Законодательство о защите данных (конфиденциальности) в России

Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. Найти источники:   «Законы о защите данных (конфиденциальности) в России» – новости   · газеты   · книги   · ученые   · JSTOR ( март 2011 г. ) ( Узнайте, как и когда удалить это сообщение )

Законы о защите данных (конфиденциальности) в России представляют собой быстро развивающуюся отрасль российского законодательства , которая в основном была принята в 2005 и 2006 годах. ^[1] Федеральный закон Российской Федерации «О персональных данных» (№ 152-ФЗ), принятый 27 июля 2006 г., составляет основу российского законодательства о конфиденциальности и требует от операторов данных принимать «все необходимые организационные и технические меры, необходимые для защиты персональных данных от неправомерных действий». или случайный доступ». ^[2] Поправка была подписана 20 декабря 2020 года и вступила в силу 1 марта 2021 года. Поправка требует, чтобы «персональные данные, ставшие общедоступными», должны были получить согласие субъекта данных. ^[3] Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является государственным органом, которому поручен надзор за соблюдением требований. ^[4]

• Конвенция о защите физических лиц при автоматической обработке персональных данных, подписанная и ратифицированная Российской Федерацией 19 декабря 2005 г.; ^[5]
• Закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ, регулирующий обработку персональных данных средствами автоматизации . Именно оператор обязан соблюдать этот Закон;
• «Положение об обеспечении безопасности персональных данных, обрабатываемых в системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 № 781. Положение содержит обязательные правила безопасности, которые необходимо соблюдать при обработке и хранении персональных данных;
• Федеральный закон «О рекламе» от 13.03.2006 № 38-ФЗ. Это регулирует маркетинговые коммуникации, отправляемые, в частности, с помощью электронных средств, включая электронную почту, SMS и т. д.;
• Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ. Этим регламентируются вопросы ответственности за совершение административных правонарушений, связанных с обработкой персональных данных или распространением маркетинговых коммуникаций.

• Персональные данные – любая информация, относящаяся к идентифицированному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), включая фамилию, имя, отчество , число, месяц, год и место рождения, адрес, семейный, социальный, имущественный статус. , образование, профессия, доход, другая информация; ^[6]
• конфиденциальные персональные данные означают персональные данные, относящиеся к:
  • Раса или этническое происхождение
  • Политические взгляды
  • Религиозные верования
  • Состояние здоровья
  • Сексуальная жизнь
• обработка — это все, что может быть сделано с персональными данными или с ними, включая получение, систематизацию, накопление, хранение, корректировку (обновление, изменение), использование, раскрытие (включая передачу), выдачу себя за другое лицо, блокирование или уничтожение таких данных;
• оператор – лицо, которое организует и/или осуществляет обработку данных, а также определяет цели и способ обработки данных. В большинстве случаев операторами являются как материнская компания, так и организация, которая управляет соответствующим объектом или предлагаемой услугой;
• Система персональных данных – система данных, включающая персональные данные, зафиксированные в базе данных, а также информационные технологии и технические средства, обеспечивающие возможность обработки таких данных.

согласие Для обработки его персональных данных необходимо физического лица. Это правило не применяется, если такая обработка необходима для исполнения договора, стороной которого является физическое лицо.

Следует иметь в виду, что субъект персональных данных вправе в любое время отозвать ранее предоставленное согласие, что обязывает оператора прекратить обработку таких персональных данных и уничтожить их в течение трех рабочих дней (если иной срок не согласован с оператора и физического лица) после даты такого отзыва и уведомить субъекта персональных данных о факте уничтожения его персональных данных.

В частности, обработка персональных данных в целях прямого маркетинга может осуществляться при наличии предварительного согласия субъектов персональных данных. Отсутствие такого согласия предполагается, если оператор не докажет обратное. Обработка персональных данных в указанных выше целях должна быть немедленно прекращена по требованию субъекта персональных данных.

В момент получения персональных данных оператор обязан по запросу физического лица сообщить последнему информацию, касающуюся оператора и процесса предполагаемой обработки.

В случае, если персональные данные получены не непосредственно от субъекта персональных данных, оператор до начала обработки такой информации обязан предоставить физическому лицу следующую информацию:

• имя и адрес оператора или его представителя;
• цель и правовые основания обработки персональных данных;
• ожидаемые пользователи персональных данных; и
• права физического лица в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Как правило, запрещается каким-либо образом обрабатывать конфиденциальные персональные данные физического лица, за исключением случаев, когда до обработки от физического лица было получено прямое письменное согласие, содержащее все условия, предусмотренные законом.

