Кто утверждает базу паспортных данных пути бпд

Обновлено: 28.05.2024

С 1 декабря 2013 г. перевозчикам отдельных регионов страны было вменено в обязанность представление сведений о пассажирах в автоматизированные централизованные базы персональных данных. С 01.03.2015 эта обязанность распространилась на всех юридических лиц, производящих воздушные, железнодорожные перевозки дальнего следования, морские, водные и автомобильные перевозки, осуществляемые между разными субъектами РФ. Кроме того, с названной даты введена обязанность представления сведений о персонале транспортных средств. Невыполнение данных требований может повлечь для транспортной компании неприятные последствия в виде штрафных санкций. О том, что представляют собой автоматизированные централизованные базы, каков порядок представления в них сведений, а также о случаях привлечения организаций-перевозчиков к административной ответственности пойдет речь в статье.

До введения повсеместной обязанности представлять сведения о пассажирах в автоматизированные базы на территории РФ действовал пилотный проект. Так, Приказами Минтранса России от 17.04.2012 N 98, от 19.11.2012 N 404 (в настоящее время утратили силу) были утверждены Перечни маршрутов перевозок автомобильным, морским, внутренним водным транспортом, при осуществлении которых формировались автоматизированные базы персональных данных пассажиров.

Что собой представляют автоматизированные централизованные базы?

В целях осуществления мер по обеспечению транспортной безопасности создана единая государственная информационная система обеспечения транспортной безопасности. Названная система состоит из автоматизированных централизованных баз персональных данных о пассажирах и персонале транспортных средств (АЦБПДП). Такие базы формируются при осуществлении следующих видов перевозок (ч. 2 ст. 11 Закона о транспортной безопасности ):

Информационные ресурсы единой государственной информационной системы обеспечения транспортной безопасности являются информацией ограниченного доступа.

Порядок формирования и ведения АЦБПДП, а также предоставления содержащихся в них данных (далее - Порядок) утвержден Приказом Минтранса России от 19.07.2012 N 243. В соответствии с п. 11 названного документа участниками информационного взаимодействия при формировании и ведении АЦБПДП являются поставщики и потребители информации о пассажирских перевозках, а также оператор единой государственной информационной системы обеспечения транспортной безопасности (ЕГИС ОТБ) (его функцию выполняет федеральное государственное унитарное предприятие "ЗащитаИнфоТранс").

Названные лица в ходе сбора, хранения, обработки и передачи персональных данных о пассажирах должны руководствоваться Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также Порядком.

Под перевозчиком понимается юридическое лицо или индивидуальный предприниматель, принявшие на себя обязанность доставить пассажира, вверенный им отправителем груз, багаж, грузобагаж из пункта отправления в пункт назначения, а также выдать груз, багаж, грузобагаж получателю. Субъектом транспортной инфраструктуры признаются юридические лица, ИП и физические лица, являющиеся собственниками объектов транспортной инфраструктуры (портов, аэропортов, железнодорожных и автомобильных вокзалов и станций) и (или) транспортных средств или использующие их на ином законном основании (п. п. 7, 9 ст. 1 Закона о транспортной безопасности).

АЦБПДП формируются на основании информации, представленной:

  • субъектами транспортной инфраструктуры и перевозчиками, федеральными органами исполнительной власти;
  • иностранными государствами и организациями в рамках международного сотрудничества по вопросам обеспечения транспортной безопасности.

В АЦБПДП передаются следующие данные:

Для персонала транспортных средств (экипажа) в дополнение к сведениям, указанным выше, обязательной передаче подлежит информация о занимаемой должности в экипаже ТС. Применительно к отдельным видам транспорта установлены дополнительные сведения, подлежащие передаче в АЦБПДП (ч. 5.3, 6.2 ст. 11 Закона о транспортной безопасности). Так, например, при перевозках автомобильным транспортом в состав основного блока данных помимо указанных входят данные о регистрируемой операции (п. 56 Порядка):

  • номер рейса;
  • номер места;
  • дата и время кассовой операции;
  • номер кассового терминала или фамилия кассира, продавшего билет;
  • дата и время прибытия в пункт назначения (по расписанию);
  • государственный регистрационный знак транспортного средства (автобуса);
  • марка транспортного средства (автобуса).

