Обзор изменений 152 ФЗ 2015
Все об изменениях законодательства по персональным данным с 2012 по 2016 год простым языком: что изменилось, на что повлияло.
Что изменилось?
За 4 года законодательство по защите персональных данных (152 фз) претерпело не мало изменений, касающихся как вопросов обработки персональных данных, так и вопросов защиты персональных данных, а именно:

  • произведена замена классов информационных систем персональных данных на уровни защищенности персональных данных (Постановление правительства №1119 от 01.11.2012 г.)
  • определен новый состав мер по обеспечению безопасности персональных данных (Приказ ФСТЭК России №21 от 18.02.2013 г.)
  • введен запрет с 1 сентября 2015 года на хранение персональных данных россиян за рубежом (Федеральный закон №242-ФЗ от 21.07.2014 г.)
  • Роскомнадзор вышел из под действия закона о защите прав бизнеса при государственных проверках (Федеральный закон №242-ФЗ от 21.07.2014 г.)
  • начал действовать публичный реестр нарушителей прав субъектов персональных данных (Постановление Правительства №857 от 19.08.2015 г.)
  • изменена форма уведомления об обработке персональных данных и информационного письма об изменениях в Роскомнадзор с 18 декабря 2015 года (приказ Минкомсвязи №315 от 28.08.2015 г.)

Давайте поподробнее пройдемся по каждому из изменений.
«Количество изменений 152 фз и всего законодательства, касающегося персональных данных, достигло того состояния, что нельзя больше закрывать на них глаза и ничего не делать»
Максим Лагутин
Ведущий эксперт Б-152, Топ-эксперт по информационной безопасности Института Развития Интернета

Запрет хранения персональных данных за границей

Летом 2014 года в ответ на блокировку иностранных сервисов был принят закон №242-ФЗ, который обязывает бы с 1 сентября 2015 года запретить сбор и хранение персональных данных за рубежом, т.е. локализовать базы с персональными данными россиян на территории России.

Особо тщательно отнестись к закону следует иностранным компаниям, чьи филиалы открыты в России. Именно у них основная часть информационных систем и баз персональных данных располагается заграницей.

Помимо того, что законом требуется локализовать базы персональных данных, он также требует каждую организацию уведомить Роскомнадзор об адресе месторасположения баз персональных данных. Соответствующее поле уже появилось в форме уведомления.

Закон породил множество вопросов, связанных с техническими моментами локализации баз персональных данных и проверкой выполнения данного требования.

Минкомсвязи и Роскомнадзор уже высказали свои мнения по данному вопросу. Требуют внимания из них только ответы на наиболее острые вопросы.
Вопрос
Насколько строго будет применяться Федеральный закон №242-ФЗ?
Ответ
В соответствии с положениями статьи 24 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» лица, виновные в нарушении требований указанного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность, включая административную, гражданского-правовую, а также уголовную.
Вопрос
Требуется ли уведомлять Роскомнадзор о месторасположении баз персональных данных?
Ответ
Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 статьи 22 Федерального закона "О персональных данных" должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Вопрос
Запрещена ли трансграничная передача персональных данных после вступления в силу закона №242-ФЗ?
Ответ
Закон о локализации персональных данных россиян не отменяет трансграничную передачу персональных данных.
На данный момент выполнение требований закона о локализации проверяется Роскомнадзором путем запроса у оператора персональных данных копии бумажного договора с российским хостинг. Но в ближайшее время он должен выработать более совершенную методику проверки.

Лазейки, позволяющие выполнить закон "малой кровью", есть. Но нужно понимать, что локализация персональных данных это мировой тренд и помимо России, много других известных стран также ввели соответствующие требования. Поэтому не стоит откладывать этот вопрос в "долгий ящик".
~

Отмена классификации
информационных систем

В ноябре 2012 года вместо классов информационных систем были введены уровни защищенности персональных данных. При этом многие организации до сих пор пользуются классами, хотя они официально были упразднены.

Определять уровни защищенности персональных данных обязан каждый оператор персональных данных, который обрабатывает персональные данные в информационных системах (например, в 1С: Кадры, CRM, корпоративном сайте).

Если классы информационных систем определялись на основании категории персональных данных и их количества (а в некоторых случаях и требуемых характеристик безопасности), то уровни защищенности персональных данных зависят от 4 параметров:

  • категория обрабатываемых персональных данных
  • физические лица (субъекты персональных данных), чьи данные обрабатываются
  • количество физических лиц, персональные данные о которых обрабатываются
  • тип актуальных угроз

Для упрощения определения уровня защищенности персональных данных, обрабатываемых в той или иной информационной системе, пользуются наглядной табличкой.
Определить по такой табличке уровень защищенности не составит труда, если принять за истину, что тип актуальных угроз для информационных систем у организаций будет третьим (3), а для государственных информационных систем первым (1) или вторым (2).

От уровня защищенности персональных данных зависит конкретный перечень мер защиты, которые будет необходимо выполнить. Их мы рассмотрим далее.

Новый состав мер
по защите персональных данных

Вместо Приказа ФСТЭК № 58 от 5 февраля 2010 года, был введен новый приказ с новым, более продуманным списком мер по обеспечению безопасности персональных данных при их обработке в информационных системах.

Всего в новый состав мер по обеспечению безопасности персональных данных входит 109 мер, из которых 40 являются компенсирующими.

