Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите бесплатную демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

Закон о персональных данных: требования к организации деятельности юридических лиц.

Конец 2009 года ознаменовался повышенным внимание к Федеральному закону от 27 июля 2006 г. «О персональных данных» (далее – ФЗ «О персональных данных», Закон о персональных данных). Дело в том, что в п. 3 ст. 26 этого закона изначально содержалось предписание о необходимости привести все информационные системы персональных данных в соответствие с требованиями закона не позднее 1 января 2010 года. Но поскольку большая часть организаций не успевала исполнить это предписание к указанному сроку, накануне 2010 года был принят Федеральный закон от 27 декабря 2009 г. № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных», которым срок приведения в соответствие с законом всех информационных систем продлен до 1 января 2011 года.

Итак, все субъекты получили некоторое время для передышки и более детального изучения тех требований, которым должна соответствовать их деятельность с точки зрения защиты персональных данных. Для того, чтобы понять, на каких субъектов распространяются данные требования, необходимо определиться с содержанием понятий «персональные данные», «оператор», «обработка персональных данных».

В соответствии с п. 1 ст. 3 ФЗ «О персональных данных», персональные данные – это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Как следует из указанной нормы, к персональным данным можно относить как поименованные в законе категории личных сведений, так и любые другие сведения о лице, помогающие идентифицировать его, обособить от других: ИНН, номер страхового пенсионного свидетельства, номер телефона, icq, и т.д.

Определения понятий «оператор» и «обработка персональных данных» содержатся в ст. 3 ФЗ «О персональных данных»:

  • оператор – это «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных» (п. 2 ст. 3 ФЗ «О персональных данных»);
  • обработка персональных данных – это «действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных» (п. 3 ст. 3 ФЗ «О персональных данных»).

Из изложенных определений следует, что оператором персональных данных может являться абсолютно любой субъект, производящий действия с персональными данными, начиная от простого физического лица, заканчивая государственным или муниципальным органом. Если говорить о юридических лицах, то операторами могут выступать любые коммерческие и некоммерческие организации независимо от их организационно-правовой формы. Понятие «обработка персональных данных» также является весьма широким и охватывает круг всех действий, которые можно совершать с персональными данными: сбор, хранение, систематизация, накопление, распространение и др.

Таким образом, ФЗ «О персональных данных» имеет практически всеохватывающее действие, поскольку обработкой персональных данных занимается подавляющее число организаций в различных сферах жизни: банки, страховые компании, медицинские и образовательные учреждения, товарищества собственников жилья, жилищно-строительные кооперативы и др. Соответственно, все эти организации и любые другие юридические лица, имеющие дело с персональными данными физических лиц, должны соблюдать те требования к обработке персональных данных, которые содержатся в законе.

Можно выделить несколько основных требований, предъявляемых Законом о персональных данных к операторам, осуществляющим обработку таких данных.

Во-первых, согласно ч. 1 ст. 6 ФЗ «О персональных данных», обработка персональных данных может осуществляться оператором только с согласия субъекта персональных данных.

Это правило распространяется на все случаи обработки персональных данных, за исключением некоторых ситуаций. Исключения из общего правила установлены ч. 2 ст. 6 Закона о персональных данных. Оператор имеет право не запрашивать согласия субъекта на обработку его персональных данных, в частности, в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2). обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3). обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

4). обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных и др.

С учетом этого, юридические лица, являющиеся операторами персональных данных, в некоторых случаях могут избежать необходимости получения согласия лиц на обработку их данных, например, путем заключения с субъектами персональных данных некоего договора, исполнение которого будет предусматривать сбор и обработку персональных данных.

Закон о персональных данных закрепляет некоторые требования к форме получения согласия на обработку персональных данных.

