Персональные данные

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). С перечнем категорий персональных данных можно ознакомиться здесь.

В Российской Федерации этот вид тайн регулируется с 1997 года после принятия Указа Президента РФ от 06.03.1997 № 188 "Об утверждении Перечня сведений конфиденциального характера". В связи с вступлением в силу Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных", а особенно после внесения в него неоднократных изменений, внимание к сфере персональных данных только усиливается. Продолжают подвергаться изменениям нормативные правовые акты различных уровней, а защите персональных данных государственных служащих теперь посвящены отдельные ведомственные акты. В разработанных стандартах по ИБ для персональных данных выделены отдельные разделы.

Подтверждением актуальности данной темы являются также многочисленные информационные (разъяснительные) письма регуляторов по вопросам, возникающим у операторов персональных данных в процессе реализации требований действующего законодательства (в частности, о необходимости получения лицензий ФСТЭК России и ФСБ России, использовании сертифицированных средств защиты конфиденциальной информации). Кроме того, на сегодняшний день уже существует судебная практика, которая формируется не только на основании материалов проверок Роскомнадзора, но и по результатам рассмотрения исковых заявлений субъектов персональных данных.

Законодательство в сфере персональных данных регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Действие вышеуказанного законодательства не распространяется на отношения, возникающие при:

  • обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  • организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
  • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
  • предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

Целью законодательства о персональных данных является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Ответственность перед субъектом за обработку его персональных данных несет оператор как в случае, когда такая обработка осуществляется оператором самостоятельно, так и в случае, когда она осуществляется лицом по поручению оператора.

Предусмотрены следующие виды ответственности за нарушение требований законодательства о персональных данных: административная, уголовная, дисциплинарная, гражданско-правовая.