Lb66.ru

Экономика и финансы
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Закон о личных данных граждан рф

Публикации

В Госдуму был внесен законопроект, устанавливающий порядок и условия оборота общедоступных персональных данных, а также право гражданина требовать их удаление из общедоступных источников.

Зачем нужна такая инициатива, какие сегодня есть проблемы в сфере защиты персональных данных в РФ и как эти отношения регулируется в европейском законодательстве, рассказал РАПСИ председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России (МО АЮР) Александр Журавлёв.

В РФ нет прозрачного оборота данных

Вопросы, связанные с персональными данными, регулируются Федеральным законом «О персональных данных». «Этот закон писался, когда еще не были так распространены цифровые сервисы и персональные данные не имели такой значимости, как сейчас. Во-первых, это данные, которые влияют на основополагающее право о защите частной жизни гражданина. Во-вторых, сегодня персональные и другие данные – это источник данных для цифровой экономики, но в то же время они являются топливом для киберпреступлений. Если рассматривать, например, утечки данных, то для граждан возникают разного рода последствия – от банального спама до мошенничества, например, в сфере банковской деятельности и так далее», — говорит Журавлёв.

По его словам, основная проблема заключается в отсутствии в России прозрачного оборота персональных данных. «Когда вы даете согласие оператору персональных данных (государственные органы, бизнес, некоммерческие организации) использовать личную информацию для определенных целей, он туда включает условие о праве передавать эти данные третьим лицам, а этими лицами могут быть дата-центры, другие контрагенты, которые ведут его маркетинговую политику по клиентам и другие. Соответственно, вы точно не знаете, что происходит с вашими данными», — поясняет эксперт.

Одним из шагов для решения проблемы, как отмечает Журавлёв, может стать законопроект об общедоступных персональных данных, предложенный членом комитета Госдумы по информационной политике, информационным технологиям и связи Антоном Горелкиным: «Сейчас требуется только одно письмо-согласие для обработки персональных данных. Законопроект Горелкина вводит отдельное согласие на «общедоступные персональные данные» и категоризирует их, то есть выделяет ФИО, почту, телефон и так далее. Если вы даете для этих целей свои данные, то в согласии оператор должен ясно указывать, на какие именно интернет-ресурсы эти данные будут размещены. То есть вы будете видеть все ресурсы и при необходимости сможете полностью или частично отозвать согласие, и оператор в течение двух рабочих дней обязан будет удалить эту информацию».

Кроме того, по его словам, раньше была проблема — когда Роскомнадзор проверял оператора, он всегда смотрел наличие оригинала письменного согласия. «Для бизнеса это была некая сложность – вроде у нас есть Гражданский кодекс, который говорит о том, что возможен электронный документооборот и заключение/изменение условия обязательств в части путем обмена писем или через электронную цифровую подпись. Но практика применения закона о персональных данных требует от операторов наличия именного письменного согласия. А законопроект Горелкина вводит возможность направления как согласия, так и отзыва в электронном виде. Это удобно и для граждан, и для организаций», — пояснил председатель комиссии по правовому обеспечению цифровой экономики МО АЮР.

Шесть миллионов контактов за 75 тысяч рублей

Если нарушен закон о персональных данных, то гражданин вправе требовать возмещения морального вреда или взыскания убытков. Однако, по словам Журавлева, практика взыскания морального вреда сопровождается определенными сложностями. Так, если произошла утечка данных, то человеку необходимо доказать и предоставить медицинские справки о том, что он испытывал моральные страдания в связи с произошедшим. «Согласно складывающейся судебной практике, обычно сумма взыскания по таким делам составляет от 1,5 тысяч до 5 тысяч рублей, максимальный размер не превышает 20 тысяч рублей. На мой взгляд, такие суммы несоразмерны последствиям нарушения закона. Если произошла массовая утечка данных, и у гражданина возникли последствия, то это сумма не покрывает фактически того, что с ним произошло, и не стимулирует оператора персональных данных надлежащим образом осуществлять хранение», — считает эксперт.

Гражданин также вправе потребовать убытки с оператора персональных данных. «Согласно статье 15 ГК РФ, убытки делятся на реальный ущерб и упущенную выгоду. В данном случае подходит реальный ущерб, потому что это те расходы, которые лицо понесло или понесет для восстановления нарушенного права. Но за время существования закона о персональных данных не было ни одного случая взыскания убытков. Без прозрачного оборота персональных данных невозможно установить причинно-следственную связь, а это один из элементов состава убытков», — говорит Журавлёв.