При этом передача сведений о государственном регистрационном знаке и марке ТС является обязательной только при передаче персональных данных персонала (экипажа).

Перевозчики и субъекты транспортной инфраструктуры обеспечивают передачу сведений по перевозкам пассажиров, включая персональные данные о пассажирах и персонале (экипаже) ТС, полученных (п. 7 Порядка):

  1. при совершении регистрируемых операций в ходе оформления проездных документов (билетов) (к таким операциям относятся бронирование проездного билета, его продажа, возврат, регистрация пассажира, посадка пассажира на транспортное средство, изменение или прекращение перевозки);
  2. при формировании списков пассажиров при осуществлении перевозки пассажиров заказными (перевозками по заказу) рейсами;
  3. при формировании персонала (экипажей) транспортных средств.

Порядок представления сведений

Перед началом работы с АЦБПДП поставщики данных проходят процедуру подключения к ЕГИС ОТБ, в ходе которой они подают заявку на подключение, подписывают соглашение о взаимодействии с оператором, а также выбирают оптимальный для них способ передачи данных:

Режим передачи данных - круглосуточный. Порядком определены общие положения передачи сведений о пассажирских перевозках всеми видами транспорта, а также специальные положения при перевозке отдельными видами транспорта. Так, перевозчик (субъект транспортной инфраструктуры) обязан передавать установленный объем информации в следующие сроки:

Наименование информации, подлежащей передаче

Момент передачи поставщиками данных в АЦБПДП

Информация о персонале (экипаже) транспортных средств

По завершении формирования экипажей транспортных средств, но не позднее чем за 24 ч до момента отправления ТС. В случае изменения (дополнения) состава экипажа ТС сведения о включенных в состав экипажа лицах передаются в АЦБПДП незамедлительно, но не позднее момента отправления (ч. 5.4, 5.5 ст. 11 Закона о транспортной безопасности, п. 31 Порядка)

При морских перевозках

По завершении формирования экипажа, но позднее времени отправления судна (п. 64 Порядка)

Данные о пассажирах

С задержкой не более 30 мин. после ввода данных в информационную систему поставщика (п. 30 Порядка)

При перевозке автомобильным, железнодорожным транспортом

С задержкой не более 30 мин. после ввода данных в информационную систему поставщика, но не позднее времени отправления ТС (п. п. 57, 60 Порядка)

  • при регистрации;
  • при бронировании;
  • при бронировании (продаже) проездных документов (билетов) ранее чем за сутки до вылета воздушного судна

Не позднее чем за 15 мин., 6 ч, 24 ч соответственно до вылета воздушного судна (п. п. 44, 45, 46 Порядка)

При морских перевозках

Не позднее времени отправления судна (п. 63 Порядка)

Осуществление контроля

В соответствии с ч. 8 ст. 11 Закона о транспортной безопасности проверка соблюдения порядка передачи сведений в АЦБПДП проводится уполномоченным федеральным органом исполнительной власти при осуществлении им государственного контроля (надзора) в области транспортной безопасности. Таким органом являются Федеральная служба по надзору в сфере транспорта и ее территориальные органы (Постановление Правительства РФ от 04.10.2013 N 880).

Федеральным законом от 03.02.2014 N 15-ФЗ в КоАП РФ введена ст. 19.7.9 (действует с 04.02.2014), которой предусмотрена ответственность за непредставление сведений в АЦБПДП о пассажирах и персонале ТС или представление недостоверных сведений либо нарушение порядка формирования и ведения указанных баз.

При совершении правонарушения по неосторожности

При повторном совершении названного правонарушения

Если правонарушение совершено умышленно

Штраф в размере от 20 000 до 30 000 руб.

Штраф в размере от 30 000 до 50 000 руб.

Штраф в размере от 50 000 до 100 000 руб.

Штраф в размере от 30 000 до 50 000 руб.

Штраф в размере от 50 000 до 70 000 руб. или административное приостановление деятельности на срок до 90 суток

Штраф в размере от 100 000 до 150 000 руб. или административное приостановление деятельности на срок до 90 суток

Штраф в размере от 50 000 до 100 000 руб.