Как правило, при передаче персональных данных за пределы Российской Федерации оператору необходимо перед такой передачей убедиться, что права субъектов персональных данных будут пользоваться адекватной и достаточной защитой в стране назначения.

До 1 сентября 2015 года позиция Федеральной службы связи, государственного органа, ответственного за защиту персональных данных, заключалась в том, что адекватная и достаточная защита существует только в тех иностранных государствах, которые подписали и ратифицировали Конвенцию о защите физических лиц при автоматической обработке персональных данных . Тем не менее, есть три основных исключения, которые разрешают передачу персональных данных в страны, где применяются более низкие стандарты защиты персональных данных или вообще отсутствуют, а именно:

• Когда передача необходима для исполнения договора, стороной которого является физическое лицо
• При условии предварительного письменного согласия субъекта персональных данных, содержащего все условия, предусмотренные законодательством, на такую ​​передачу.
• Когда передача необходима для исполнения Российской Федерацией своих обязательств по международному договору о реадмиссии

1 сентября 2015 года вступила в силу новая «Статья 18 (5)», более строго ограничивающая экспорт данных. ^[7]

Российское законодательство накладывает строгие ограничения на использование электронных средств связи для прямого маркетинга. А именно, явное согласие должно быть получено от человека до того, как ему будут отправлены маркетинговые сообщения по электронной почте или SMS. Отсутствие такого предварительного согласия предполагается, если отправитель не докажет обратное. Закон предусматривает немедленное прекращение рассылки маркетинговых сообщений в кратчайшие сроки. Также следует отметить, что в России категорически запрещено отправлять электронные письма или SMS-сообщения с помощью автодозвона.

Для отправки маркетинговых сообщений по почте оператору необходимо получить специальное разрешение Федеральной службы связи. К сожалению, процедура получения такого разрешения пока не установлена.

В случае обработки персональных данных они должны быть адекватными, актуальными и не чрезмерными по отношению к цели или целям, для которых они обрабатываются.

Обрабатываемые персональные данные пользуются режимом конфиденциальности. Подразумевает использование Оператором достаточных технических и организационных средств, предназначенных для предотвращения несанкционированного доступа любых третьих лиц к обрабатываемой персональной информации. Должны существовать процедуры (включая издание внутренних правил или указов), регулирующие процесс доступа к такой конфиденциальной информации.

Персональные данные должны быть точными и обновляться при необходимости. Оператор обязан обеспечить доступность персональной информации для ознакомления субъектов персональных данных по их запросу. В случае, если такие субъекты обнаружат, что данная информация устарела или неадекватна, оператор будет обязан прекратить обработку такой информации до внесения необходимых изменений.

Персональные данные не должны храниться дольше, чем это необходимо для целей их обработки, что требует их уничтожения после достижения таких целей или в случае, если их выполнение больше не требуется.

Персональные данные должны обрабатываться в соответствии с правами субъектов персональных данных, предусмотренными действующим законодательством о защите данных. Оператор будет нарушать этот принцип, если, среди прочего, он:

• противоречит положениям о правах доступа, установленным законодательством;
• не выполняет требование о прекращении обработки в течение срока, установленного законом или согласованного сторонами.

Должны быть предусмотрены процедуры, гарантирующие, что компьютерные системы настроены соответствующим образом, чтобы обеспечить точную регистрацию предоставления согласия во всех соответствующих случаях, описанных в настоящем документе. Также должны быть предусмотрены процедуры, гарантирующие, что на любые уведомления или запросы будут оперативно отвечать и обрабатываться.

Должны быть приняты соответствующие технические и организационные меры против несанкционированной или незаконной обработки персональных данных, а также против случайной потери, уничтожения или повреждения персональных данных. Операторам следует рассмотреть соответствующие меры для обеспечения целостности данных (для электронной обработки), включая установку программного обеспечения для защиты от вирусов и межсетевых экранов, внедрение шифрования для передачи данных, использование технологий повышения конфиденциальности и создание регулярных резервных копий, которые надежно хранятся. При ручной обработке следует принять во внимание соответствующие меры безопасности, такие как хранение бумажных записей в запираемых огнестойких шкафах.

Соответствующие положения требуют эффективной защиты персональных данных. Обязательные положения о защите таких данных в настоящее время разрабатываются Федеральной службой безопасности (далее – «ФСС»), которые будут опубликованы в течение двух месяцев. На данный момент, по информации, полученной от специалиста ФСС в ходе телефонной консультации, у ФСС имеется предварительный проект указанного положения, в который могут быть внесены изменения, поскольку окончательная версия указанного положения должна быть опубликована в течение двух месяцев. Проект в действующей редакции предусматривает защиту всех персональных данных, передаваемых за пределы России, в шифрованном виде . Стоит отметить, что пока практически возможно использовать для этой цели только российское шифровальное программное обеспечение и оборудование.

Законодательство предоставляет субъектам персональных данных определенные права в отношении хранящихся о них персональных данных. К ним относятся:

• право доступа к информации, касающейся оператора и обрабатываемых персональных данных;
• право требовать прекращения обработки, блокирования или изменения персональных данных, которые были получены незаконным путем, являются неадекватными или устаревшими; и
• право требовать немедленного прекращения обработки в целях прямого маркетинга.

В законодательстве описаны отдельные категории персональных данных: ^[8]

• Публичные – персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Федерального закона РФ «О персональных данных» (№ 152-ФЗ).
• Биометрия - информация, характеризующая физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором персональных данных для идентификации субъекта персональных данных.
• Специальные – персональные данные, относящиеся к расовой принадлежности, этническому происхождению, политическим взглядам, религиозным убеждениям, состоянию здоровья, сексуальной жизни субъектов персональных данных.
• Прочие – персональные данные, не относящиеся ни к одной из вышеперечисленных категорий (публичные, биометрические, специальные).

Операторы, на которых распространяется действие российского законодательства, обязаны направить уведомление в территориальный орган Федеральной службы по надзору в сфере массовых коммуникаций, связи и сохранению культурного наследия (далее – «Федеральная служба связи») по каждому региону России, где он обладает средствами обработки личной информации. Для Москвы это будет Московское управление указанной федеральной службы. Такое уведомление необходимо для включения оператора в конкретный Реестр и осуществляется операторами, осуществлявшими обработку персональной информации до вступления в силу Федерального закона «О персональных данных» от 27.07.2006 и продолжающими ее обработку после его вступления в силу до вступления в силу Федерального закона «О персональных данных» от 27.07.2006. до 1 января 2008 года. Операторы, которые до вступления в силу указанного закона не осуществляли обработку персональных данных с использованием своего или стороннего оборудования, расположенного на территории России, должны направить уведомление до фактического начала обработки персональных данных. Важно, чтобы указанное уведомление содержало информацию, предусмотренную действующим законодательством.

Сфера применения российского законодательства о защите данных: Российские законы применяются, когда оператор использует собственное или стороннее оборудование для обработки данных, расположенное в России. А также в случаях, когда данные уже были переданы за пределы России, но до или во время такой передачи произошло нарушение прав субъекта персональных данных. Если данные будут переданы за пределы России в установленном порядке, они впоследствии будут регулироваться законодательством страны назначения, и последствия российского законодательства к ним не будут применяться.

В большинстве случаев Федеральная служба связи обладает юрисдикцией только в отношении данных, хранящихся или обрабатываемых в России. Тем не менее, правовые последствия российского законодательства о защите данных будут применяться в отношении данных, уже переданных за пределы России, в случае, если права физических лиц, персональные данные которых были собраны и обработаны с использованием оборудования, расположенного в России, были нарушены до или во время такой передачи (например, оператор передал персональные данные в страну, где персональные данные не пользуются адекватной защитой, без предварительного письменного согласия субъекта данных). В этом случае Федеральная служба связи может предъявить иски к операторам о защите прав субъектов персональных данных и наложить соответствующие штрафы за нарушение законодательства о защите информации.

• Суверенитет данных
• Локализация данных
• Конфиденциальность
• Конфиденциальность информации (защита данных)
• Управление данными
• Национальные органы по защите данных

• Конвенция о защите частных лиц при автоматической обработке персональных данных
• Электронная база данных законодательства РФ (на русском языке)
• Альтернативная база данных по российскому законодательству - некоторые доступны на английском языке.
• Энциклопедия российского права
• делопроизводители, российские графики хранения документации
• Белая книга «Защита персональных данных в России»