Кроме того, лицо, чьи права были нарушены, вправе обратиться к регулятору (Роскомнадзор), который может действовать в общественных интересах. Он по заявлению гражданина проводит проверку в отношении лица, которое нарушило закон о персональных данных, и может оштрафовать его и обратиться в суд, а при определенных нарушениях даже заблокировать сайт. «Допустим, утекла у нас база в 6 миллионов записей с персональными данными – регулятор на практике штрафует и применяет КоАП не за каждую запись, а по совокупности. У нас получается, 6 миллионов контактов утекло – 75 тысяч рублей заплати и спи спокойно», — приводит пример собеседник агентства.

В связи с этим МО АЮР предложило инициативу, связанную с изменением закона о персональных данных в части взыскания фиксированной компенсации от 10 тысяч до миллиона рублей за утечку персональных данных. «Этот механизм по аналогии с защитой авторских прав в ГК, то есть гражданин может обратиться в суд и в зависимости от тяжести деяния, которое произошло, суд уже решает, какой размер компенсации ему присуждать. Второе – компенсации применятся только при наличии вины оператора. И третье – бремя доказывания лежит на стороне оператора, то есть гражданин не должен будет доказывать факт нарушения, так как в этих отношения — он слабая сторона», — сказал Журавлев.

Он также считает, что нужно вводить дифференцированную шкалу и значительно увеличивать штрафы, предусмотренные КоАП, потому что сегодня они никак не стимулируют операторов для того, чтобы соблюдать законодательство. «При этом должен быть минимальный порог – если эти штрафы применяются к малому бизнесу, чтобы они были соразмерны тому, что происходит, и малый бизнес не страдал, особенно сейчас, во время пандемии. То есть минимальный порог должен составлять 5-10 тысяч рублей», — пояснил эксперт.

GDPR или право граждан на приватность

В мае 2018 года в Европе вступил в силу Общий регламент по защите персональных данных Европейского союза (General Data Protection Regulation или GDPR). По словам Журавлева, данный документ надежно защищает право граждан на приватность, в том числе в нем категоризированы разные виды данных и предусмотрена возможность обезличивания данных. В отличие от российского законодательства в GDPR достаточно большие штрафы, которые могут составлять до 4% от оборота компании.

Читать еще:  Что относится к капитальному ремонту нежилого помещения

«British Airways был оштрафован на 204 миллиона 600 тысяч евро за то, что он не предпринял необходимые меры по защите данных и произошла утечка информации о более 500 тысяч граждан. На втором месте — Marriott International со штрафом в размере 110 миллионов 390 тысяч за то, что он не защитил надлежащим образом сайт, и хакеры смогли внедрить свою ссылку и похитить данные 339 миллионов пользователей. Гугл был оштрафован на 50 миллионов евро за то, что не сообщал пользователям, а также регулятору о том, как именно он использует данные тех, кто пользуется его продукцией. В январе итальянский оператор TIM был оштрафован за то, что рассылал письма лицам, которые не являлись его клиентами и не давали согласия на рассылку, плюс у него произошла утечка данных, штраф — 27 миллион 800 тысяч евро», — рассказал Журавлев.

Он добавил, что исходя из этих примеров, можно сказать, что Евросоюз создал такую систему, которая позволяет говорить о наличии приватности непосредственно на его территории и за пределами (экстерриториальное применение закона). «Иногда даже там перегибают: в некоторых странах запрещают пользоваться табличками с именами перед входом, если на то не дано было согласие непосредственно жильца, за это тоже штрафуют», — отметил председатель комиссии по правовому обеспечению цифровой экономики МО АЮР.

Для того, чтобы защитить персональные данные граждан России, Журавлев считает, необходимым сделать прозрачным оборот данных, категоризировать виды данных, которые сегодня имеются, ввести в законодательство понятие и порядок обезличивания данных, создать стимул для операторов данных в виде дифференцированных штрафов по КоАП и ввести в законодательство предложенный механизм компенсации.

Удаляем персональные данные из общего доступа: нововведения с 1 марта

vladimirobradovic75@gmail.com / Depositphotos.com

1 марта вступили в силу поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). На кого распространяется новый закон, при каких условиях и каким образом можно удалить свои персональные данные из общего доступа – в нашем материале.

Зачем нужен новый закон?

