Защита персональных данных сотрудников силовых структур: изменения в 149-ФЗ и 152-ФЗ

В новой версии законопроекта, корректирующего федеральные законы №149-ФЗ и №152-ФЗ, обозначено появление особого правового режима для обработки персональных данных сотрудников государственных органов безопасности. Он вводит новый, более строгий контур требований к операторам информационных систем, выявляющим в массиве данных связь субъекта с такими структурами, как Минобороны, ФСО, СВР, МВД или ФСБ.

Идентификация субъектов, связанных с органами безопасности

Ключевое изменение касается операторов ИС, которые либо начинают обрабатывать персональные данные сотрудников органов безопасности, либо сталкиваются с фактом уже существующей обработки таких данных. В любом из этих случаев оператор не вправе продолжать работу по стандартному маршруту — он обязан инициировать специальную процедуру.

Формальный признак здесь один: установление связи субъекта персональных данных с одним из органов безопасности. Такая связь автоматически переводит систему в особый статус контроля. Речь идет не только о более строгих требованиях к защите, но и о прямом участии самого органа безопасности в контроле и управлении данными.

Реестр информационных систем с «особым режимом» обработки ПДн

Операторы, обрабатывающие данные особых субъектов, обязаны внести свою информационную систему персональных данных (ИСПДн) в специализированный реестр, который будет вести Минкомсвязь России.
Факт включения в реестр меняет юридический статус системы и инициирует новый цикл обязательств:

• ИСПДн подлежит категорированию не только по уровню защищённости (УЗ), но и по новому критерию — признаку принадлежности к категории «особых субъектов»;
• Требования к защите информации усиливаются: теперь оператор должен реализовать дополнительные меры, утверждённые регулятором в соответствии с уровнем критичности;
• Устанавливается контроль за соблюдением этих мер — напрямую со стороны соответствующего органа безопасности.

Новые требования к контролю обработки персональных данных в ИС

Помимо обязательств по внесению в реестр, операторы обязаны:

• Запрашивать специальное согласие субъекта данных, связанного с органами безопасности;
• Гарантировать доступ к информационной системе сотрудникам уполномоченного органа — не позднее 3 рабочих дней с момента запроса или не позднее 6 месяцев с даты включения в реестр;
• Поддерживать в актуальном состоянии все данные, касающиеся особых субъектов, включая возможность их редактирования, удаления и дополнения по инициативе самого органа безопасности.

Последнее положение не просто добавляет контроль — оно обозначает функциональную власть органов безопасности над обработкой персональных данных внутри частной ИС. Этот механизм касается не только верификации, но и полноценного управления контентом, что выводит концепцию обработки ПДн за рамки исключительно гражданского регулирования.

Доступ органов безопасности к информационным системам

Пожалуй, наиболее значимая инновация законопроекта — это прямой, законодательно закреплённый доступ представителей органов безопасности к ИСПДн, в которых содержатся данные их сотрудников. Формулировка проекта не допускает двойного толкования: органы получают право изменять данные, инициировать их удаление или дополнение.
Сроки предоставления доступа определены в императивной форме:

• Не более 3 рабочих дней с момента получения запроса;
• Либо — в течение 6 месяцев с момента регистрации ИСПДн в реестре Минкомсвязи.

Неисполнение этих требований может привести к санкциям, как в части административной ответственности, так и в форме приостановки работы ИС.

Полномочия и действия органов безопасности при работе с ИС

Проект устанавливает конкретный набор полномочий органов безопасности при взаимодействии с операторами. Эти полномочия выходят за пределы консультативной функции.
Теперь орган безопасности имеет право:

• Управлять содержанием массива персональных данных внутри ИС;
• Добиваться удаления сведений о сотрудниках, которые подлежат изъятию.

Такое расширение функций укладывается в логику «вертикального доверия» в рамках обеспечения безопасности критически важных данных, и может быть интерпретировано как попытка вертикальной централизации управления персональными данными в чувствительных секторах.