Какой приказ регламентирует права доступа к ибд регион

Обновлено: 20.05.2024

С 1 марта 2021 года вступили в силу новые правила обработки и распространения общедоступных персональных данных. Рассказываем, что изменилось в работе с общедоступными личными сведениями граждан, и какие штрафы теперь грозят за нарушение правил сбора и распространения таких персональных данных.

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

ФИО заявителя;
контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
перечень персональных данных, обработка которых подлежит прекращению.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

В соответствии с частью четвертой статьи 11 Федерального закона от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности" 1 - приказываем:

Утвердить прилагаемую Инструкцию о порядке представления результатов оперативно-розыскной деятельности органу дознания, следователю или в суд.

Министр внутренних дел Российской Федерации

В. Колокольцев

Министр обороны Российской Федерации

Директор Федеральной службы безопасности Российской Федерации

А. Бортников

Директор Федеральной службы охраны Российской Федерации

Руководитель Федеральной таможенной службы А. Бельянинов

Директор Службы внешней разведки Российской Федерации

Директор Федеральной службы исполнения наказаний

Г. Корниенко

Директор Федеральной службы Российской Федерации

по контролю за оборотом наркотиков В. Иванов

Председатель Следственного комитета Российской Федерации

А. Бастрыкин

1 Собрание законодательства Российской Федерации, 1995, N 33, ст. 3349; 2013, N 26, ст. 3207.

Инструкция о порядке представления результатов оперативно-розыскной деятельности органу дознания, следователю или в суд

I. Общие положения

1. Настоящая Инструкция определяет порядок представления оперативными подразделениями органов, осуществляющих оперативно-розыскную деятельность 1 , результатов ОРД 2 органу дознания, следователю или в суд при наличии в них достаточных данных, указывающих на признаки преступления, а также в порядке:

исполнения требования суда (судьи) о представлении документов по находящейся у него на рассмотрении жалобе лица, виновность которого в совершении преступления не доказана в установленном законом порядке и которое располагает фактами проведения в отношении его оперативно-розыскных мероприятий и полагает, что при этом были нарушены его права, о непредставлении или представлении не в полном объеме органом, осуществляющим оперативно-розыскную деятельность, сведений о полученной об этом лице информации в пределах, допускаемых требованиями конспирации и исключающих возможность разглашения государственной тайны;

исполнения требования суда (судьи) о представлении документов по уголовным делам, находящимся в его производстве, и по указанным в статье 15 Федерального закона от 29 апреля 2008 г. N 57-ФЗ "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства" 4 судебным искам.

2. Установленный настоящей Инструкцией порядок представления результатов ОРД применяется при представлении результатов ОРД в соответствии с запросами международных правоохранительных организаций, правоохранительных органов иностранных государств.

3. Правовой основой представления результатов ОРД органу дознания, следователю или в суд (судье) 5 являются Конституция Российской Федераций, Уголовно-процессуальный кодекс Российской Федераций 6 , Федеральный закон от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности", иные нормативные правовые акты, регулирующие отношения в сфере оперативно-розыскной и уголовно-процессуальной деятельности, а также настоящая Инструкция.

4. Уполномоченным должностным лицам (органам) представляются результаты ОРД, которые соответствуют установленным настоящей Инструкцией требованиям и могут:

служить поводом и основанием для возбуждения уголовного дела;

быть использованы для подготовки и осуществления следственных и судебных действий, предусмотренных УПК РФ;

использоваться в доказывании по уголовным делам в соответствии с требованиями уголовно-процессуального законодательства, регламентирующими собирание, проверку и оценку доказательств.

5. В случаях необходимости привлечения к участию в производстве процессуальных действий лиц, внедренных (внедрявшихся) в организованные преступные группы, преступные сообщества (преступные организации), штатных негласных сотрудников органов, осуществляющих ОРД, а также лиц, оказывающих или оказывавших этим органам содействие на конфиденциальной основе, обеспечение их безопасности в условиях конспирации и конфиденциальности осуществляется в порядке, определяемом законодательными и иными нормативными правовыми актами Российской Федерации, нормативными правовыми актами органов, осуществляющих ОРД.