Штраф в размере от 100 000 до 200 000 руб. или административное приостановление деятельности на срок до 90 суток

Штраф в размере от 200 000 до 500 000 руб. или административное приостановление деятельности на срок до 90 суток

Согласно примечанию к ст. 19.7.9 КоАП РФ за административные правонарушения, предусмотренные названной статьей, лица, осуществляющие предпринимательскую деятельность без образования юридического лица (то есть индивидуальные предприниматели), несут административную ответственность как юридические лица. Указанное требует некоторых пояснений.

Как может заметить читатель, размеры штрафа дифференцированы для должностных лиц, предпринимателей и юридических лиц. То есть на перевозчиков-предпринимателей, не представивших сведения в АЦБПДП, может быть наложен административный штраф в том размере, который прямо прописан в анализируемой норме для ИП (а не как установленный для юридических лиц). Вместе с тем подход к определению вины ИП с учетом комментируемого примечания применяется в соответствии со ст. 2.1 КоАП РФ: юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Если бы это примечание отсутствовало, для определения вины нужно было бы следовать положениям ст. 2.2 КоАП РФ (ст. 2.4 КоАП РФ).

Как соблюсти новые требования?

Новая обязанность, возложенная на перевозчиков и субъектов транспортной инфраструктуры, породила, естественно, некоторые сложности, в том числе связанные с установкой нового программного обеспечения и адаптацией его к имеющемуся оборудованию. Как показала практика, полноценной передаче сведений в АЦБПДП предшествуют проведение работ по модернизации оборудования и эксплуатация программного обеспечения в тестовом режиме. Проверяющие и судьи округов по-разному видят соблюдение установленных Законом о транспортной безопасности и Порядком требований, в частности о том, считается ли представление сведений оператору ЕГИС ОТБ в тестовом режиме выполнением предусмотренной обязанности.

Источник информации, реквизиты постановления

Суть нарушения, выводы судей

В ходе проведенной прокуратурой города проверки установлено, что транспортная компания на основании лицензии осуществляет перевозку пассажиров ТС, оборудованным для перевозок более восьми человек, по регулярному межобластному маршруту движения. В нарушение Закона о транспортной безопасности юридическим лицом при осуществлении перевозок пассажиров не передавались сведения об экипаже транспортных средств в АЦБПДП. В связи с изложенным в отношении генерального директора общества прокурором возбуждено дело об административном правонарушении по ч. 1 ст. 19.7.9 КоАП РФ. Должностному лицу грозит штраф до 30 000 руб.

Постановление Суда Еврейской автономной области от 18.05.2015 по делу N 4-А-18/2015

Постановление Шестого арбитражного апелляционного суда от 22.06.2015 N 06АП-2646/2015 по делу N А16-143/2015

Транспортной прокуратурой проведена проверка предприятия на предмет исполнения законодательства в сфере транспортной безопасности, выявлен факт непредставления им в автоматизированные базы данных о пассажирах. В ходе рассмотрения дела суд пришел к выводу об ошибочности решения проверяющих, поскольку из письма оператора ЕГИС ОТБ следовало, что предприятием передавались данные по пассажирам на тестовую площадку

Перевозчики и субъекты транспортной инфраструктуры в соответствии с установленной сферой ведения при оформлении проездных документов (билетов) должны обеспечивать передачу сведений о пассажирских перевозках оператору ЕГИС ОТБ. Для пассажиров это означает, что при покупке билета, в том числе на автомобильный междугородний транспорт, необходимо предъявить паспорт.

Субъект транспортной инфраструктуры или перевозчик иностранного государства, являющиеся собственниками транспортного средства, которое выполняет международные перевозки пассажиров в РФ, из РФ и (или) через территорию РФ, либо использующие его на других законных основаниях, также обязаны передавать данные в АЦБПДП, если международными договорами не установлено иное.

В связи с тем что обязанность по передаче данных появилась у перевозчиков недавно, арбитражной практики по этому вопросу не так много. Но из уже имеющихся судебных решений можно констатировать, что среди проверяющих и судей нет единства во мнении о том, признается ли передача данных оператору ЕГИС ОТБ в тестовом режиме (всегда предшествует передаче сведений на рабочую площадку) выполнением требования законодательства о транспортной безопасности.

