Введение
Данный документ является руководством, описывающим действия организаций, которые необходимо предпринять ответственным лицам для соответствия законодательству, регулирующему отношения, связанные с обработкой персональных данных.
При подготовке были использованы факты и логические заключения, сделанные на основе действующих нормативных правовых актов Российской Федерации, формирующих «границы» правового поля, в которых необходимо находится при совершении любых операций со сведениями о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющих прямо или косвенно идентифицировать его личность.
Каждый из нас одновременно является субъектом персональных данных и оператором, самостоятельно или совместно с другими лицами осуществляющим обработку персональных данных. По этой причине, хотя этот документ в формате white paper имеет бизнес-направленность, он будет полезен и актуален также государственным органам, органам местного самоуправления, муниципальным органам и физическим лицам.
Действие Федерального Закона № 152-ФЗ «О персональных данных», регулирующего деятельность по обработке (использованию) персональных данных (далее ПДн) не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.
Однако, знание этого закона может помочь каждому избежать подобного нарушения чужих прав и обеспечить защиту своих прав и свобод человека и гражданина при обработке ПДн, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
Именно защита прав субъектов ПДн – является основной целью закона 152-ФЗ и функцией уполномоченного органа, которым является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Возможно, если ранее вы не были хорошо знакомы c законодательством, регулирующим отношения, связанные с обработкой персональных данных, то после прочтения первых нескольких абзацев, у вас уже появились вопросы.
Одна из главных целей этой книги – устранить путаницу и обеспечить понимание законодательства в области персональных данных, ясно описать процесс приведения информационной системы персональных данных в соответствие с требованиями закона.
Надеюсь, что эта книга приблизит вас к достижению этих целей и поможет минимизировать риски возможных штрафов со стороны регулирующих органов и избежать других негативных последствий, связанных с нарушением прав субъектов персональных данных.
Эта книга будет интересна как читателям, начинающим изучение этого вопроса «с чистого листа», так и имеющим базовые знания.
Особенно актуальна она для:
- менеджмента организаций — для всех, кто принимает решения;
- руководителей и сотрудников IT-служб — для всех, кто строит и поддерживает работу IT-инфраструктуры;
- специалистов кадровой службы — для тех, кто не может не работать с личными данными сотрудников;
- новичков в профессии и тех, кто только готовится посвятить себя карьере в области защиты информации.
Глава 1. Краткая история вопроса
В далёком 1981 году Совет Европы опубликовал конвенцию о защите личности при обращении с персональными данными. Цель Конвенции – «гарантировать на территории каждой страны каждому частному лицу, независимо от его национальности и места проживания, соблюдение его прав и основных свобод, и особенно его права на личную жизнь в аспекте автоматизированной обработки данных личного характера (статья 1).
Согласно части 1 статьи 3 «Стороны обязуются применять настоящую Конвенцию в отношении автоматизированных картотек и для автоматизированной обработки данных личного характера в общественном и частном секторах».
Стоит отметить, что мнение Совета Европы о персональных данных не являлось и не является единственным в мире. На примере Китая и США можно видеть несколько иной подход.
Для СССР в то время вопрос обработки с помощью средств автоматизации не был актуален по причине слабого проникновения компьютерных технологий в экономику. Позднее по причинам экономических проблем сфера защиты конфиденциальной информации в России имела значительное отставание в развитие законодательной базы и осведомленности населения.
Как необходимый шаг для вступления в ВТО, Россия подписала Конвенцию в ноябре 2001 года. Таким образом только спустя 20 лет со дня публикации Конвенции в России началось движение в сторону создания правовых основ обработки персональных данных. Конвенция была принята формально, но по факту не действовала из-за отсутствия российских нормативных актов.
Вновь законодатели вернулись к этому вопросу в 2005 году, когда был принят Федеральный закон от 19 декабря 2005 года №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Знаковым стал 2006 год, когда в целях наведения порядка в сфере интеллектуальной собственности и защиты персональных данных, в том числе как выполнение одного из условий вступления России в ВТО, были приняты два Федеральных закона.
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
