29 30 2009
Download
1 / 30

- PowerPoint PPT Presentation


  • 133 Views
  • Uploaded on

Национальный форум информационной безопасности «Инфофорум» 29-30 января 2009 г. Некоторые правовые проблемы применения ФЗ «О персональных данных» Волчинская Елена Константиновна, Ведущий советник аппарата Комитета Государственной Думы по безопасности. Законодательство о персональных данных.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '' - miyoko


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
29 30 2009

Национальный форум информационной безопасности «Инфофорум»29-30 января 2009 г.

Некоторые правовые проблемы применения ФЗ «О персональных данных»

Волчинская Елена Константиновна,

Ведущий советник аппарата

Комитета Государственной Думы по безопасности


29 30 2009
Законодательство о персональных данных

  • ФЗ «Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27 июля 2006 года

  • ФЗ «О персональных данных» №152-ФЗ от 27 июля 2006 года

  • ФЗ «О лицензировании отдельных видов деятельности» №128-ФЗ от 8 августа 2001 года

  • Трудовой кодекс Российской Федерации № 197-ФЗ от 30 декабря 2001 года (глава 14)

  • Кодекс Российской Федерации об административных правонарушениях № 195-ФЗ от 30 декабря 2001 года (Статья 13.11.)

  • ФЗ «О государственной гражданской службе Российской Федерации» № 79-ФЗ от 27 июля 2004 года (Глава 7)

  • ФЗ «О муниципальной службе в Российской Федерации» № 25-ФЗ от 2 марта 2007 года (Статья 29)


29 30 2009
Проблемы реализация Закона: данных правовые, организационные и финансовые

Проблемы правового характера возникли в связи с неоднозначностью положений Закона, которые по разному трактуются государственными регуляторами и операторами, требуют конкретизации, уточнений и разъяснений.

Организационные проблемы связаны с ограниченным ресурсом уполномоченного органа по защите прав субъектов ПД, что не позволяет выполнять функции надзора в полном объеме. Кроме того, нормативные правовые и методические акты уполномоченных ведомств, содержащие требования к операторам информационных систем ПД, были выпущены с большим опозданием, а некоторые еще не зарегистрированы в Минюсте, поэтому не все операторы имеют возможность заложить затраты на реализацию этих требований в бюджеты 2009 года и, соответственно, могут не уложиться в срок, установленный Законом – 1 января 2010 года.


29 30 2009
Проблемы данных (продолжение)

Финансовые проблемы связаны, прежде всего, с тем, что при внесении Правительством РФ в Государственную Думу проекта федерального закона «О персональных данных» затраты на реализацию Закона из средств федерального бюджета не предусматривались. Тем не менее, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований основных регуляторов (ФСТЭК и ФСБ) по обеспечению безопасности обработки персональных данных требует резкого увеличения расходов из бюджетов всех уровней, которые не планировались.


29 30 2009
Противоречия между федеральными законами и неточности их положений, допускающие неоднозначное толкование:

1. Позиция Роскомсвязьнадзора и ФСТЭК России в отношении персональных данных как самостоятельного объекта защиты наряду с государственной тайной, коммерческой тайной, профессиональной тайной и т.п.

ПД являются составной частью информации, охраняемой в любом режиме ограничения доступа, а иногда ПД просто составляют тайну, например, врачебную, банковскую, тайну страхования (в отношении физических лиц).


29 30 2009
ФЗ «Об информации, информационных технологиях и о защите информации»Статья 9. Ограничение доступа к информации

2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.


29 30 2009
Для сравнения информационных технологиях и о защите информации»ФЗ «О персональных данных» (ст. 3)

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;


29 30 2009
Противоречия между федеральными законами

2. Понятие «конфиденциальность информации» в Федеральном законе «Об информации, информационных технологиях и о защите информации» и понятие «конфиденциальность персональных данных» в Федеральном законе «О персональных данных» концептуально не согласуются.

Концепция Федерального закона «О персональных данных» представляется более точной


29 30 2009
ФЗ «Об информации, информационных технологиях и о защите информации»(ст. 2)

7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;


29 30 2009
Для сравнения информационных технологиях и о защите информации»ФЗ «О персональных данных» (ст. 3)

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;


29 30 2009
Противоречия между федеральными законами

3. Содержание понятия «конфиденциальная информация» в наименовании лицензируемых видов деятельности, определенных Федеральным законом «О лицензировании отдельных видов деятельности» (пункты 10 и 11 ч. 1 ст. 17), и содержание лицензируемого вида деятельности (п. 11) требует уточнения

(в ФЗ «Об информации, информационных технологиях и о защите информации» термин «конфиденциаль-ная информация» - не используется, а требование «конфиденциальности информации» распространяется на все режимы, включая режим секретности (государственная тайна))


29 30 2009
ФЗ законами«О лицензировании отдельных видов деятельности»

10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

11) деятельность по технической защите конфиденциальной информации;


29 30 2009
Положения ФЗ «О персональных данных», требующие разъяснений

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;


29 30 2009
Положения ФЗ «О персональных данных», требующие разъяснений

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)

Можно ли, исходя из определения, выделить ПД, позволяющие идентифицировать субъекта ПД?