Мы используем файлы Cookie. Просматривая сайт, Вы принимаете Пользовательское соглашение и Политику конфиденциальности. --> Мы используем файлы Cookie. Просматривая сайт, Вы принимаете Пользовательское соглашение и Политику конфиденциальности.

Как оператору исполнить обязанность по размещению баз с персональными данными на территории РФ

Рост мировой геополитической напряженности в первой половине 2014 г. между Россией и некоторыми зарубежными странами, взаимные и встречные санкции побудили российские власти выступить с рядом инициатив по обеспечению национальной безопасности РФ.

Важной особенностью положений Закона № 242-ФЗ является акцент на гражданстве субъектов ПДн. Ранее законодательство РФ было направлено на защиту прав субъектов ПДн безотносительно их гражданства.

В случае если оператор поручает другому лицу обработку персональных данных, включая их сбор, указанное требование распространяется также и на это лицо. При этом оператор обязан обеспечить размещение данных на территории РФ.

Необходимо отметить, что требование распространяется только на обработку ПДн при их сборе. Таким образом, можно сделать вывод о том, что последующие действия с ПДн могут производиться в базах данных (далее – БД) на территории иностранных государств. Кроме того, изменения в Закон № 152-ФЗ не затрагивают трансграничную передачу ПДн.

Общие рекомендации по выполнению требований Закона № 242-ФЗ

Операторам информационных систем с ПДн (далее – ИСПДн), обрабатывающим персональные данные граждан РФ, следует соблюдать следующие принципы:

  • сбор ПДн, в том числе с территории иностранных государств, ведется только в БД на территории РФ;
  • объем и актуальность ПДн, хранящихся в БД на территории РФ, должны быть равны или превосходить соответствующие показатели в отношении ПДн, хранящихся в зарубежных БД;
  • получение новых ПДн посредством использования (анализа) имеющихся ПДн, которые были собраны в БД на территории РФ и переданы за рубеж, может производиться с помощью зарубежных БД и без предварительной локализации в РФ 1 .

На текущий момент несколько органов государственной власти высказали свою позицию, которая суммирует результаты толкования ими требований Закона № 242-ФЗ в отношении размещения БД с данными российских граждан. Необходимо отметить, что нижеприведенные интерпретации норм не всегда могут считаться официальными разъяснениями, так как не все эти органы, например Роскомнадзор, наделены таким правомочием.

Позиция Государственно-правового управления Президента РФ

  • Обработка ПДн российских граждан должна осуществляться с использованием БД, находящихся на территории РФ, если только в конкретной ситуации не применимы случаи, указанные в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона № 152-ФЗ.
  • В Законе № 242-ФЗ отсутствует упоминание о дублирующих БД или актуальных копиях данных.
  • Исходя из положений ч. 1 ст. 1 Закона № 242-ФЗ он распространяется на всех операторов.
  • Запреты, установленные в Законе № 242-ФЗ, распространяются и на те ПДн, которые были ранее переданы за пределы РФ.

Позиция Минкомсвязи

  • Субъект ПДн имеет право дать согласие на обработку своих ПДн и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.
  • Оператор по-прежнему обладает правом поручить обработку ПДн иностранному лицу и осуществлять трансграничную передачу ПДн. Например, российские дочерние организации могут передавать ПДн своих работников в глобальные ИС (HR-системы, ERP-системы и т.п.), операторами которых являются иностранные материнские компании или иные организации.
  • ИСПДн может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ.
  • Применение дублирующих БД, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.
  • Нормы Закона № 152-ФЗ применимы только на территории РФ, а Конвенция о защите физических лиц при автоматизированной обработке персональных данных ETS от 28 января 1981 г. № 108 имеет приоритет над этим законом. Соответственно, иностранные лица не обязаны соблюдать его требования за пределами РФ, и они не подлежат юридической ответственности, предусмотренной действующим законодательством РФ.
  • Закон № 242-ФЗ обратной силы не имеет. Следовательно, его положения не распространяются на правоотношения с иностранными лицами, ведущими БД с ПДн, оформленные до 1 сентября 2015 г.
  • На деятельность авиакомпаний, осуществляемую в рамках реализации международного договора РФ или федерального закона, не распространяется положения ч. 5 ст. 18 Закона № 152-ФЗ об обязательной локализации БД с ПДн на территории РФ.
  • Обработка ПДн для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18 Закона № 152-ФЗ, путем размещения в центрах обработки данных на территории РФ БД, содержащей ПДн граждан РФ, большего размера или аналогичного объему ПДн, передаваемому на территорию иностранного государства.