Вы можете ознакомится с ними:
Процедура определения мер немного усложнилась и состоит из 5 шагов:
Шаг 1. Определение уровня защищенности
Шаг 2. Определение базового набора мер
Шаг 3. Адаптация набора мер
Шаг 4. Уточнение перечня мер с учетом актуальных угроз
Шаг 5. Дополнение требований

Эти изменения позволяют снизить стоимость технической защиты за счет применения компенсирующих мер вместо основных, исходя из экономической целесообразности или технической невозможности их применения.
~
Получите консультацию по изменениям 152 фз у квалифицированного специалиста

Заполните форму и наш специалист свяжется с вами для предоставления консультации по произошедшим в 152 фз изменениям.
~

Выход Роскомнадзора из под действия закона о защите бизнеса при проверках

Со вступлением в силу закона 242-ФЗ о локализации баз персональных данных, также случилось еще одно важное событие, а именно выход Роскомнадзора из под действия Федерального закона № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении. Государственного контроля (надзора)".

По факту это означает, что законодательно проверочная деятельность Роскомнадзора по персональным данным ничем не ограничивается и не регулируется. Но не все так плохо.
Во-первых, Роскомнадзор до сих пор осуществляет проверки по утвержденному внутреннему регламенту, основанному на требованиях 294-ФЗ.

Во-вторых в этом году будет издано Постановление Правительства, регламентирующее проверки в области персональных данных.

Тем не менее Роскомнадзор в этом году перестал согласовывать все плановые проверки с Прокуратурой, из-за чего на сайте последней выложен неточный план проверок Роскомнадзора.

Но количество плановых проверок Роскомнадзора уменьшается, чего не сказать о внеплановых проверках, количество которых существенно увеличилось за последние годы.
~
Получите консультацию по изменениям 152 фз у квалифицированного специалиста

Заполните форму и наш специалист свяжется с вами для предоставления консультации по произошедшим в 152 фз изменениям.
~

Реестр нарушителей прав субъектов персональных данных

Закон 242-ФЗ не только ввел требование локализации баз персональных данных россиян, но и утвердил создание публичного реестра нарушителей прав субъектов персональных данных.

Туда вносятся сайты, на которых не соблюдаются права физических лиц.

Физическое лицо, при обнаружении несоблюдения его прав (на практике - при любом недовольстве), как субъекта персональных данных, может написать соответствующий запрос в Роскомнадзор. Последний обязан отреагировать. В случае положительного решения суда, хостинг провайдер уведомит владельца сайта о необходимости исправить нарушение. Если нарушение не будет исправлено в течение 3х рабочих дней, то сайт будет заблокирован.

Ознакомиться с реестром операторов можно на сайте Роскомнадзора.
Внесение сайта в реестр нарушителей прав субъектов персональных данных и его последующая блокировка в законе описана рамочно и более точная методика и регламент блокировки будут утверждены, по информации Роскомнадзора, в этом году.

Ответственной за блокировку сайтов будет назначена специальная организация.
~

Изменение формы уведомления об обработке персональных данных

Под конец года Роскомнадзор вывесил на своем сайте обновленную форму уведомления об обработке персональных данных и письма о внесении изменений в реестр операторов персональных данных, внеся туда поля для указания месторасположения баз персональных данных.
Также, неожиданно для всех, в форму уведомления добавили поля для указания общих контактов (email и телефон) оператора персональных данных и разбивку по информационным системам.

Теперь необходимо указывать информационные системы, со следующей информацией о каждой из них:
  • перечень обрабатываемых персональных данных
  • категории физических лиц (субъектов персональных данных), чьи персональные данные обрабатываются
  • перечень осуществляемых действий с персональными данными
  • тип обработки персональных данных
  • наличие передачи по сети юридического лица
  • наличие подключения к Интернету
  • адрес месторасположения базы персональных данных
  • наименование и контактные данные владельца хостинг-провайдера или центра обработки данных, если база персональных данных расположена там

Изменения весьма серьезные и Роскомнадзор точно будет рассылать операторам персональных данных письма с просьбой "переподать уведомление".
Каких изменений ждать
в 2016 году?
Тема изменений законодательства по защите персональных данных не будет полной, если не указать изменений, ожидаемых в этом году.

1. В конце марта должна выйти Методика определения угроз безопасности информации в информационных системах, которая заменит собой Методику определения угроз безопасности персональных данных, утвержденную ФСТЭК России 14.02.2008 г.

2. Вторая редакция Приказа ФСТЭК России №21 о перечнях мер по обеспечению безопасности персональных данных должна также выйти до конца второго квартала.
Если вы планировали обновлять или внедрять систему защиты, то рекомендуем подождать до конца года, когда вступившие в силу изменения "утрясутся" и появится какая-либо практика их применения.

3. Постановление Правительства "Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации" увидит свет также в этом году. Наиболее интересным из него является перечень причин для проведения внеплановых проверок Роскомнадзором:

  • Истечение срока выданного предписания
  • По доказательным обращениям граждан
  • Непредоставление информации по запросу Роскомнадзор
  • Наличие факта нарушения, полученного от СМИ, государственных и муниципальных органов
  • Поручение Президента или Правительства
  • Нарушение, выявленное в ходе систематического наблюдения
  • Несоответствие сведений, указанных в уведомлении
  • В случае неустранения нарушений, выявленных Роскомнадзором

4. Предположительно в этом году может вступить в силу новый Кодекс об Административных Правонарушениях (КоАП), который интересен не только кратным повышением большинства штрафов, но и расширением перечня нарушений, касающихся обработки персональных.
Зная о вступивших в силу изменениях и тех, которые предполагаются в этом году, надеемся, вы сможете застраховать себя от всех рисков, которые несет в себе закон "О персональных данных".
~
Получите консультацию по изменениям 152 фз у квалифицированного специалиста

Заполните форму и наш специалист свяжется с вами для предоставления консультации по произошедшим в 152 фз изменениям.
~
© 2016 Все права защищены
+7 (499) 372-06-52 | info@b-152.ru