II. Представление результатов ОРД уполномоченным должностным лицам (органам)

7. Рапорт об обнаружении признаков преступления составляется должностным лицом органа, осуществляющего ОРД, в соответствии со статьей 143 УПК РФ и регистрируется в порядке, установленном нормативными правовыми актами органов, осуществляющих ОРД.

рассмотрение вопроса о необходимости рассекречивания сведений, составляющих государственную тайну, содержащихся в представляемых результатах ОРД, и их носителей;

оформление необходимых документов и фактическую передачу результатов ОРД.

9. Представление результатов ОРД уполномоченным должностным лицам (органам) для осуществления проверки и принятия процессуального решения в порядке статей 144 и 145 УПК РФ, а также для приобщения к уголовному делу осуществляется на основании постановления (приложение N 2) руководителя органа (подразделения), осуществляющего ОРД (начальника или его заместителя).

Указанное постановление составляется в двух экземплярах, первый из которых направляется уполномоченным должностным лицам (органам), второй - приобщается к материалам дела оперативного учета или, в случае его отсутствия, к материалам номенклатурного (литерного) дела.

10. При представлении уполномоченным должностным лицам (органам) результатов ОРД, полученных при проведении проверочной закупки или контролируемой поставки предметов, веществ и продукции, свободная реализация которых запрещена либо оборот которых ограничен, а также оперативного эксперимента или оперативного внедрения, к ним прилагается постановление руководителя органа, осуществляющего ОРД (начальника или его заместителя), о проведении данного ОРМ.

Копии указанных постановлений органа, осуществляющего ОРД, подлежат хранению в материалах дела оперативного учета, материалах оперативной проверки либо, в случае их отсутствия, приобщаются к материалам номенклатурного (литерного) дела.

11. Если в результате проведения проверочной закупки не удалось задокументировать подготавливаемое, совершаемое или совершенное противоправное деяние, то ее результаты приобщаются к материалам повторной проверочной закупки или к другим материалам ОРМ, содержащим признаки преступления, которые представляются уполномоченным должностным лицам (органам) в порядке, установленном настоящей Инструкцией.

13. Представление результатов ОРД, содержащих сведения об организации и тактике проведения оперативно-поисковых и оперативно-технических мероприятий, используемых при их проведении технических средствах, о штатных негласных сотрудниках оперативно-технических и оперативно-поисковых подразделений, должно в обязательном порядке согласовываться с исполнителями соответствующих мероприятий и осуществляться в соответствии с требованиями, предъявляемыми к обращению со сведениями, составляющими государственную тайну.

14. При необходимости рассекречивания сведений, содержащихся в материалах, отражающих результаты ОРД, руководителем органа, осуществляющего ОРД (начальником или его заместителем), выносится постановление о рассекречивании сведений, составляющих государственную тайну, и их носителей (приложение N 3).

Указанное постановление составляется в двух экземплярах, первый из которых направляется уполномоченному должностному лицу (органу), второй приобщается к материалам дела оперативного учета или, в случае его отсутствия, - к материалам номенклатурного дела.

В иных случаях результаты ОРД, содержащие сведения, составляющие государственную тайну, представляются в соответствии с установленным порядком ведения секретного делопроизводства.

15. Способ фактической передачи результатов ОРД уполномоченному должностному лицу (органу) (пересылка по почте, передача нарочным и другие способы) избираются органом, осуществляющим ОРД, в каждом конкретном случае с учетом требований нормативных правовых актов, регулирующих организацию делопроизводства.

16. К документам, указанным в пункте 6 настоящей Инструкции, прилагаются (при наличии) полученные (выполненные) при проведении ОРМ материалы фото- и киносъемки, аудио- и видеозаписи и иные носители информации, а также материальные объекты, которые в соответствии с уголовно-процессуальным законодательством могут быть признаны вещественными доказательствами 8 .

17. Органом, осуществляющим ОРД, при подготовке и оформлении для передачи уполномоченным должностным лицам (органам) материалов, документов и иных объектов, полученных при проведении ОРМ, должны быть приняты необходимые меры по их сохранности и целостности (защита от деформации, размагничивания, обесцвечивания, стирания и другие). При представлении фонограммы к ней прилагается бумажный носитель записи переговоров.