29 30 2009
Подзаконные нормативные акты Правительства РФ

  • Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

  • Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»


29 30 2009
Подзаконные нормативные акты ведомств

Приказ Россвязьохранкультуры от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»

Приказ Россвязькомнадзора от 17 июля 2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»


29 30 2009
Методические документы ФСТЭК ведомств («ДСП»)

  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,

  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»


29 30 2009
Методические документы ФСБ ведомств

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»

«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»


29 30 2009
Противоречия между законом и нормативным актом Правительства

Требование получения потенциальным оператором ПД лицензии на техническую защиту конфиденциальной информации во всех случаях, включая те, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений) не вытекает из ФЗ «О персональных данных» и применяется слишком широко

(Постановление Правительства РФ от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации»)


29 30 2009
Противоречия между законом и нормативным актом Правительства

(1) Классификация информационных систем ПД «в зависимости от объема обрабатываемых ими ПД и угроз безопасности жизненно важным интересам личности, общества и государства»

(2) Требование к операторам ПД обеспечить защиту каналов связи, по которым осуществляется обмен ПД

(Постановление Правительства от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»)


29 30 2009
Противоречия между законом и нормативным актом ведомств

(1) выделение персональных данных, идентифицирующих субъекта персональных данных из общего числа персональных данных,

(2) выделение задачи обеспечения конфиденциальности персональных данных из задач обеспечения безопасности персональных данных.

(Совместный Приказ ФСТЭК, ФСБ и Минкомсвязи от 13 февраля 2008 года «Об утверждении Порядка проведения классификации информационных систем персональных данных»)


13 2008 55 86 20
Приказ от 13 февраля 2008 нормативным актом ведомств№ 55/86/20

  • 8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

  • Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

  • Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).


29 30 2009
ФЗ «О персональных данных» нормативным актом ведомств

(ст.3) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

(ст. 19) – безопасность - Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.


29 30 2009
Соотношение конфиденциальности ПД и безопасности ПД

Конфиденциальность – правовой режим ПД

Безопасность – организационные и технические меры обеспечения прав субъектов ПД, в том числе на конфиденциальность

Конфиденциальность ПД поддерживается безопасностью, поэтому нельзя обеспечить конфиденциальность, не обеспечив безопасность

Безопасность ПД должна обеспечиваться вне зависимости от конфиденциальности (защита открытой информации от модификации, уничтожения и т.п.)


29 30 2009
Как будут реализовывать Закон организации бюджетной сферы?(школы, поликлиники, соц. обеспечение…)

Бюджетные затраты на его реализацию Правительством не предусматривались (в том числе на лицензирование и сертификацию по требованиям безопасности информации автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации),

в штатном расписании школ, детских садов, поликлиник и т.п. не предусмотрены соответствующие специалисты,

нет помещений, соответствующих техническим нормам и требованиям по технической защите информации


29 30 2009
ПРЕДЛОЖЕНИЯ организации бюджетной сферы?Правительству РФ и Государственной Думе:

  • подготовить предложения по уточнению положений Федерального закона «О персональных данных», исходя из выявленных проблем их применения;

  • ускорить подготовку проекта федерального закона №№ 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»;

  • внести изменения в пп. 10 и 11 ч. 1 ст. 17 Федерального закона «О лицензировании отдельных видов деятельности» в части уточнения вида лицензируемой деятельности;

  • подготовить предложения по уточнению положений Федерального закона «Об информации, информационных технологиях и о защите информации» в части формулировки понятия «конфиденциальность информации» и соотношения режимов конфиденциальности.


29 30 2009
ПРЕДЛОЖЕНИЯ организации бюджетной сферы?Правительству РФ

1) до изменения Федерального закона «О лицензировании отдельных видов деятельности» уточнить положения Постановления Правительства от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» в части ограничения сферы лицензирования;

2) уточнить положения Постановления Правительства от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» в части приведения в соответствие с законодательством РФ


29 30 2009
ПРЕДЛОЖЕНИЯ организации бюджетной сферы?ФСТЭК, ФСБ, Минкомсвязи России

привести положения Приказа от 13 февраля 2008 года «Об утверждении порядка проведения классификации информационных систем персональных данных» в соответствие в положениями Федерального закона «О персональных данных» и реалиями оборота персональных данных в стране.


29 30 2009
ПРЕДЛОЖЕНИЯ организации бюджетной сферы?ФСБ России и ФСТЭК России:

Обеспечить свободный доступ к нормативно-методическим документам, направленным на реализацию Постановления № 781.


Vek@duma gov ru

Рекомендую следить за обсуждением законопроектов, внимательно читать принятые законы, анализировать практику правоприменения, а также:НАДЕЯТЬСЯ НА ЛУЧШЕЕ, А РАССЧИТЫВАТЬ НА ХУДШЕЕ!

Благодарю за внимание и жду предложений!

Искренне Ваша

vek@duma.gov.ru