В целом вышеописанные позиции иллюстрируют два обобщенных подхода органов госвласти к толкованию норм Закона № 242-ФЗ:

  • жесткий подход Государственно-правового управления Президента РФ и Роскомнадзора: запрещено все, что прямо не разрешено законом;
  • мягкий подход Минкомсвязи: разрешено все, что прямо не запрещено законом.

Способы выполнения требований к обработке персональных данных

В связи с противоречивостью и фрагментарностью правоприменительной практики и комментариев уполномоченных органов затруднительно сделать однозначные выводы о наиболее оптимальных стратегиях выполнения требований к обработке персональных данных операторами, обладающими БД с ПДн российских граждан за пределами территории РФ. Можно выделить восемь возможных стратегий выполнения требований Закона № 242-ФЗ (см. рис. ниже). Допустимо комбинировать их между собой.


Следует дать дополнительные пояснения к некоторым из стратегий.

  • Стратегия № 5 подразумевает отказ от процесса обработки ПДн с помощью организации – российского резидента. Стратегия реализуется путем осуществления прямого сбора, систематизации, обновления и хранения ПДн с помощью организации за пределами России. Такая компания – оператор ПДн не подпадает под российскую юрисдикцию.
  • Стратегия № 7 подразумевает создание на территории РФ промежуточной информационной системы или БД с целью хранения, уточнения, удаления собираемых в России ПДн и их последующей передачи для обработки другому оператору, в том числе за границу. БД с ПДн может представлять собой документ в формате Excel, Word или находиться на бумажных носителях, если этого достаточно для целей обработки. Процессы в зарубежных системах (например, в глобальных системах международных холдингов и групп компаний), связанные с последующей обработкой ПДн, сохраняются неизменными или адаптируются для автоматического использования данных из России.

Перечисленные стратегии формировались исходя из презумпции, что обработка ПДн при осуществлении процедур по обеспечению непрерывности информационно-технологической инфраструктуры и восстановления ее после сбоев, при разработке и тестировании программных модулей информационных систем не регулируется напрямую Законом № 242-ФЗ в части размещения БД с ПДн на территории РФ. Данное предположение основывается на следующем доводе: в рамках резервной информационно-технологической инфраструктуры и сред разработки и тестирования программных модулей ИС не осуществляется сбор ПДн субъектов. ПДн передаются в указанную инфраструктуру и среды из иных БД с ПДн. Для минимизации юридических рисков, связанных с обработкой ПДн в средах разработки и тестирования программных модулей ИС, оператору рекомендуется рассмотреть возможность применения технологий обезличивания (обратимого и необратимого) или шифрования ПДн.

Представленные стратегии рассматривают только вопросы логики распределения информационных потоков внутри и между ИСПДн, но не затрагивают вопросы правового характера.

Риски применения стратегий выполнения требований Закона № 242-ФЗ

Для просчета юридических рисков, сопутствующих применению стратегий выполнения требований Закона № 242-ФЗ, оценивалась вероятность 4 выявления правонарушения (обнаружить несоответствие могут Роскомнадзор и Прокуратура, субъекты ПДн, контрагенты оператора и иные лица) и дальнейшего доказывания этого факта в суде. Для этого выявлялась степень соответствия стратегии требованиям закона с точки зрения органов госвласти, опирающихся на политическую ситуацию и ведомственное мнение, и судов, руководствующихся юридической трактовкой и внутренним убеждением.

