Бухгалтерский учет, налогообложение, отчетность, МСФО, анализ бухгалтерской информации, 1С:Бухгалтерия

Защита персональных данных: история нерешенных проблем или готовимся к 1 июля 2011 года

14.04.2011
Защита персональных данных: история нерешенных проблем или готовимся к 1 июля 2011 года
Федеральным законом от 23.12.2010 № 359-ФЗ в очередной третий раз было отсрочено полное вступление в силу Федерального закона от 26.06.2007 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ). С учетом внесенных изменений, информационные системы персональных данных должны быть приведены в соответствии с требованиями действующего законодательства к 1 июля 2011 года. Таким образом, у операторов есть еще некоторое время на проведение необходимых мероприятий по защите персональных данных (далее - ПДн). В рамках данной статьи И.А. Баймакова рассматривает, какие же проблемы остаются нерешенными при применении Федерального закона № 152-ФЗ и подзаконных актов, а также что можно и нужно сделать операторам персональных данных до 1 июля 2011 года.

Содержание


В соответствии с пунктом 1 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и защите информации" (в ред. от 27.07.2010) защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

"1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации."

Говоря о защите информации в целом, прежде всего следует различать требования, предъявляемые к защите сведений:

  • составляющих государственную тайну;
  • признаваемые коммерческой тайной;
  • персонального характера.

Российское законодательство о защите персональных данных является относительно новым и существует множество нерешенных вопросов, что зачастую препятствует выполнению операторами персональных данных необходимых требований действующего законодательства о персональных данных.

Однако несмотря на значительный комплекс проблем необходимо понимать, что:

1. Все без исключения физические лица являются субъектами ПДн.
2. Все без исключения организации являются операторами персональных данных и должны рассматривать требования Закона о персональных данных с точки зрения обеспечения наших прав и свобод, закрепленных Конституцией РФ.
3. Четкое выполнение требований регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России) - уменьшение рисков манипулирования со стороны персонала и конкурентов.

Несколько постулатов о защите информации

В соответствии с пунктом 1 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и защите информации" (в ред. от 27.07.2010) защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

"1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации."

Говоря о защите информации в целом, прежде всего следует различать требования, предъявляемые к защите сведений:

  • составляющих государственную тайну;
  • признаваемые коммерческой тайной;
  • персонального характера.

Российское законодательство о защите персональных данных является относительно новым и существует множество нерешенных вопросов, что зачастую препятствует выполнению операторами персональных данных необходимых требований действующего законодательства о персональных данных.

Однако несмотря на значительный комплекс проблем необходимо понимать, что:

1. Все без исключения физические лица являются субъектами ПДн.
2. Все без исключения организации являются операторами персональных данных и должны рассматривать требования Закона о персональных данных с точки зрения обеспечения наших прав и свобод, закрепленных Конституцией РФ.
3. Четкое выполнение требований регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России) - уменьшение рисков манипулирования со стороны персонала и конкурентов.

Основные вехи развития законодательства о защите ПДн и существующие проблемы

История развития законодательства о защите персональных данных в мире насчитывает не одно десятилетие. Основным международным документом является Конвенция "О защите физических лиц при автоматизированной обработке персональных данных" ETS-108 (Страсбург, 28 января 1981 г.), которая была принята государствами-членами Совета Европы с целью обеспечения на территории каждой из сторон договора уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой его персональных данных.

Российской Федерацией данная конвенция была ратифицирована только 19 декабря 2005 года Федеральным законом № 160-ФЗ. Именно с этого момента можно говорить о начале развития законодательства о защите персональных данных в РФ. Несмотря на принятие Федерального закона № 152-ФЗ в 2006 году, данный закон в полную силу вступит с 1 июля 2011 года.

Перенос вступления в силу данного закона обусловлен целым рядом факторов.

Во-первых, проведение комплекса мероприятий по защите персональных данных требует существенных финансовых затрат. Причем в наиболее сложной ситуации оказываются бюджетные учреждения (образования, медицины и т. п.), которым средства бюджета на проведение необходимых мероприятий не выделены.

Во-вторых, действующее законодательство о персональных данных содержит множество "вопросов без ответа". Например, к числу вопросов, "на которые ответит время", можно отнести:

1. Какие сведения можно признать персональными данными?

Обратимся к определению, приведенному в статье 3 Федерального закона № 152-ФЗ. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

От четкого ответа на данный вопрос зависит объем сведений, подлежащих защите и соответственно комплекс проводимых мероприятий. Вряд ли у кого возникнут сомнения, что информация о работниках организации (фамилия, имя, отчество, паспортные данные, номер страхового свидетельства, ИНН, место жительства, сведения об образовании и т. п.) является сведениями персонального характера, и эти данные подлежат защите в соответствии с требованиями законодательства о персональных данных.

Множество вопросов вызывают данные о "контактных лицах" контрагентов. Причем набор таких данных, как правило, ограничен. Например, фамилия, имя, отчество, должность, служебный телефон. На основании определений, приведенного в законе, дать однозначный ответ на вопрос: "Являются ли такие данные персональными?" не представляется возможным.

Как поступать в такой ситуации? В качестве разрешения сложившейся ситуации может быть предложено максимально четкое определение в организационно-распорядительных документах организации перечня сведений, признаваемых персональными данным в положении о персональных данных, утвержденном в организации. Можно воспользоваться рекомендациями по выполнению законодательных требований при обработке персональных данных в организациях банковской системы, совместно подготовленными Банком России, Ассоциацией Российских банков и Ассоциацией "Россия". В приложении № 3 к данным рекомендациям приведен примерный перечень персональных данных. Стоит обратить внимание, что к персональным данным отнесены лишь "номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту)". Номер служебного телефона к сведениям персонального характера не относится. В ряде случае в общении с контрагентами, возможно, будет достаточной информацией - имя, отчество и рабочий телефон. Такие данные к персональным относится уже не будут.

2. Когда необходимо получать согласие работника на обработку данных

Напомним, что получать согласие на обработку данных не требуется, если предоставление таких данных определено федеральным законом. Например, при трудоустройстве предоставление необходимых сведений регламентировано статьей 65 ТК РФ. При этом в рассматриваемой статье определено, что "запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных настоящим Кодексом, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ".

Такое требование как ИНН в этом перечне отсутствует, соответственно, получение сведений об ИНН, возможно только при наличии согласия субъекта персональных данных.

Таким образом, получить согласие на обработку данных в части ИНН и иных сведений, не определенных в ст. 65 ТК РФ, а также при передаче сведений в третьи организации (например, кредитные и страховые учреждения) необходимо.

3. Какие требования должны быть соблюдены и какие мероприятия проведены при присвоении информационной системе того или иного класса?

Напомним, что различают типовые и специальные информационные системы. К специальным относятся информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Практически любая информационная база, в которой обрабатываются персональные данные, требует защиты как минимум от изменения и несанкционированных действий.

Для определения класса специальной ИСПДн необходимо составлять модель угроз и документами ФСТЭК России предусмотрены классы специальных ИСПДн отличные от классов типовой ИСПДн. Вместе с тем приказом ФСТЭК России от 05.02.2010 № 58 определены требования в соответствии с классами, предусмотренными для типовых информационных систем персональных данных. Руководствуясь данным приказом, оператор ПДн имеет возможность определить требования, предъявляемые к типовым ИСПДн, но установить соответствие классов типовой и специальной систем зачастую может только специалист по информационной безопасности. Причем выводы о классе ИСПДн и комплексе необходимых мероприятий будут сделаны на основе знаний и опыта конкретного специалиста. А учитывая отсутствие нормативных правовых актов, выводы, сделанные разными специалистами могут отличаться, что также не упрощает планирование и проведение работ по защите персональных данных.

Помимо рассмотренных выше, также существует множество иных нерешенных вопросов. Например:

  1. Какие работы могут быть выполнены самостоятельно сотрудниками организации, а какие исключительно специалистами по информационной безопасности (экспертами)?
  2. Кто может быть признан экспертом?
  3. Как подтвердить соответствие ИСПДн требованиям закона?
  4. Какая обработка может быть признана автоматизированной обработкой данных (направлять или нет уведомление в Роскомнадзор?)
  5. Что понимать под состоянием здоровья (инвалидность; беременность)?

