Информационные системы персональных данных требуется привести в законодательное соответствие к 1 января 2010 г

(Юридическая фирма «Гольцблат БЛП», Практика трудового права, Интеллектуальная собственность / Информационные технологии)

(Подготовлен для системы КонсультантПлюс, 2009)

ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБУЕТСЯ

ПРИВЕСТИ В ЗАКОНОДАТЕЛЬНОЕ СООТВЕТСТВИЕ К 1 ЯНВАРЯ 2010 Г.

(Юридическая фирма «Гольцблат БЛП», Практика трудового права,

Интеллектуальная собственность / Информационные технологии)

Информационное письмо N 87

Материал подготовлен с использованием правовых актов

по состоянию на 19 ноября 2009 года

Юридическая фирма «Гольцблат БЛП» напоминает о том, что с 1 января 2010 года вступают в силу отдельные положения действующего Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее — Федеральный закон), предусматривающие дополнительные требования, предъявляемые к информационным системам персональных данных.

С 1 января 2010 г. большинство информационных систем персональных данных в обязательном порядке должны пройти нововведенную процедуру оценки соответствия требованиям нормативных документов, действующим в данной сфере. Новые положения, таким образом, дополняют ранее установленные Федеральным законом требования о получении согласия субъекта персональных данных на их обработку, а также об уведомлении Роскомнадзора операторами о начале обработки персональных данных.

В связи с этим на всех операторов, осуществляющих обработку персональных данных, возложена обязанность по классификации информационных систем персональных данных.

Операторами являются государственные и муниципальные органы, юридические и физические лица, которые определяют цели и содержание обработки персональных данных, организуют или осуществляют их обработку.

Персональными данными считается любая информация, относящаяся к определенному физическому лицу, а именно: имя, адрес, имущественное положение, доходы и другая информация.

Под информационными системами персональных данных понимается совокупность персональных данных, а также технологий и технических средств, позволяющих осуществлять их обработку (сбор, систематизацию, хранение, использование, распространение и т. д.).

Для целей классификации информационных систем персональных данных персональные данные разделены на четыре категории:

— категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

— категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию (за исключением персональных данных, относящихся к категории 1);

— категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;

— категория 4 — обезличенные и (или) общедоступные персональные данные.

В целях дифференцированного подхода к обеспечению безопасности персональных данных в зависимости от характера и объема обрабатываемых персональных данных информационным системам присваивается 1, 2, 3 или 4 класс.

Сообразно этому оценка соответствия информационных систем требованиям безопасности персональных данных зависит от вида класса:

— 1 и 2 классы (наличие большого объема данных и/или данных, относящихся к частной жизни субъектов) — обязательная сертификация;

— 3 класс — декларация о соответствии;

— 4 класс (исключительно обезличенные и/или общедоступные данные) — не подлежит обязательной оценке соответствия.

В зависимости от класса информационной системы оператор обязан реализовать различные мероприятия, направленные на защиту персональных данных.

Помимо оценки соответствия информационных систем персональных данных, нормативными актами предусмотрена также сертификация используемых в информационных системах средств защиты информации. Так, криптографические средства защиты подлежат сертификации в системе ФСБ России.

Кроме того, с 1 января 2010 г. операторы персональных данных будут также обязаны иметь лицензии на те лицензируемые виды деятельности по защите конфиденциальной информации, которые они осуществляют. В частности, в случае использования криптографических средств защиты информации оператор обязан иметь лицензию ФСБ России на право осуществления деятельности по техническому обслуживанию криптографических средств.

Несоблюдение требований может быть квалифицировано как правонарушение по целому ряду статей Кодекса Российской Федерации об административных правонарушениях. Среди них: нарушение порядка обработки персональных данных; нарушение лицензионных требований и условий; осуществление лицензируемого вида деятельности в отсутствие лицензии.

Отдельно стоит отметить, что на сегодняшний день до конца неясен практический порядок реализации отдельных норм Федерального закона. Также не исключено, что срок введения отдельных положений Федерального закона будет перенесен на более поздний, поскольку в настоящее время в Государственной Думе РФ на рассмотрении находится соответствующий законопроект.

——————————————————————