Ниже приведено графическое представление интегральной оценки в диапазоне от 0 до 5 баллов в отношении величины юридических рисков для каждой из стратегий. Так, стратегия № 1 получила 0 баллов, что демонстрирует ее безрисковость. Выбор стратегии № 2 чреват наибольшим юридическим риском среди всех восьми стратегий. При реализации остальных стратегий вы в большей (стратегии № 4, 5, 8) или меньшей степени (стратегии № 3, 6, 7) рискуете столкнуться с наступлением неблагоприятных последствий, описанных далее.


Оценка реализации стратегий выполнения требований Закона № 242-ФЗ

Выбор стратегии основывается на принципе минимизации вероятного ущерба компании и расходов на ее реализацию. При этом ущерб подразделяется на штраф, влияние на бизнес и репутационный ущерб. Расходы могут быть однократными и периодическими.


Чтобы вычислить расходы, определить риски и дать общую оценку стратегии качественные значения ставятся в соответствие с количественными, которые представляют собой безразмерную величину (условные пункты).

Количественное значение Описание
Однократные расходы Периодические расходы Оценка репутационного ущерба
0 Реализация стратегии не предполагает затрат со стороны компании. Эксплуатация технических решений и сопровождение организационных процессов не требуют дополнительных затрат компании. Риски отсутствуют. Например, вследствие прекращения обработки ПДн в системе.
10 Технические и организационные изменения просты. Трудозатраты незначительны. Эксплуатация и сопровождение требуют минимальных дополнительных затрат компании. Риски минимальны. Например, для систем, в которых обрабатываются ограниченные перечни ПДн или данные ограниченного количества субъектов ПДн.
30 Технические и организационные изменения не представляют большой сложности и являются локальными для систем и бизнес-процессов. Трудозатраты невысокие. Эксплуатация и сопровождение требуют незначительных дополнительных затрат компании. Риски средние. Например, для систем, в которых обрабатываются незначительные перечни ПДн.
50 Технические и организационные изменения значительны и могут затронуть смежные системы или бизнес-процессы. Трудозатраты высокие. Эксплуатация и сопровождение требуют больших дополнительных затрат компании. Риски высокие. Например, для систем, в которых обрабатываются множество категорий ПДн или данные большого количества субъектов.
100 Технические и организационные изменения сложны в реализации. Трудозатраты очень высокие. Эксплуатация и сопровождение требуют очень больших дополнительных затрат компании. Риски очень высокие. Например, для систем, в которых обрабатываются множество категорий ПДн большого количества субъектов.
1000 Технические и организационные изменения настолько значительны, что их реализуемость в краткосрочной и среднесрочной перспективе с приемлемыми трудозатратами сомнительна. Эксплуатация и сопровождение требуют крайне больших дополнительных затрат компании. Риски крайне высокие. Например, для систем, в которых обрабатываются специальные или биометрические категории ПДн большого количества субъектов.

Оценка стратегий осуществляется в отношении только тех систем, базы данных с ПДн которых полностью или частично располагаются за пределами РФ. При оценке применяется допущение, что в течение жизненного цикла систем проверка со стороны Роскомнадзора будет проведена как минимум один раз.

Привлекательность стратегии определяется по формуле, позволяющей оценить величину расходов на ее реализацию: Si=Ci+Oi*Tэ+Pо,i*Pв,i*Pд,i*M*S1+Pо,i*Pв,i*Pсми,I*D.

  • Si – обозначение оцениваемой стратегии (значение i соответствует порядковому номеру стратегии);
  • Ci – однократные расходы при реализации стратегии i;
  • Oi – периодические расходы при реализации стратегии i;
  • Tэ – ожидаемый период эксплуатации ИСПДн;
  • Pо,i – вероятность обнаружения ИСПД проверяющими органами при реализации стратегии i;
  • Pв,i – вероятность выявления нарушений в обнаруженной ИСПДн по результатам проверки при реализации стратегии i;
  • Pд,i – вероятность признания постановления Роскомнадзора законным при реализации стратегии i;
  • М – мультипликатор (уровень) влияния на бизнес;
  • S1 – расходы на реализацию стратегии, включая периодические за период жизненного цикла;
  • Pсми,i – вероятность освещения результатов в СМИ при реализации стратегии i;
  • D – вероятный репутационный ущерб.