Несмотря на наличие спорных вопросов, мероприятия по защите персональных данных должны быть проведены в каждой организации. Ведь каждая без исключения организация является оператором персональных данных. Необходимо учитывать, что положения Федерального закона № 152-ФЗ вступали в силу поэтапно.

Начиная с 26 января 2007 года, обработка персональных данных, включенных в информационные системы персональных данных, должна была осуществляться в соответствии с нормами рассматриваемого закона. Например, получение и обработку персональных данных уже в 2007 году необходимо было осуществлять только при наличии согласий субъектов персональных данных. Также с 2007 года необходимо было задуматься и начать разработку организационно-распорядительной документации.

С 1 января 2008 года операторы, осуществляющие обработку персональных данных, обязаны направлять уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Соответственно, уже в 2008 году следовало провести категорирование персональных данных, классификацию информационной системы, направить уведомление в Роскомнадзор.

К 1 июля 2011 года информационные системы персональных данных должны быть приведены в полное соответствие с требованиями Федерального закона № 152-ФЗ. Т. е. к 1 июля 2011 года должны быть проведены все организационно-распорядительные мероприятия по защите персональных данных, а также решены все вопросы, связанные с технической защитой ИСПДн. Также в случае, если не представляется возможным провести полный комплекс технических мероприятий, то может быть рекомендована разработка плана необходимых мероприятий с указанием конкретных сроков исполнения.

Рекомендации по проведению комплекса необходимых мероприятий по защите ПДн

Для соблюдения минимальных требований и недопущения серьезных претензий со стороны регуляторов (в первую очередь Роскомнадзора) может быть рекомендовано проведение следующего комплекса мероприятий:

1. Создать комиссию по проведению комплекса мероприятий по защите ПДн. Учитывая, что проведение данных работ включает широкий круг вопросов, в состав комиссии целесообразно привлечь лиц, обладающих знаниями в сфере защиты информации, в области юриспруденции, работника кадровой службы, бухгалтера, системного администратора.

2. Начать работу по проведению комплекса мер по защите ПДн следует с проведения категорирования обрабатываемых персональных данных. Проще говоря, задачей данного этапа работы является выявление всех данных персонального характера, обрабатываемых в организации. Также на данном этапе необходимо оценить наличие согласий субъектов ПДн на обработку данных, проанализировать требуется ли для нужд организации хранение всех сведений персонального характера, а также определить перечень ответственных лиц.

3. Определить характеристики ИСПДн. На данном этапе необходимо определить конфигурации и топологии ИСПДн, физические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения, определить технические и программные средства, используемые в ИСПДн.

4. Определить перечень угроз в части соблюдения безопасности информации, их актуальность (рекомендуется с привлечением экспертов по информационной безопасности), разработать модель угроз и определить класс ИСПДн.

5. Подготовить и направить уведомление в Роскомнадзор с целью включения в реестр операторов.

6. Разработать порядок работы с ПДн. В случае необходимости разработать и провести комплекс дополнительных мероприятий по защите ПДн, в том числе по технической защите ПДн (приобрести и настроить необходимые технические средства и программное обеспечение). Разработанный порядок должен обеспечивать своевременное предоставление информации в случае получения запросов из Роскомнадзора (7 раб. дней) или непосредственно от физических лиц - субъектов ПДн (10 раб. дней).

7. Подготовить и утвердить комплект организационно-распорядительной документации.

В наличии должны быть:
- Приказ о назначении ответственного должностного лица/подразделения;
- Положение о защите ПДн;
- Приказы о допуске, перечень допущенных сотрудников;
- Журналы учета носителей информации.

8. Довести до сотрудников порядок работы со сведениями о персональных данных, в том числе обучение сотрудников.

9. Планирование и проведение контрольных мероприятий по защите ПДн.

В завершение статьи предлагаем воспользоваться схемой определения класса типовой ИСПДн.

Комментарии 0

1С бесплатно 1С-Отчетность 1С-Такском 1С:ERP Управление предприятием 1С:Бесплатно 1С:Бухгалтерия 8 1С:Бухгалтерия 8 КОРП 1С:Бухгалтерия автономного учреждения 1С:Бухгалтерия государственного учреждения 1С:Бюджет муниципального образования 1С:Бюджет поселения 1С:Вещевое довольствие 1С:Деньги 1С:Документооборот 1С:Зарплата и кадры бюджетного учреждения 1С:Зарплата и кадры государственного учреждения 1С:Зарплата и управление персоналом 1С:Зарплата и управление персоналом КОРП 1С:Комплексная автоматизация 8 1С:Лекторий 1С:Предприятие 1С:Предприятие 7.7 1С:Предприятие 8 1С:Розница 1С:Управление небольшой фирмой 1С:Управление производственным предприятием 1С:Управление торговлей 1СПАРК-Риски 1СПредприятие 8 2-НДФЛ 3-НДФЛ 4-ФСС 5 минут 6-НДФЛ CRM Агентский договор. Учет административная ответственность адресный классификатор акцизы алкоголь алкогольная продукция амортизационная премия амортизация арбитражная практика аттестация рабочих мест аудит аудиторские организации база 1с база для начисления страховых взносов база по страховым взносам база по налогу на прибыль банк и касса в 1с банкротство безнадежная задолженность безналичные расчеты бланки строгой отчетности больничное пособие больничный листок бухгалтер бухгалтерия автономного учреждения бухгалтерская отчетность бухгалтерские события бухгалтерский баланс бухгалтерский учет бухучет Бытовые услуги. Учет бюджет муниципального образования бюджет поселения бюджетная отчетность бюджетный учет ВАС РФ Вахтовый метод.Оплата ввоз товаров взаимозависимые_лица взноcы в ПФР взносы в ФОМС взносы в ФСС взносы на травматизм видео 1С водный налог возврат переплаты восстановление НДС вывоз товаров выездная налоговая проверка выездная проверка выплата зарплаты выплаты иностранному работнику выплаты работникам выплаты физическим лицам высококвалифицированные специалисты вычет НДС вычеты по НДФЛ ВЭД ГК РФ госпошлина государственная регистрация государственные и муниципальные закупки гражданско-правовой договор графики работы двойное налогообложение дебиторка декларация по алкоголю декларация по ЕНВД декларация по НДС денежные документы День Бухгалтерии детские пособия ДиректБанк договор комиссии договор подряда договор поставки договор транспортной экспедиции договорная политика документальное оформление документооборот долговые обязательства должная осмотрительность доходы организации ЕГАИС ЕГРЮЛ ежемесячная отчетность ЕНВД ЕСН ЕСХН задержка заработной платы задолженность по налогам займы закон о бухгалтерском учете занимательная бухгалтерия заработная плата зарплата зарплатные налоги зарубежная командировка защита персональных данных заявление о постановке на учет земельный налог изменения 2015 изменения в законодательстве изменения в законодательстве 2012 изменения в законодательстве 2013 имущественные вычеты имущественный налоговый вычет индивидуальный предприниматель иностранные компании иностранный работник интернет-компании интернет-магазины ИП ИП на ЕНВД ИС 1С:ИТС исправление бухгалтерских ошибок исправление ошибок ИТС ИФНС кадастровая стоимость кадровое оформление камеральная проверка кассовая дисциплина кассовые операции КБК квоты на иностранных рабочих КИК ККТ КЛАДР ключевая ставка книга на УСН книга покупок книга продаж КоАП РФ коды видов продукции командировка командировочные расходы компенсации работникам компенсационные выплаты компенсация за отпуск консервация основных средств консолидированная группа контролируемые сделки корректировочный счет-фактура коэффициент-дефлятор крупнейшие налогоплательщики курортный сбор курсовые разницы лизинг лизинговое имущество ликвидация организации лицензирование льготы по ндс малый бизнес маркировка изделий маркировка изделий из натурального меха маркировка меховых изделий маркировка товара материальная выгода материальная помощь материнский капитал международные стандарты миниденьги модернизация основных средств МРОТ МСФО наличные расчеты налог на игорный бизнес налог на имущество налог на имущество физических лиц налог на прибыль налоги физических лиц налоговая база по налогу на прибыль налоговая база по ндс налоговая база по НДС налоговая декларация налоговая ответственность налоговая отчетность налоговая политика налоговая проверка налоговое администрирование налоговые каникулы налоговые льготы налоговые проверки налоговый агент налоговый агент