Правительство утвердило новые требования к защите персональных данных при обработке их в информационных системах персональных данных

Новые требования к защите персональных данных были утверждены Постановлением Правительства РФ от 01.11.2012 г. № 1119 («Постановление»), опубликованном 07.11.2012 г. в Российской газете.

Постановление принято во исполнение п. 1 и 2 ч. 3 ст. 19 Федерального закона № 152-ФЗ от  27.07.2006 г. «О персональных данных» («Закон о персональных данных»), согласно которому Правительство устанавливает уровни защищенности персональных данных и требования к защите таких данных при их обработке в информационных системах персональных данных («Требования»). 

Постановлением вводятся четыре уровня защищенности персональных данных в зависимости от типов актуальных угроз. И применительно к каждому уровню определены специальные организационные и технические меры, которые теперь будут обязательными. Новых требований к защите стало меньше и они стали более конкретными. Тем не менее, их исполнение, как и прежде, будет требовать от организаций значительного внимания.

В соответствии с ч. 4 ст. 19 Закон о персональных данных и п. 4 Требований выбор оператором средств защиты информации для системы защиты персональных данных осуществляется в соответствии с актами ФСБ и ФСТЭК, которые до настоящего времени не утверждены. 

Также еще не приняты нормативные правовые акты профильных федеральных органов исполнительной власти, которыми должны быть определены угрозы безопасности персональных данных, актуальные для отдельных отраслей (ч. 5 ст. 19 Закона о персональных данных и п. 7 Требований).

Тем не менее, общие требования к защите персональных данных, установленные Законом о персональных данных, остаются обязательными.

Также введено новое требование о том, что контроль за выполнением Требований должен осуществляться не реже 1 раза в 3 года. Контроль может осуществляться оператором самостоятельно либо с привлечением на договорной основе компаний и предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. 

Дата вступления Постановления в силу - 15.11.2012 г. При этом Постановление Правительства РФ № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» с этого момента утрачивает силу.

Обращаем Ваше внимание, что неисполнение установленных требований к защите персональных данных может повлечь административную ответственность организации и/или ее должностных лиц.

Отметим, что в соответствии с законопроектом, разработанным Роскомнадзором (в настоящее время в Государственную Думу РФ еще не внесен), планируется значительно увеличить административные штрафы за нарушение порядка сбора, хранения, использования, распространения персональных данных до 30 – 500 тыс. рублей для юридических лиц (в настоящее время максимальный размер административного штрафа составляет 10 тыс. рублей), а по отдельным нарушениям ввести для предпринимателей и компаний оборотные штрафы в размере 0,5-2 процента от совокупного дохода за прошлый год.

Специалисты компании «Пепеляев Групп» обладают значительным опытом консультирования по вопросам соблюдения законодательства о персональных данных и могут оказать любую необходимую помощь по организационным, правовым, а также техническим вопросам приведении деятельности компаний-операторов в соответствие с требованиями законодательства о персональных данных.

ООО «Пепеляев Групп» имеет лицензии на осуществление деятельности по технической защите конфиденциальной информации и ряд лицензий ФСТЭК и ФСБ в области защиты информации, что позволяет реализовывать любые комплексные проекты в области защиты персональных данных.