Влияние на бизнес выражается в виде расходов на реализацию стратегии, умноженных на мультипликатор. Мультипликатор зависит от критичности системы для бизнеса, сложности переноса системы, вовлеченности ее в основные бизнес-процессы и находится в промежутке от 1 до 3 единиц.

Вероятность обнаружения ИСПДн зависит в первую очередь от того, был ли уведомлен Роскомнадзор об этой системе, а также от вовлеченности ее в деятельность организации, и оценивается по шкале 0–100%. Для основных бизнес-процессов вероятность обнаружения ИСПДн выше. Вероятность выявления правонарушения в ИСПДн зависит от реализованной стратегии и компетентности проверяющих.

Чтобы упростить процедуру оценки вероятностей, используется экспертное мнение о степени соответствия стратегий требованиям Закона № 242-ФЗ. Степень соответствия анализируется по следующей шкале:

  • легкообнаружимое несоответствие (вероятность – 100%);
  • труднообнаружимое несоответствие (вероятность – 80%);
  • крайне труднообнаружимое несоответствие или соответствие с сильнозаметными уязвимостями (вероятность – 60%);
  • соответствие со среднезаметными уязвимостями (вероятность – 40%);
  • соответствие со слабозаметными уязвимостями (вероятность – 20%);
  • полное соответствие (вероятность – 0%).

Вероятность распространения информации в СМИ зависит от значимости нарушения, степени вовлеченности системы в основные процессы организации и также оценивается по шкале 0–100%.

Действующим законодательством не установлена прямая ответственность за неисполнение операторами требований о локализации БД с ПДн (ч. 5 ст. 18 Закона № 152-ФЗ). Однако этот пробел может быть восполнен в среднесрочной перспективе. Размер штрафа может быть установлен в пределах 50 тыс. руб. (с учетом размера штрафа, установленного ч. 1 ст. 13.11 КоАП РФ). Это значительно меньше прочих расходов на реализацию стратегий и величины сопутствующих рисков. При расчете общей оценки стратегии штраф в явном виде не учитывается.

Рассмотрим пример оценки восьми стратегий в отношении отдельно взятой ИСПДн.


Итак, в рассмотренном примере наиболее привлекательной оказалась стратегия № 1 – создание промежуточной БД на территории РФ. Немного менее привлекательной является стратегия № 2 – перенос БД на территорию РФ.

1 Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор ПДн – это процесс целенаправленного получения данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации в БД на территории РФ возникает только в период сбора ПДн. Если, например, в зарубежной системе на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие ПДн нельзя рассматривать как получаемые во время сбора, т.е. они не были получены от субъекта или через уполномоченных оператором лиц.

3 С данным расширительным толкованием понятия БД можно не согласиться, так как согласно п. 10 ст. 3 Закона № 152-ФЗ БД является неотъемлемой частью ИСПДн, а обработка ПДн, содержащихся в БД, осуществляется с использованием информационных технологий и технических средств (средств автоматизации). При этом, согласно ч. 1 ст. 1 Закона № 152-ФЗ, без использования средств автоматизации могут обрабатываться ПДн, зафиксированные на материальном носителе и содержащиеся в картотеках или иных систематизированных собраниях ПДн. Таким образом, упорядоченные массивы ПДн можно условно разделить на две категории: [электронные] базы данных в составе ИСПДн; картотеки и иные систематизированные собрания ПДн.

4 Оценка проводилась в течение трех лет. Указанный срок был определен на основании нормы, закрепленной в п. 33 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312).


В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

К персональным данным, согласно данному закону, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Также существует классификация персональных данных. Их подразделяют на:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

Немного подробнее по каждой категории.

Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.

Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят , передают и уничтожают .

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее .

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив .

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации .
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации .
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс .

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса . Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!


Персональные данные – это та информация, при помощи которой можно легко идентифицировать фамилию, имя и отчество нужного человека, год и место его рождения, прописку и паспортные данные. Вся эта информация хранится в базах персональных данных.

В данной статье мы рассмотрим, для чего необходима такая база, какие данные там хранятся, нужно ли её оформлять и в подробностях опишем, как ее зарегистрировать.