НДФЛ налоговый агент по НДС налоговый агент по НДФЛ налоговый агент по ндфл налоговый вычет налоговый контроль налоговый мониторинг налоговый учет налогообложение доходов налогоплательщик начисление пени НДПИ НДС НДС по ставке 10% НДС при ввозе НДС при экспорте НДС-2015 НДФЛ некоммерческие организации учет неотделимые улучшения нерезиденты НИОКР НК РФ НМА новая форма декларации новая форма расчета новости нормы естественной убыли нулевая декларация нулевая ставка обзор обзор бухгалтерских событий обзор новостей обмен документами обновление КЛАДР обособленное подразделение обособленные подразделения обучение 1с оказание услуг ОКВЭД2 ОКПД2 онлайн-касса онлайн-ккт онлайн-ККТ освобождение от налогообложения освобождение от ндс освобождение от НДС основные средства отпускные отходы отчетность в ПФР отчетность в росстат отчетность в Росстат отчетность организации отчетность по страховым взносам отчетность предпринимателя оформление счета-фактуры охрана труда патентная система ПБУ 18 первичные документы перенос убытков персонифицированный учет план счетов плата за негативное воздействие на окружающую среду плата за проезд грузовиков платежи платежное поручение платежные документы 1с платежный агент платежный терминал повышение ставок подакцизные товары подтверждающие документы подтверждение расходов полномочия налоговых органов пониженные тарифы поправки в НК РФ поправки в тк рф поправки в ТК РФ порядок маркировки товаров пособие по беременности и родам пособие по временной нетрудоспособности пособие по нетрудоспособности пособия за счет ФСС посреднические договоры постановка на учет постановка на учет в налоговом органе права налогоплательщика представление сведений приказ Минфина применение ККТ приостановление операций по счету проверка ИНН/КПП проверка контрагентов продажа алкогольной продукции производственный календарь проф. Пятов профессиональные вычеты ПСН псн путевой лист работники-иностранцы раздельный учет расходы на ГСМ расходы на рекламу расходы организации расчет больничного листа расчет заработной платы расчет НДПИ расчет отпускных расчет себестоимости расчет страховых взносов расчетный счет расчеты с работниками регистрация недвижимости регистрация юридических лиц реконструкция основных средств ремонт основных средств реорганизация росалкогольрегулирование РСВ-1 рыночные цены самозанятые граждане свод отчетов сдача имущества в аренду секреты 1С:ЗУП сельскохозяйственный товаропроизводитель система "Платон" служебная командировка снижение ставок совместители совмещение налоговых режимов составление и сдача отчетности составление и сдача отчетности социальное страхование социальные вычеты социальный налоговый вычет спецоценка условий труда средний заработок ставка НДС Ставка НДФЛ ставка рефинансирования ставка УСН стандартные вычеты стандарты бухучета статистика статистическая отчетность статотчетность страхование страховые взносы страховые взносы в пфр страховые взносы в фсс страховые взносы в ФСС страховые взносы для самозанятых страховые взносы на травматизм страховые тарифы судебные издержки суммовые разницы суточные счет-фактура такси таможенные платежи таможенный союз ТК РФ торг-12 торговый сбор транспортный налог трудовая книжка трудовой договор увольнение по инициативе руководителя увольнение по соглашению сторон уголовная ответственность удержание алиментов УКД универсальный корректировочный документ УПД уплата налога уплата налогов упрощенная система налогообложения УСН уставный капитал уточненка утрата права на усн учет аренды учет в АО учет в ООО учет в сельском хозяйстве учет в строительстве учет в туризме учет дивидендов учет доходов при УСН учет доходов при усн учет импорта учет лизинга учет МПЗ учет на производстве учет ОС учет основных средств учет премий учет расходов учет расходов при УСН учет расходов при усн учет реализации учет скидок учет субсидий учет товаров учет ценных бумаг учет экспорта учетная политика учредительные документы факсимиле ФИАС финансовый анализ финансовый результат ФНС РФ форма 6-НДФЛ формы документов ФСС штрафные санкции ЭДО экологические платежи экспорт в страны ЕАЭС экспорт продукции электронная отчетность электронная подпись электронные счета-фактуры электронный документооборот электронный формат энциклопедия проверок

Все теги
X

Яндекс-виджет: Новости
Яндекс-виджет: Полезные материалы
Информеры