III. Требования, предъявляемые к результатам ОРД, представляемым уполномоченным должностным лицам (органам)

18. Результаты ОРД, представляемые для решения вопроса о возбуждении уголовного дела, должны содержать достаточные данные, указывающие на признаки преступления, а именно: сведения о том, где, когда, какие признаки и какого именно преступления обнаружены; при каких обстоятельствах имело место их обнаружение; сведения о лице (лицах), его совершившем (если они известны), и очевидцах преступления (если они известны); о местонахождении предметов и документов, которые могут быть признаны вещественными доказательствами по уголовному делу; о любых других фактах и обстоятельствах, имеющих значение для решения вопроса о возбуждении уголовного дела.

19. Результаты ОРД, представляемые для подготовки и осуществления процессуальных действий, должны содержать сведения (при установлении таковых) о местонахождении лиц, скрывающихся от органов предварительного расследования и суда; о лицах, которым известны обстоятельства и факты, имеющие значение для уголовного дела; о возможных источниках доказательств; о местонахождении предметов и документов, которые могут быть признаны вещественными доказательствами по уголовному делу; о других фактах и обстоятельствах, позволяющих определить объем и последовательность проведения процессуальных действий, выбрать наиболее эффективную тактику их производства, выработать оптимальную методику расследования по конкретному уголовному делу.

20. Результаты ОРД, представляемые для использования в доказывании по уголовным делам, должны позволять формировать доказательства, удовлетворяющие требованиям уголовно-процессуального законодательства, предъявляемым к доказательствам в целом, к соответствующим видам доказательств; содержать сведения, имеющие значение для установления обстоятельств, подлежащих доказыванию по уголовному делу, указания на ОРМ, при проведении которых получены предполагаемые доказательства, а также данные, позволяющие проверить в условиях уголовного судопроизводства доказательства, сформированные на их основе.

2 В соответствии с подпунктом 36[1] статьи 5 Уголовно-процессуального кодекса Российской Федерации под результатами ОРД понимаются сведения, полученные в соответствии с Федеральным законом "Об оперативно-розыскной деятельности", о признаках подготавливаемого, совершаемого или совершенного преступления, лицах, подготавливающих, совершающих или совершивших преступление и скрывшихся от органов дознания, следствия или суда.

4 Собрание законодательства Российской Федерации, 2008, N 18, ст. 1940.

5 Далее - "уполномоченные должностные лица (органы)".

6 Собрание законодательства Российской Федерации, 2001, N 52, ст. 4921. Далее - "УПК РФ".

8 Далее - "материалы, документы и иные объекты, полученные при проведении ОРМ".

Зачастую многие операторы персональных данных так или иначе сталкиваются с необходимостью подготовки пакета документов в сфере защиты персональных данных. Это может происходить в разных случаях. Некоторые операторы готовят документы при открытии или расширении собственного бизнеса. Кто-то – из-за надвигающейся проверки Роскомнадзора. В любом случае каждому оператору необходимо знать о существовании примерного перечня документов для надлежащей обработки персональных данных.

1. Документ, определяющий политику оператора в отношении обработки персональных данных, и подтверждение ознакомления с ним работников оператора

Согласно ч.1 ст.18.1 Закона № 152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, может относиться ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Отдельные локальные акты по вопросам обработки таких данных, документы об ознакомлении с ними работников оператора.

различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.),
перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.),
инструкции и регламенты.

3. Уведомление об обработке персональных данных (изменения в уведомление об обработке персональных данных).

4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

В соответствии со ст.22.1 Закона № 152-ФЗ, оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных, то есть у оператора должен быть издан приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

В соответствии со ст.9 Закона № 152-ФЗ, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. То есть у оператора также должен быть такой документ, как согласие субъекта персональных данных на обработку его персональных данных.

6. Документы, подтверждающие предоставление субъекту персональных данных информации, в случае если персональные данные получены не от субъекта персональных данных.

Согласно ст.18 Закона № 152-ФЗ, если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

7. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Согласно ч.1 ст.19 Закона № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Документ о классификации информационных систем;
Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.