Что это такое?

База персональных данных – это довольно большая совокупность полностью упорядоченных сведений о физическом лице, которая идентифицирована или может быть идентифицирована. Сведения могут быть представлены в виде карточек или же в электронном варианте.

Владелец базы данных – физическое или юридическое лицо, у которого может быть несколько БПД. В них хранятся сведения о сотрудниках, принятых на работу, о заключённых договорах, скидках.

Подробнее об обработке, защите и хранении ПД у юридического лица читайте тут.

Причины создания

Рассмотрим причины формирования БПД на примере заключения трудовых отношений.
Оформляясь на работу, работник должен предоставить в отдел кадров такие документы:

  • Паспорт.
  • Трудовую книжку.
  • Диплом об образовании (если нужно).
  • Фотографии.
  • Справку из ГНС об ИНН.

Работодатель, в свою очередь, не имеет права требовать от сотрудников следующие сведения:

  1. О национальной и партийной принадлежности.
  2. О происхождении.
  3. Другие документы, не предусмотренные по законодательству.

Заключение трудового договора оформляется с помощью приказа о приёме на работу. В нём прописываются все личные данные, а после ставятся нужные отметки в виде подписей.

Причина для формирования базы данных заключается в том, что работодатель должен внести информацию о каждом работнике, начале его службы на той или иной должности.

Вносится такая информация:

  • ИНН.
  • Пол.
  • ФИО.
  • Дата рождения и гражданство.
  • Образование и сведения об учебном заведении.
  • Сведения о местонахождении (проживание) и адрес прописки.
  • Запись о приёме на работу.

Все эти данные защищены законом и упорядочены в БПД. На каждого работника распространяются требования закона о защите ПД.

К примеру, если на предприятии работает одна особа, то руководство вносит данные лишь об одном физическом лице.

Исходя из этого, Министерство Юстиции сделало вывод, что информация, содержащая сведения об одном человеке, не является совокупностью ПД. А значит, вносить данные о сотруднике или нет, руководство решает самостоятельно. В некоторых ситуациях могут возникать споры.

Сведения о нахождении

Все данные хранятся в государственном реестре. Чаще всего он расположен в налоговой инспекции города.

Нужно ли оформлять?

Регистрировать нужно любую базу данных о физических лицах, в которой есть личная информация о каждом из них.

Сюда относят данные паспорта, ИНН, прописки, другие дополнительные данные, через которые легко идентифицировать того или иного человека.

Формирование

Чтобы сформировать БПД, будущий владелец должен пройти такие шаги:

  1. Установить цель обработки данных и обозначить её.
  2. Подать документы в соответствующую инстанцию.
  3. Собрать всю информацию, которая будет подлежать обработке.
  4. Пройти процедуру регистрации до конца и получить разрешение на формирование базы.
  5. Заполнить базу всеми необходимыми сведениями.

Владелец базы может назначить любое лицо в качестве распорядителя на обработку персональных данных граждан. Он сделает это в письменной форме согласно договору.

Пошаговая инструкция по регистрации

Чтобы зарегистрировать базу персональных данных, для начала нужно подать заявление:

  1. Войдите на сайт Госреестра и найдите окошко создания заявления.
  2. Заполните все поля, указывая точную и правильную информацию. Ни в коем случае не допускайте ошибок.
  3. Введите контрольный код и дождитесь, пока не всплывёт окошко об окончании регистрации.
  4. Обязательно сохраните файл. Узнать о том, как заполнять заявление физическому и юридическому лицу можно также на сайте.
  5. В конце нужно поставить электронную подпись, поскольку без неё документ не станут рассматривать.

По истечению срока регистрации, нужно снова войти на сайт, где будет ответ. Ответ может выглядеть так:

Заключение

Подводя итоги стоит отметить, что каждый работодатель или частный предприниматель может подать заявление на регистрацию БПД. Это даст ему возможность официально трудоустроить сотрудников и получить данные, которые хранятся в специальной системе и не распространяются третьим лицам. В зависимости от целей, физическое или юридическое лицо принимает решение о том, насколько полной должна быть информация.

Читайте также: