На школе-семинаре АВЕРС (Анапа-2009) А.Б.Вифлеемский, директор Центра экономики образования, д.э.н., Нижний Новгород, высказал ряд интересных соображений по вопросам правового обеспечения обработки персональных данных (ПД). У меня они преломились в дополнение к "Саге о ПД" следующим образом.

1. Невозможна проверка информационных систем (ИС) на соответствие "требованиям Правительства РФ к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (N152-ФЗ "О персональных данных", статья 19 ч.2) в связи с отсутствием соответствующих нормативных актов, определяющих порядок такой проверки:

   • Постановление Правительства РФ от от 17.11.2007 N781 возлагает ответственность за требования на ФСТЭК
   • Приказ ФСТЭК России, ФСБ России, МИНИНФОРМСВЯЗИ России от 13.02.2008 N55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных" определяет порядок проверки ИС на основании ведомственных инструкций
   • в составе инструкций 4 имеют гриф ДСП, которые на основании Конституции РФ (ч. 3 ст. 15), п.10 Правил, утвержденных Постановлением Правительства РФ от 13.08.1997 N1009, не являются нормативными документами как неопубликованные

   Отсутствие нормативных актов, определяющих порядок проверки ИС, - достаточное условие для отказа в претензиях к оператору ПД.

   (Примечание. В ноябре 2009 года гриф ДСП был снят)

2. Требование по получению лицензии ФСТЭК для оператора ПД в отношении ИС класса К1, К2 и распределенных К3 может быть неосуществимо для ряда операторов ПД, в частности, для образовательных учреждений (ОУ), т.к.

   • для лицензирования работ по защите данных необходимо предусмотреть такие работы в списке видов деятельности в уставных документах
   • внесение в устав деятельности по защите данных может быть затруднено в связи с ее непрофильностью для ОУ

   (Примечание. В феврале 2010 требования по лицензированию изменены, ситуация заметно упростилась)

3. При подготовке нормативной базы по ПД необходимо учесть Трудовой кодекс РФ, глава 14 "О защите персональных данных работника"

4. Отсутствие локального акта о ПД может повлечь привлечение к административной ответственности по ст. 5.27 КОАП РФ:

   • на должностных лиц - в размере от 5 до 50 МРОТ
   • на юридических лиц
   • от 300 до 500 МРОТ
   • или административное приостановление деятельности на срок до 90 суток.

5. Перечень правовых и нормативно-методических документов по защите ПД:

   • Рекомендации Организации по экономическому сотрудничеству и развитию (ОЭСР) "Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными" (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data), 23.09.1980.
   • Конвенция Совета Европы от 28 января 1981 года "О защите физических лиц при автоматизированной обработке персональных данных".
   • Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных.
   • Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций.
   • Конституция Российской Федерации (принята 12.12.1993, ред. от 21.07.07 N 5-ФЗ), ст. 23, 24 (Неприкосновенность частной жизни, Личная и семейная тайна), ст. 41, 42 (Недопустимость сокрытия информации, связанной с угрозой жизни и здоровью).
   • Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных".
   • Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации".
   • Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
   • Уголовный кодекс Российской Федерации от 13 июня 1996 г. N 63-ФЗ.
   • Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ.
   • Трудовой кодекс РФ, глава 14 "О защите персональных данных работника".
   • Указ Президента РФ от 6 марта 1997 г. N 188 "Перечень сведений конфиденциального характера" (в ред. Указа Президента РФ от 23.09.05 N 1111).
   • Указ Президента РФ от 30 мая 2005 г. N 609 "Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".
   • Указ Президента РФ от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена".
   • Постановление Правительства РФ от 3 ноября 1994 г. N 1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".
   • Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
   • Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
   • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
   • Приказ Россвязьохранкультуры от 28 марта 2008 г. N 154 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных".
   • Приказ Россвязьохранкультуры от 13 мая 2008 г. N 340 "Об утверждении образца формы уведомления об обработке персональных данных".