Закон направлен на создание механизмов защиты прав и свобод субъектов персональных данных, чьи персональные данные участвуют в общедоступном обороте. В соответствии с мнением депутатов Госдумы, действующая на момент внесения законопроекта на рассмотрение правовая конструкция позволяла третьим лицам осуществлять сбор и последующее неконтролируемое использование указанных персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный ст. 5 Закона № 152-ФЗ.

Теперь субъект персональных данных имеет право обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без дополнительных условий доказывания факта неправомерной обработки персональных данных. Требовать от оператора блокирования или уничтожения персональных данных можно было и раньше, однако с соблюдением условия – необходимо было доказать, что они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (в соответствии с ч. 1 ст. 14 Закона № 152-ФЗ). Новый закон позволяет осуществлять соответствующие запросы только по причине того, что персональные данные принадлежат субъекту.

Основное отличие нововведений от предыдущей правовой конструкции заключается в том, что любой человек теперь сам может принять решение в отношении того, какие персональные данные могут использоваться публично. Субъект персональных данных сам устанавливает их перечень, при этом причины можно не указывать – оператор обязан удалить данные из общего доступа просто потому, что они относятся к определенному или определяемому лицу. Согласие должно быть выражено отдельно от других согласий на обработку персональных данных.

Что нового вводит закон в отношении законодательства о персональных данных?

Поправки вводят новый термин – персональные данные, разрешенные субъектом персональных данных для распространения. К ним относятся такие персональные данные, доступ неограниченного круга лиц к которым предоставлен их субъектом (подп. 1.1 ст. 3 Закона 152-ФЗ). Такое разрешение выражается путем дачи согласия на обработку персональных данных. Согласие должно оформляться отдельно от других согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории, указанной в таком согласии (ч. 1 ст. 10.1 Закона № 152-ФЗ). Субъект также имеет право ограничить обработку персональных данных оператором – например, если в согласии не было прямого разрешения на распространение персональных данных, оператор имеет право их обрабатывать, но без распространения (ч. 4 ст. 10.1 Закона № 152-ФЗ). При этом молчание и бездействие субъекта персональных данных не является согласием на обработку (ч. 8 ст. 10.1 Закона № 152-ФЗ).

На кого распространяются положения закона?

Под ответственность попадают все операторы, которые выкладывают персональные данные в общий доступ. К таким оператором относятся, например, социальные сети. Таким образом согласие может быть предоставлено непосредственно оператору (в соответствии с п.1 ч. 6 ст. 10.1 Закона № 152-ФЗ), то есть направлено в письменном виде самой социальной сети. Впоследствии предоставление согласия можно будет совершать с использованием системы Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных – соответствующие поправки вступают в силу с 1 июля текущего года. Согласие должно быть рассмотрено оператором в срок не позднее трех рабочих дней (ч. 9 ст. 10.1 Закона № 152-ФЗ).

Каким образом можно прекратить обработку персональных данных в общем доступе?

Любое лицо, чьи персональные данные находятся в общем доступе, может прекратить такую обработку, включая передачу, распространение, предоставление и доступ к персональным данным. Закон определяет перечень сведений, которые должно содержать такое требование:

  • ФИО;
  • контактная информация (например, номер телефона, адрес электронной почты);
  • перечень персональных данных, обработка которых подлежит прекращению.

Таким образом, с момента поступления оператору соответствующего требования прекращается действие согласия на обработку персональных данных, разрешенных для распространения. Оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.

Читать еще:  Как получить гражданство финляндии гражданину россии

Также субъект имеет право обратиться с соответствующим требованием в суд (в соответствии с ч. 14 ст. 10.1 Закона № 152-ФЗ). Оператор обязан прекратить передачу персональных данных в срок, указанный во вступившем в законную силу решении суда. Если такого указания в решении суда нет – в течение трех рабочих дней с момента вступления решения суда в законную силу.

Важно обратить внимание, что субъект персональных данных вправе обратиться с таким требованием к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений законодательства. Иными словами, гражданство и местонахождение оператора не имеют значения – если осуществляется обработка персональных данных субъекта-гражданина РФ, то требования закона на этот случай распространяется.

Какая ответственность предусмотрена для операторов за неисполнение требований закона?

Ответственность операторов за нарушение законодательства о персональных данных регламентируется ст. 13.11 КоАП. На данный момент санкции за обработку персональных данных без согласия субъекта предусмотрены следующие:

  • для граждан – предупреждение или штраф в размере от 3 тыс. до 5 тыс. руб.;
  • для должностных лиц – предупреждение или штраф от 10 тыс. до 20 тыс. руб.;
  • для юрлиц – предупреждение или штраф от 15 тыс. до 75 тыс. руб.

С 27 марта текущего года вступят в силу поправки об ужесточении ответственности оператора за нарушение положений законодательства о персональных данных (Федеральный закон от 24 февраля 2021 г. № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Во-первых, все существующие санкции в виде штрафов увеличиваются вдвое. Также упраздняется такой вид санкции как предупреждение. И, наконец, устанавливаются санкции за повторное нарушение.

После вступления в силу поправок санкции будут предусмотрены следующие:

  • для граждан – штраф в размере от 6 тыс. до 10 тыс. руб.;
  • для должностных лиц – штраф от 20 тыс. до 40 тыс. руб.;
  • для юрлиц – штраф от 30 тыс. до 150 тыс. руб.

При повторном нарушении предусмотрены следующие штрафы:

  • для граждан – штраф в размере от 10 тыс. до 20 тыс. руб.;
  • для должностных лиц – штраф от 40 тыс. до 100 тыс. руб.;
  • для ИП – штраф от 100 тыс. до 300 тыс. руб.;
  • для юрлиц – штраф от 300 тыс. до 500 тыс. руб.

Вступил в силу закон о праве требовать удаления персональных данных в интернете

МОСКВА, 1 марта. /ТАСС/. Закон о запрете распространения персональных данных граждан России без их специального согласия вступил в силу с 1 марта. Операторы теперь обязаны удалять персональные данные по первому запросу их владельца.

  • КС проверит правила обработки персональных данных журналистами на соответствие конституции
  • Госдума обязала соцсети с 1 февраля выявлять и блокировать запрещенный контент
  • Госдума приняла закон о праве требовать удаления общедоступных персональных данных

Автор закона — депутат, член комитета Госдумы по информполитике Антон Горелкин пояснил ТАСС, что с 1 марта каждый гражданин России впервые станет полноправным хозяином своих персональных данных в интернете.

Теперь граждане могут потребовать от любого ресурса в сети (сайт, соцсеть, мессенджер и так далее) прекратить распространять персональные данные. У администрации ресурса будет три дня на рассмотрение заявки и принятие решения по ней. Если через три дня ресурс продолжает распространять данные, гражданин вправе подать в суд.

«Отказать в удовлетворении требования могут, только если распространение ваших персональных данных представляет общественную значимость. Например, ваше имя упоминается в журналистской публикации на важную тему или связано с обнародованием материалов резонансного уголовного дела. Но даже в этих случаях у вас все равно остается право на суд, и владельцы ресурса должны будут доказать законность публикации ваших персональных данных в каждом конкретном случае», — пояснил Горелкин.

Он также сказал, что все это касается даже той информации, которую гражданин сам о себе выложил в публичный доступ. «Увидели опубликованный скрин вашей открытой страницы в соцсети — уже можете требовать его удалить. Аналогично с номером телефона, домашним адресом и даже просто вашим лицом. И тот факт, что информация взята из открытого источника, не будет оправданием для ее распространителя», — указал депутат.

Отдельное согласие

Также с 1 марта у граждан РФ должны будут спрашивать отдельное согласие на распространение личной информации. При регистрации на любых интернет-ресурсах, сказал Горелкин, уже недостаточно будет «галочки» под пользовательским соглашением: «Должен быть отдельный вопрос с возможностью прямого ответа на него. Никаких «подразумевается по умолчанию» и прочего юридического камуфляжа».

Перерегистрироваться на тех платформах, где уже есть аккаунты, не понадобится. Дополнительных запросов со стороны соцсетей или мессенджеров по поводу персональных данных пользователя сейчас тоже не будет. Но при перезаключении пользовательского соглашения, например, после очередного обновления ресурса, у пользователя уже должны будут спросить согласие в соответствии с новой нормой. Горелкин отметил, что на практике взаимодействие пользователя с интернет-ресурсами принципиально не изменится. Свои запросы по поводу персональных данных можно писать в той же форме обратной связи, которая использовалась на сайте до этого. Или же направлять их на официальный почтовый ящик организации, которая владеет ресурсом.

В пресс-службе Роскомнадзора ТАСС пояснили, что новый закон определяет согласие гражданина как единственное условие для распространения персональных данных. Он дает возможность определить перечень тех сведений, которые он готов сделать общедоступными. Кроме того, подчеркнули в ведомстве, операторы теперь обязаны удалять персональные данные по первому запросу их владельца.

