозрачности. Обработка данных должна иметь прозрачный характер (своевременные ответы на запросы субъекта данных и т.д.);

6) точности. Оператор обязан обеспечить достоверность обрабатываемых им персональных данных, обновлять их при необходимости;

7) ограничения хранения. Персональные данные должны храниться в форме, позволяющей идентифицировать субъекта персональных данных. Хранить их можно не дольше, чем этого требуют заявленные цели обработки.

4.2. Согласие на обработку персональных данных

Такое согласие должно быть:

— свободным, однозначным, содержать информированное выражение воли субъекта персональных данных;

— письменным в форме электронного документа (в этом случае обязательна ЭЦП), в иной электронной форме (проставление отметок на информационных ресурсах, получение согласия путем авторизации через SMS или с помощью электронной почты) (п. 1 — 3 ст. 5 Закона N 99-З).

Доказать получение согласия обязан оператор (п. 7 ст. 5 Закона N 99-З). Информационная система должна иметь техническую возможность фиксировать согласие субъекта на обработку его персональных данных. Тогда в случае необходимости такую информацию можно будет представить в НЦЗПД или в суд.

4.3. Трансграничная передача персональных данных

Такая передача предусматривает:

1) свободную передачу данных в юрисдикции, осуществляющие надлежащий уровень защиты информации;

2) информированное согласие субъекта персональных данных на передачу его данных в юрисдикции, не осуществляющие надлежащего уровня защиты информации.

3) передачу персональных данных:

— на основании договора с субъектом или в целях заключения такого договора;

— путем направления запроса в соответствии с законодательством иностранных государств;

— в целях защиты жизни, здоровья, жизненно важных интересов физического лица; исполнения международных договоров; противодействия легализации доходов, полученных преступным путем, финансирования терроризма и производства оружия массового поражения;

4) передачу персональных данных с разрешения НЦЗПД (ст. 9 Закона N 99-З).

4.4. Необходимые документы

Оператор обработки персональных данных обязан предусмотреть:

1) форму согласия на обработку данных (ст. 5, 8, 9 Закона N 99-З);

2) шаблон договора с субъектом персональных данных и уполномоченным лицом (ст. 6, 7, 9 Закона N 99-З);

3) оформление процедуры обработки персональных данных, а именно процедуру:

— отзыва согласия;

— предоставления информации субъекту персональных данных;

— изменения и удаления персональных данных;

— реагирования на инциденты в сфере информационной безопасности (ст. 10 — 13, 16 Закона N 99-З);

4) приказ о назначении ответственного лица, контролирующего обработку персональных данных (абз. 2 п. 3 ст. 17 Закона N 99-З);

5) политику в отношении обработки персональных данных (абз. 3 п. 3 ст. 17 Закона N 99-З);

6) порядок доступа к персональным данным и т.д. (абз. 5 п. 3 ст. 17 Закона N 99-З). Например, установить для работников критерии (прохождение обучения, внутренних тренингов и т.д.), позволяющие иметь доступ к данным.

4.5. Технические меры по защите персональных данных

Меры выбираются исходя из класса информационной системы, в которой обрабатываются персональные данные. Допускается использовать только те средства защиты информации, которые сертифицировал Оперативно-аналитический центр.

Классы информационных систем

4-ин Персональные данные без подключения к интернету
4-спец Специальные персональные данные без подключения к интернету
4-бг Биометрические и генетические данные без подключения к интернету
3-ин Персональные данные с подключением к интернету
3-спец Специальные персональные данные с подключением к интернету
3-бг Биометрические и генетические данные с подключением к интернету

4.6. Ответственные лица и обучение

Ответственным за обработку персональных данных признается:

— лицо (подразделение), осуществляющее контроль за обработкой;

— лицо, непосредственно осуществляющее обработку персональных данных (подп. 3.3 п. 3 Указа N 422).

Обучение
НЦЗПД Оператор Иные места
Обязательное для ответственных за контроль в специализированных организациях.

Возможно для ответственных за контроль и обработку в иных организациях

Невозможно для ответственных за контроль в специализированных организациях.

Обязательное для ответственных за обработку, если не организовано в иных местах

Обязательное для ответственных за контроль всех организаций, за исключением специализированных.

Возможно для ответственных за обработку в иных организациях

К специализированным организациям относятся:

— банки и НКФО;

— страховые организации;

— операторы электросвязи;

— организации госрегистрации недвижимости;

— нотариальные палаты;

— риэлтерские организации;

— организации здравоохранения;

— исполкомы;

— операторы с не менее чем 10 000 субъектами персональных данных, за исключением работников.

Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex