Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» в статье 19 закрепляет одну из ключевых обязанностей оператора, но её содержание часто путают с другими нормами закона. Разбираем, что реально регулирует этот раздел закона, какие меры он требует от оператора и с какими нормами его чаще всего путают.

О чём реально идёт речь: меры безопасности персональных данных

Официальное название нормы — «Меры по обеспечению безопасности персональных данных при их обработке». Она устанавливает обязанность оператора принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

Этот раздел закона часто путают со статьёй 6 «Условия обработки персональных данных», в которой реально перечислены случаи, когда обработка допускается без согласия субъекта: исполнение договора, полномочия государственных органов, защита жизни и здоровья при невозможности получить согласие, судопроизводство и другие основания — всего 11 пунктов части 1 статьи 6. К перечню оснований обработки норма о мерах безопасности отношения не имеет: она регулирует информационную безопасность уже осуществляемой обработки.

Какие меры безопасности требуются от оператора

Обеспечение безопасности персональных данных включает несколько взаимосвязанных элементов. Определение актуальных угроз безопасности при обработке в информационных системах — первый шаг, без которого невозможно выбрать адекватные меры защиты. Применение организационных и технических мер для нейтрализации этих угроз должно соответствовать уровню защищённости конкретной информационной системы. Использование средств защиты информации, прошедших процедуру оценки соответствия, обязательно для систем определённого уровня. Оценка эффективности принимаемых мер проводится до ввода информационной системы в эксплуатацию, а не постфактум.

Оператор также обязан вести учёт машинных носителей персональных данных, обнаруживать факты несанкционированного доступа и принимать меры реагирования, восстанавливать данные, изменённые или уничтоженные вследствие несанкционированного доступа, устанавливать правила доступа к персональным данным и регистрировать все действия с ними в информационной системе.

Связанные нормативные акты

Требования к защите персональных данных при их обработке в информационных системах для каждого уровня защищённости устанавливает Постановление Правительства РФ от 01.11.2012 №1119. Состав и содержание конкретных организационных и технических мер определяют приказы ФСТЭК России и ФСБ России в пределах своей компетенции: ФСТЭК отвечает за защиту от угроз, не связанных с использованием криптографических средств, ФСБ — за требования к криптографической защите.

Соотношение с другими статьями закона №152-ФЗ

Норма 152-ФЗРеальное содержание
Статья 6условия обработки персональных данных, включая перечень случаев обработки без согласия субъекта
Статья 9требования к содержанию и форме согласия субъекта на обработку персональных данных
Статья 18обязанности оператора при сборе персональных данных: что сообщить субъекту, запрет трансграничного хранения баз данных россиян
Статья 18.1меры, направленные на обеспечение выполнения оператором обязанностей по закону: внутренние локальные акты, назначение ответственного, аудит
Статья 19меры по обеспечению безопасности персональных данных при их обработке

Ответственность за нарушение требований безопасности

Невыполнение требований по защите персональных данных влечёт административную ответственность по статье 13.11 КоАП РФ: штрафы для юридических лиц могут достигать существенных сумм, а при повторном нарушении — до нескольких миллионов рублей в зависимости от состава нарушения. Роскомнадзор вправе проводить проверки соблюдения требований к защите данных, а при выявлении утечки — требовать устранения нарушений и привлекать оператора к ответственности отдельно за факт утечки.

Практическое значение для операторов персональных данных

Для коммерческих организаций и государственных органов, обрабатывающих персональные данные, выполнение этих требований означает необходимость выстроить систему защиты информации: определить актуальные угрозы, выбрать соответствующий уровень защищённости по ПП №1119, применить необходимые технические средства, вести журналы доступа и регистрации действий с данными. Это отдельная задача от получения согласия субъекта и от процедурных обязанностей при сборе данных — все эти нормы работают вместе, но регулируют разные аспекты обработки персональных данных, и подменять одну норму другой при подготовке внутренних документов компании нельзя.

Главное коротко

Вопросы и ответы

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Регулирует ли эта норма случаи обработки данных без согласия?

Нет, это распространённая ошибка. Случаи обработки без согласия перечислены в статье 6 закона №152-ФЗ, рассматриваемая норма посвящена мерам безопасности персональных данных.

Какая статья устанавливает требования к согласию субъекта?

Требования к согласию устанавливает статья 9: оно должно быть конкретным, предметным, информированным, сознательным и однозначным, к тому же закон определяет требования к его форме.

Что должен сделать оператор для соблюдения требований безопасности?

Определить актуальные угрозы безопасности, применить организационные и технические меры защиты по требованиям ПП №1119, вести учёт носителей и регистрацию действий с данными.

Чем статья 18.1 отличается от статьи 9?

Разница в предмете регулирования: 18.1 отвечает за внутренние организационные меры оператора (локальные акты, ответственный за обработку, аудит), а 9-я — именно за содержание и форму согласия субъекта.

Какая ответственность грозит за нарушение требований по защите данных?

Административная ответственность по статье 13.11 КоАП РФ, размер штрафа зависит от состава нарушения и повторности.

Нужна помощь с приведением обработки персональных данных в соответствие с законом?

Специалисты помогают провести аудит обрабатываемых персональных данных, определить применимые основания обработки, разработать локальные нормативные акты и настроить организационные и технические меры защиты по требованиям ПП №1119. Оставьте заявку на консультацию, чтобы разобраться, какие нормы 152-ФЗ применимы именно к вашей организации.

Источники