Действие Закона № 152-ФЗ распространят свое действие как на случаи обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и, в большинстве случаев, без использования таких средств. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 г. № 687 (далее – Положение № 687), урегулированы вопросы обработки персональных данных (использование, уточнение, распространение, уничтожение) без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Оператором персональных данных при обработке персональных данных, осуществляемой без использования средств автоматизации, должны быть оформлены также следующие документы.
• Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Согласно п.6 Положения № 687, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

• Типовые формы документов.
Согласно п. 7 Положения № 687, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться определенные условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

• Документ, устанавливающий требования к ведению журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.
Согласно п.8 Положения № 687, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
- необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
- копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
- персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

• Документ, устанавливающий требования к хранению материальных носителей, содержащих персональные данные
Согласно п.15 Положения № 687, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Порядок обращения с документами и фото-, кино-, видео- и аудиопленками, машинными носителями информации, содержащими служебную информацию ограниченного распространения, содержится в Положении о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности[1] (далее – Положение № 1233).

В п. 1.1 Положения № 1233 указано, что его действие распространяется на федеральные органы исполнительной власти, уполномоченный орган управления использованием атомной энергии и уполномоченный орган по космической деятельности, а также на подведомственные им предприятия, учреждения и организации. Во многих субъектах Российской Федерации и отдельных ведомствах приняты свои нормативные акты, которые регулируют работу со служебной информацией ограниченного доступа[2].

1. Информация о деятельности организации, если ограничения на ее распространение обусловлены служебной необходимостью. К такой информации следует относить служебную информацию, запрет на распространение которой установлен решением уполномоченного должностного лица.

В соответствии с п 1.5 Положения № 1233 руководители федеральных органов исполнительной власти вправе определять:

Такие документы утверждены многими федеральными органами исполнительной власти. Например, они размещены в соответствующих приложениях к приказам Минфина России[3], Росгвардии[4], Минюста России[5].

2. Информация, которая поступила в организацию и доступ к которой ограничен законодательством. Как правило, эти сведения государственные органы получают от граждан и организаций, не связанных с государственной службой, и запрет на их распространение устанавливается в интересах лиц, предоставивших сведения.

Согласно п. 1.3 Положения № 1233 к информации ограниченного распространения не относятся:

правовые акты, устанавливающие статус госорганов, организаций, общественных объединений;
правовые акты, устанавливающие права, свободы и обязанности граждан, порядок их реализации;
сведения о чрезвычайных ситуациях и других опасных явлениях и процессах, которые необходимы для обеспечения безопасности населения и производственных объектов;
описание структуры госоргана и его функций, а также его адрес;
порядок рассмотрения обращений граждан и юридических лиц, а также вынесенные по таким обращениям решения;
сведения об исполнении бюджета, состоянии экономики и потребностей населения;
документы, которые хранятся в открытых фондах библиотек и архивов, информационных системах организаций и которые необходимы для реализации прав, свобод и обязанностей граждан.

Какая ответственность предусмотрена за разглашение служебной тайны?

Согласно ст. 13.14 Кодекса Российской Федерации об административных правонарушениях разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц – от четырех тысяч до пяти тысяч рублей.

В отдельных случаях (например, когда информация относится к двум и более видам тайн) за разглашение служебной тайны предусмотрена уголовная ответственность в соответствии со ст. 138, 285, 310, 311 Уголовного кодекса Российской Федерации.

Чтобы обосновать законность увольнения за разглашение служебной тайны, работодателю следует доказать три факта:

факт 1: сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к служебной или иной охраняемой законом тайне;
факт 2: сведения стали известны работнику в связи с исполнением им трудовых обязанностей;
факт 3: работник обязывался не разглашать такие сведения[10].

[1] Утв. Постановлением Правительства Российской Федерации от 03.11.1994 № 1233 (в ред. от 18.03.2016).

[2] См, например, Инструкцию о порядке обращения со служебной информацией ограниченного распространения в Минобрнауки России (утв. Приказом Минобрнауки России от 30.12.2010 № 2233; в ред. от 10.08.2012).

[3] См. Приказ Минфина России от 19.06.2019 № 98н.

[4] См. Приказ Росгвардии от 30.05.2017 № 155.

[5] См. Приказ Минюста России от 07.10.2010 № 250.

[6] В ред. от 02.12.2019.

[7] Утв. Указом Президента Российской Федерации от 06.03.1997 № 188 (в ред. от 13.07.2015).

[8] В ред. от 16.12.2019.

[9] В ред. от 16.12.2019.

Н.В. Артонкина,
документовед, архивист

Читайте также: