Архив автора: admin

Штрафы за нарушения в области персональных данных

7 февраля подписан федеральный закон № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (текст), устанавливающий наказания за нарушения, допускаемые при обработке персональных данных.

Указанные штрафы вступают в силу 1 июля 2017 года.

Ниже приведено описание введенных штрафов за нарушения при обработке ПДн:

Описание правонарушения Штраф*, тыс.руб.
Несоответствие (несовместимость) целей обработки ПДн законодательству или собираемому перечню ПДн 30 — 50
Обработка ПДн без согласия в случаях, когда получение письменного согласия обязательно
либо неправильно оформленное согласие
15 — 75
Неопубликование политики в области ПДн и сведений о защите ПДн (когда это требуется) 15 — 30
Непредоставление субъекту сведений об обработке его ПДн 20 — 40
Невыполнение в срок законных требований субъекта, его представителя или Роскомнадзора по уточнению, блокированию или уничтожению ПДн 25 — 45
Невыполнение требований к сохранности носителей ПДн, приведшее к разглашению ПДн или иным неправомерным действиям с ПДн 25 — 50

* размеры штрафов указаны для юридических лиц

План проверок Роскомнадзора на 2016 год

Документ РКН «План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных подразделений) и индивидуальных предпринимателей» с 2016 года уже не содержит проверок, касающихся тематики обработки персональных данных. Поэтому операторы персональных данных уже не смогут найти свои организации в плане проверок Роскомнадзора на 2016 год.

Связано это с тем, что Федеральным законом от 21.07.2014 №242-ФЗ внесены изменения в 294-ФЗ о проверках юридических лиц и индивидуальных предпринимателей. В результате, проверки, относящиеся к контролю и надзору за обработкой персональных данных, выведены из под действия 294-ФЗ (п. 20 ч. 3.1 ст. 1 294-ФЗ).

Для проведения проверок обработки персональных данных Правительством РФ планируется утвердить «Положение о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Проект постановления Правительства РФ об утверждении такого положения доступен по ссылке — http://economy.gov.ru/minec/activity/sections/ria/anounce/2015072910.

Проектом предусматривается выделение трех типов мероприятий:

  • плановые проверки;
  • внеплановые проверки;
  • мероприятия систематического наблюдения.

Поскольку данный документ еще не утвержден, то и план проверок на настоящий момент в РКН отсутствует.

Проект ФСТЭК по моделированию угроз

ФСТЭК России представило проект документа по моделированию угроз безопасности в информационных системах. Название документа предполагает, что он будет использоваться как общая методика для моделирования угроз как в государственных информационных системах, так и системах обработки персональных данных.
Подробнее на сайте ФСТЭК России:

Новый приказ ФСБ в сфере защиты персональных данных

10 июля 2014 года ФСБ России утвердила приказ №378 по организационным и техническим мерам защиты ПДн с использованием средств криптографической защиты (СКЗИ). Документ еще не опубликован, но прошел регистрацию в Минюсте, что говорит о том, что вскоре он вступит в силу.

Требования приказа распространяются на информационные системы персональных данных (ИСПДн), в которых защита ПДн осуществляется с использованием СКЗИ. В случае, если для защиты ПДн криптосредства не используются, то данный документ операторами не применяется.

Документ устанавливает отдельные требования безопасности для каждого из уровней защищенности ИСПДн. Более подробно в тексте приказа — http://www.consultant.ru/document/cons_doc_LAW_167862/

Об аттестации ИСПДн

Несмотря на популярность темы об аттестации ИСПДн, одни и те же вопросы о необходимости ее проведения поднимаются с большой регулярностью.

В этом есть заслуга как регуляторов, постоянно меняющих нормативную базу, организаций-заказчиков, не поспевающих за этими изменениями, так и организаций-лицензиатов, зачастую продвигающих услуги аттестации даже тогда, когда они совсем не требуются.

Чтобы несколько прояснить ситуацию, публикуем короткую заметку — «Об аттестации ИСПДн».

«Прайм Безопасность» и «Владимирский государственный университет» заключили соглашение о взаимном сотрудничестве

ООО «Прайм Безопасность» и Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Владимирский государственный университет имени Александра Григорьевича и Николая Григорьевича Столетовых» (ВлГУ) заключили соглашение о взаимном сотрудничестве в области науки, образования и перспективных разработок в сфере обеспечения информационной безопасности.

В рамках соглашения стороны организуют обмен информацией о современных проектах в области информационной безопасности и договорились об объединении усилий в подготовке специалистов по защите информации.

Статистика проверок Роскомнадзора за 2013 год

На сайте Роскомнадзора выложен Публичный доклад службы за 2013 год (ссылка). Доклад содержит в том числе информацию о защите прав субъектов персональных данных за 2013 год.

Читать далее

Завершено публичное обсуждение законопроекта о штрафах по ПДн

В рамках оценки регулирующего воздействия завершено публичное обсуждение на портале regulation.gov.ru законопроекта о внесении поправок в КоАП, связанных с установлением санкций за нарушения при обработке и защите персональных данных.

Так, законопроектом в частности устанавливается в отношении юридических лиц:

  •  штраф от 15 до 50 тыс. руб. за нарушение требований к письменному согласию на обработку ПДн;
  • штраф от 30 до 50 тыс. руб. за обработку ПДн без согласия или в отсутствие иных законных оснований;
  • штраф от 150 до 300 тыс. руб. за незаконную обработку специальных категорий ПДн, а также сведений о судимости;
  • штраф от 15 до 30 тыс. руб. за отсутствие в публичном доступе политики в отношении обработки ПДн;
  • штраф от 20 до 40 тыс. руб. за непредоставление обязательных сведений субъектам ПДн;
  • штраф от 25 до 50 тыс. руб. за утечку ПДн при неавтоматизированной обработке;
  • штраф от 100 до 200 тыс. руб. за утечку ПДн при автоматизированной обработке.

Согласно «Сводному отчету о проведении оценки регулирующего воздействия законопроекта» предполагаемая дата вступления поправок в силу — 30 декабря 2014 года.

Опубликован план проверок по персональным данным на 2014 год

Роскомнадзор по Владимирской области на своем сайте разместил план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2014 год, куда входят также и проверки соблюдения законодательства о персональных данных. Ознакомиться с планом можно по ссылке.

Уточнение требований к платежным системам

Опубликовано новое указание Банка России 3007-У, которое уточняет требования Положения ЦБ РФ 382-П.

Документ устанавливает четкие сроки по приведению участников платежных систем в соответствие требованиям Положения 382-П. На реализацию мероприятий по защите платежной информации операторам по переводу денежных средств, операторам платежных систем и операторам услуг платежной инфраструктуры отводится полгода.

И на этот раз, в отличие от закона "О персональных данных", нарушителям грозят существенные штрафы за неисполнение установленных требований:

Банк России имеет право требовать от кредитной организации устранения выявленных нарушений, взыскивать штраф в размере до 0,1 процента минимального размера уставного капитала либо ограничивать проведение кредитной организацией отдельных операций на срок до шести месяцев