Согласно ч. 4 ст. 6 ФЗ «О персональных данных», в предусмотренных этим законом случаях обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Из этой нормы следует, что письменное согласие субъекта на обработку его персональных данных требуется лишь в определенных ФЗ «О персональных данных» случаях. К таким случаям закон относит, например, обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни; обработку биометрических персональных данных и др. Во всех остальных случаях, не названных в Законе о персональных данных, согласие субъекта на обработку его персональных данных может быть выражено в иной форме (т.е. не обязательно в письменной).

Тем не менее, в силу ч. 3 ст. 9 ФЗ «О персональных данных» обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. Это означает, что в случае наличия каких-либо претензий со стороны гражданина и возникновения судебного спора юридическое лицо – оператор должно будет подтвердить факт получения согласия на обработку персональных данных. С этой точки зрения наилучшим доказательством получения согласия на обработку персональных данных для суда будет именно письменное согласие.

Таким образом, хоть закон и не обязывает в каждом случае получать согласие на обработку персональных данных в письменном виде, очевидно, что операторам это делать все же придется.

Второе требование, предъявляемое Законом о персональных данных к операторам, сводится к тому, что операторы и иные лица, получающие доступ к персональным данным, должны соблюдать конфиденциальность таких данных (ч. 1 ст. 7 ФЗ «О персональных данных»).

В силу п. 10 ст. 3 ФЗ «О персональных данных», конфиденциальность подразумевает под собой обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Под распространением персональных данных закон понимает действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом (п. 4 ст. 3 ФЗ «О персональных данных»).

Таким образом, Закон предусматривает, что операторы обязаны получать согласие субъектов персональных данных на предоставление этих данных третьим лицам и на их распространение иными способами.

В целом действия по распространению персональных данных входят в понятие «обработка персональных данных» (п. 3 ст. 3 ФЗ «О персональных данных»). Поэтому, давая согласие на обработку персональных данных, субъект дает согласие в том числе и на распространение этих данных. Для этого необходимо, чтобы в письменном согласии субъекта на обработку его персональных данных было отдельно указано право оператора на совершение действий по распространению персональных данных о лице.

Еще одно, вызвавшее, пожалуй, наибольший интерес требование Закона о персональных данных – это требование о принятии оператором необходимых мер для защиты персональных данных от неправомерного доступа к ним и от иных неправомерных действий (ч. 1 ст. 19 ФЗ «О персональных данных»).

Согласно ч. 1 ст. 19 ФЗ «О персональных данных», оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Указанное требование вызвало наибольшее количество сложностей у юридических лиц в процессе приведения их информационных систем в соответствие с Законом о персональных данных. Дело в том, что во исполнение данной нормы на уровне подзаконных актов были установлены достаточно жесткие требования к тому, как должна обеспечиваться техническая защита персональных данных, содержащихся в автоматизированных информационных системах.

Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»(3) Федеральной службе безопасности Российской Федерации (далее – ФСБ) и Федеральной службе по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК) было предписано утвердить нормативные правовые акты и методические документы, содержащие требования по обеспечению безопасности персональных данных.

В 2008 году названные органы приняли соответствующие нормативные документы. В этих документах получили свое закрепление, в частности, следующие требования: во-первых, требование о прохождении информационной системой, в которой содержатся персональные данные, процедуры оценки соответствия в виде обязательной сертификации по требованиям безопасности информации либо декларирования соответствия (в зависимости от класса информационной системы); во-вторых, требование о необходимости получения операторами при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) лицензии на осуществление деятельности по технической защите конфиденциальной информации); в-третьих, требование о необходимости разработки и принятия организацией комплекса внутренних локальных актов, регламентирующих вопросы обработки и защиты персональных данных (акт об отнесении информационной системы персональных данных к одному из классов; список лиц, допущенных к работе с персональными данными в информационной системе; локальные акты, устанавливающие правила работы с персональными данными и т.д.). Кроме того, для некоторых случаев нормативными актами ФСТЭК и ФСБ была установлена обязанность операторов использовать не любые технические средства защиты, а именно шифровальные (криптографические) средства защиты информационных систем персональных данных, что также влечет необходимость получения в органах ФСБ соответствующей лицензии и введения в организации особых условий работы с информационной системой, защищаемой такими техническими средствами.


