152-ФЗ о защите персональных данных

Персональная информация относится к категории сведений, защищаемых законом. В связи с этим любой оператор, который имеет отношение к хранению и обработке данных, обязан придерживаться определенных правил в своей деятельности и принимать дополнительные меры для обеспечения защиты информации от ее нецелевого использования. Рекомендации и указания по этому вопросу обозначены в 152-ФЗ о защите персональных данных от 27.07.2006. Данный нормативный акт является основополагающим документом, регулирующим отношения между владельцем личных данных и оператором.

Закон о защите персональных данных 152-ФЗ: базовые понятия

Данный нормативный акт устанавливает перечень базовых понятий, вокруг которых распространяется действие закона. Ключевыми понятиями являются следующие:

• Персональные данные – сведения произвольного характера, которые косвенно или прямо способны идентифицировать конкретного человека.

• Персональные данные с правом свободного распространения – сведения, к которым открыт неограниченный доступ со стороны владельца путем заключения согласия на обработку.

• Оператор – любой орган, физическое или юридическое лицо, которые используют персональную информацию: обрабатывают, хранят, передают согласно установленным целям.

• Обработка персональных данных – процедура, в ходе которой происходит исполнение таких процессов как сбор, запись, систематизация информации вручную или посредством автоматизированных инструментов.

Порядок работы с персональной информацией внутри организации

Любая организация, независимо от ее размера и специфики деятельности, так или иначе ведет обработку персональной информации, касающейся собственных сотрудников, клиентов. Чтобы избежать нарушений и штрафов, рекомендуется придерживаться следующей схемы работы с информацией персонального характера:

• Обозначить конкретный список персональных данных. Типичными сведениями для этой категории считаются ФИО, дата рождения, пол, сведения о семье, контактный номер телефона. Подобные сведения должны быть ограничены в доступе. Согласно седьмой статье 152-ФЗ о защите персональных данных оператору необходимо соблюдать конфиденциальность при работе с информацией персонального характера и создать все условия, чтобы она не попала в руки третьей стороны.

• Разработать и внедрить внутри организации положение о защите персональных данных. Осуществляется посредством подписания локального нормативного акта с сотрудниками компании. Тем самым вводится особый режим работы с информацией, а при возникновении инцидента можно будет привлечь виновников к дисциплинарной, административной, уголовной ответственности.

• Выбрать ответственное лицо для наблюдения за соблюдением правил работы с персональными сведениями. Это могут быть одно или несколько лиц, которые следят за сохранностью бумажных и электронных носителей, содержащих персональные данные, и принимают меры по ограничению доступа к ним.

• Выпустить приказ о закреплении прав доступа к персональным данным. В приказе указываются особо уполномоченные лица, обладающие правом доступа к персональным сведениям, и перечень их полномочий.

Описанные действия помогут сформировать и обозначить главные правила работы с персональными данными внутри организации и не допустить их обнародования. Для соответствия требованиям 152-ФЗ и минимизации рисков утечки персональных данных необходимо также использовать технические средства защиты информации, такие как DLP-cистемы, например, Solar Dozor.

Ответственность за нарушение 152-ФЗ о защите персональных данных

При расследовании инцидентов, связанных с утечками, кражей персональных сведений, к виновным лицам могут быть применены следующие меры наказания:

• Дисциплинарная ответственность. Выносится на основании статей 81, 90, 192 ТК РФ за мелкие нарушения, не повлекшие за собой значимого ущерба и последствий. Обычно выражается в форме замечания, выговора, в крайних случаях заканчивается увольнением сотрудника.

• Гражданско-правовая. Выносится на основании статьи 15 ГК РФ в виде соразмерного возмещения причиненных убытков или в меньшем объеме исходя из законодательных и трудовых нормативов.

• Административная ответственность. Выносится на основании статей 13.11, 19.7 КоАП РФ. В качестве меры наказания виновному лицу назначается штраф в размере 1 000-50 000 рублей исходя из тяжести последствий преступления.

• Уголовная ответственность. Выносится на основании статей 137, 140, 272 УК РФ за нарушения, повлекшие тяжелые последствия. В качестве наказания могут быть назначены крупный штраф, либо принудительные или обязательные работы, либо тюремное заключение.

Любая организация и физическое лицо при работе с персональной информацией должны в обязательном порядке придерживаться требований и рекомендаций 152-ФЗ о защите персональных данных. В противном случае придется отвечать по всей строгости закона. Защита персональных данных людей входит в приоритетную задачу национальной безопасности РФ.