До вступления закона в силу персональными данными, размещенными в общем доступе, например, открытыми профилями в социальных сетях, анкетами поиска работы на рекрутинговых сайтах и так далее мог воспользоваться неограниченный круг лиц. В частности, скопировать и далее распространить их на иных интернет-ресурсах без соответствующего согласия гражданина. Теперь в ситуации, когда персональные данные оказалась доступны неограниченному кругу лиц в результате правонарушения, преступления или форс-мажора, любой оператор, допустивший их дальнейшее распространение и тиражирование, обязан будет подтвердить законность своих действий или принять меры по прекращению такого распространения.

Например, пояснили в ведомстве, если произошла утечка базы данных какой-либо организации, ресурс или пользователь, разместивший у себя на веб-сайте или на странице в социальных сетях эту базу или ее часть, будет обязан доказать законность ее копирования, распространения и обработки. Если доказать законность обработки не удастся, то сайт должен удалить персональные данные либо его владелец будет оштрафован.

Читать еще:  Ответственность за неуплату алиментов и возможное принятие мер

24 февраля был опубликован закон, согласно которому размер штрафов будет достигать 100 тыс. рублей. Штраф за повторное правонарушение может достигать 300 тыс. рублей. Закон вступит в силу через 30 дней со дня опубликования. Сейчас штраф за подобные нарушения достигает 50 тыс. рублей.

Федеральный закон «О персональных данных»

О персональных данных
ВидФедеральный закон
Номер152-ФЗ
ПринятиеГосударственной думой 8 июля 2006 года
ОдобрениеСоветом Федерации 14 июля 2006 года
ПодписаниеПрезидентом России Владимиром Путиным 27 июля 2006 года
Вступление в силу26 января 2007 года
Первая публикация29 июля 2006 года в «РГ» — Федеральный выпуск № 4131
Действующая редакцияот 1 марта 2021 года
Текст в Викитеке

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных.

Содержание

  • 1 Изменения в законе
  • 2 Существенные стороны закона
  • 3 Выполнение требований 152-ФЗ в банковской сфере
  • 4 Эксперты о федеральном законе «О персональных данных»
  • 5 Примечания
  • 6 См. также
  • 7 Ссылки

Изменения в законе [ править | править код ]

Согласно изменениям, внесённым законом № 363-ФЗ от 27 декабря 2009 года, операторы персональных данных должны привести свои системы обработки персональных данных, запущенные до 1 января 2010 года, в соответствие с законом до 1 января 2011 года. Федеральным законом от 23 декабря 2010 года № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных до 1 января 2011 года, в соответствие с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ от 25.07.2011. Этим законом была уточнена сфера действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных. [1]

Федеральным законом «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017 N 13-ФЗ с 1 июля 2017 года ужесточена ответственность за несоблюдение закона «О персональных данных». Штраф за невыполнения тех или иных действий, предусмотренных в законе, составит от 10 000 до 75 000 руб. за каждое обнаруженное нарушение.

Существенные стороны закона [ править | править код ]

В соответствии с законом, в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилию, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.

Действие закона не распространяется на отношения, возникающие при:

  1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  2. организации хранения, комплектования, учёта и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
  3. обработке персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну;
  4. обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя (утратил силу — Федеральный закон от 25.07.2011 N 261-ФЗ);
  5. предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» (введён Федеральным законом от 28.06.2010 N 123-ФЗ).

Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд действий:

  1. направить уведомление об обработке персональных данных в уполномоченный орган (Закон № 152-ФЗ Ст. 22 п. 3);
  2. получать письменное согласие субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4);
  3. уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4).

Уведомление об обработке персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (Закон № 152-ФЗ ст. 22 п. 2).

Выполнение требований 152-ФЗ в банковской сфере [ править | править код ]

Поправка от 25 июля 2011 года (261-ФЗ) к 152-ФЗ «О персональных данных» наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было также утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).

Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона «О персональных данных»:

  • федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
  • под понятие информационной системы персональных данных, приведённое в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн АБС, реализующие банковские платёжные технологические процессы).

Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что также противоречит основной идее создания отраслевого стандарта.

В ближайшее время [ когда? ] статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.

Эксперты о федеральном законе «О персональных данных» [ править | править код ]

Многие эксперты считают, что закон «О персональных данных» является слишком общим, требует доработки с упором на международную практику и чёткой сегментации [2] .

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector