Закон о персональных данных

Обзор 152-ФЗ «О персональных данных». Современные тенденции

На территории Российской Федерации личную информацию граждан защищает Федеральный закон № 152-ФЗ «О персональных данных». Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и тд.) персональных данных физических лиц:

  • юридическими лицами;
  • индивидуальными предпринимателями;
  • бюджетными организациями.

Организации и предприниматели обязаны правильно обрабатывать и защищать персональные данные физических лиц.

Требования 152-ФЗ «О персональных данных»

Федеральный закон № 152-ФЗ «О персональных данных» обязывает выполнять требования, предъявляемые к Организациям, обрабатывающим персональные данные в направлении организации обработки и защиты персональных данных в информационных системах и на бумажных носителях.

Несмотря на то, что Федеральный закон № 152-ФЗ «О персональных данных» действует с 2006 года, мировая тенденция утечек персональных данных в 2019-2020 годах коснулась и РФ.

По статистике в 2019-2020 годах число утечек на территории Российской Федерации выросло более чем на 40% за предыдущие два года. Из них, примерно половина, считаются не случайными, а организованными преднамеренно, то есть с преступным либо корыстным умыслом. Чаще всего утечки персональных данных производятся силами сотрудников Организации, реже внешними злоумышленниками.

В свете вышеизложенного, Государство усилило контроль не только за выполнением Организациями уже действующих требований, но и начало внедрение новых, отвечающих вызовам времени, требований.

Защита персональных данных

Апогеем нормативного регулирования государства в направлении защиты персональных данных стал 2020 год с началом пандемии COVID-19 в России.

Для предотвращения распространения коронавирусной инфекции Организации обязаны производить измерение температуры своих работников. Результат измерения температуры тела работника, в том числе и результат тестирования на наличие у сотрудников организации коронавирусной инфекции являются специальной категорией персональных данных, к которой предъявляются повешенные требования по защите.

Статья 10 Федерального Закона № 152 даёт правовое основание измерения температуры тела у сотрудников Организации. Ответственным лицам за обработку и защиту ПДн необходимо проанализировать категории ПДн, а также цели обработки ПДн в условиях новых реалий. Дополнение новых категорий или целей ПДн ведёт к частичному либо полному пересмотру отдельных направлений системы защиты персональных данный, а также пересмотру бизнес-процессов Организации

Если результаты измерения температуры тела ведутся на бумажном носителе, то такие носители должны соответствовать требованиям ПП РФ № 687 от 15.09.2008 г.

519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»

В конце ключевого года для сферы защиты персональных данных регулятор внёс существенные изменения в 152-ФЗ. 30 декабря 2020 г. Президентом был подписан Федеральный закон № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

Нормативный акт вступит в силу с 1 марта 2021 за исключением тонкостей по оформлению согласия субъекта ПДн на распространение своих ПДн. Это требование вступает в силу с 1 июля 2021.

Фундаментом данного ФЗ является согласие на возможность публикации персональных данных. Из нормативного акта становится ясно, что если субъект ПДн не даст своё согласие, то публиковать такие персональные данные запрещено.

Хотелось бы обратить внимание, что особенностью данного ФЗ является проект содержания согласия на обработку ПДн. В данном согласии (в п. 6 согласия) на субъект ПДн указывает ограничение на обработку своих ПДн. Также после вступления в силу данного ФЗ устанавливаются временные ограничения на обработку ПДн т.к. обязательным пунктом в согласии на обработку ПДн является срок действия согласия на обработку ПДн.

Так же в законе упоминается «информационная система уполномоченного органа по защите прав субъектов персональных данных», с помощью которой Оператор ПДн может получить согласие субъекта ПДн на распространение ПДн, однако на данный момент такой информационной системы не существует.

В завершении необходимо подчеркнуть факт наличия обязательства Организации, осуществляющей обработку ПДн, доказательства законности распространения или иной обработки персональных данных.

Исходя из направления последних изменений в законодательстве по защите персональных данных регулятор намерен взять под контроль организации, осуществляющие свою деятельность в сети Интернет, а также защитить данные пользователей глобальной сети.

Фролов Сергей Николаевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Выполнение требований SWIFT

Услуга по выполнению требований SWIFT (помощь в проведении самоаттестации, независимая экспертиза результатов самоаттестации)

Подробнее