14 февраля 2008 г. URL: http://www.fstec.ru/_razd/_ispo.htm; «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены Заместителем директора ФСТЭК РФ 15 февраля 2008 г. URL: http://www.fstec.ru/_razd/_ispo.htm; «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК РФ 15 февраля 2008 г. URL: http://www.fstec.ru/_razd/_ispo.htm; «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утверждены Заместителем директора ФСТЭК РФ от 15 февраля 2008 г. URL: http://www.fstec.ru/_razd/_ispo.htm; «Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ РФ 21 февраля 2008 г. №149/5-144. URL: http://pd.rsoc.ru/; «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ РФ 21 февраля 2008 г. №149/6/6-622. URL: http://pd.rsoc.ru/. См.: Постановление Правительства РФ от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» () Российская газета. № 190. 29.08.2006; Постановление Правительства РФ от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» () Собрание законодательства Российской Федерации. № 2. 14.01.2008. ст. 86

Выполнение разработанных на подзаконном уровне требований к защите персональных данных вызвало у большинства операторов большие затруднения, поскольку прохождение сертификации, получение лицензии, создание комплекса внутренних локальных актов в организациях сопряжено с немалыми денежными и временными затратами. Примем из появлявшихся в конце 2009 года публикаций стало видно, что сложности возникли не только у небольших фирм, для которых проведение всего комплекса мероприятий по технической защите персональных данных практически невыполнимо с финансовой точки зрения, но и у таких крупных организаций, как банки, которые к тому времени уже применяли в своей работе различные системы защиты своих баз данных, содержащих сведения о клиентах. Таким образом, к концу 2009 года большая часть юридических лиц не смогла исполнить данные указания, в результате чего возникла необходимость в продлении сроков приведения информационных систем в соответствие с требованиями закона до 1 января 2011 года. Тем не менее, несмотря на продление сроков, сами требования о технической защите персональных данных не претерпели изменений (кроме требования о применении шифровальных (криптографических) средств защиты, которое было исключено из ст. 19 ФЗ «О персональных данных»), на что стоит обратить внимание всем юридическим лицам.

И, наконец, в качестве еще одного требования к операторам персональных Закон о персональных данных устанавливает обязанность оператора до начала обработки персональных данных уведомить уполномоченный государственный орган о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ «О персональных данных»).

Согласно ч. 3 ст. 22 ФЗ «О персональных данных», такое уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью. Уведомление должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных.

После получения уведомления уполномоченный орган вносит сведения об операторе в реестр операторов, осуществляющих обработку персональных данных.

В соответствии с действующими нормативными правовыми актами, уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (далее – Роскомнадзор), на что указано в п. 5.1.1.4 «Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», утвержденного Постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228.

Надо отметить, что Закон о персональных данных устанавливает некоторые исключения из общего правила о необходимости уведомлять уполномоченный орган. Согласно ч. 2 ст. 22 ФЗ «О персональных данных», уведомлять уполномоченный орган не требуется, в частности, при обработке персональных данных:

1). относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2). полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3). являющихся общедоступными персональными данными;

4). включающих в себя только фамилии, имена и отчества субъектов персональных данных;

5). обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных и др.

Таким образом, чтобы избежать необходимости направления уведомления об обработке персональных данных в Роскомнадзор и включения себя в реестр операторов, юридические лица могут предпринимать определенные организационные меры. Например, можно заключать с субъектами персональных данных некий договор, который должен соответствовать всем указанным в п. 2 ч. 2 ст. 22 ФЗ «О персональных данных» условиям: предметом договора должно быть обязательство организации осуществлять обработку персональных данных; в договоре должно быть указано, что субъект дает согласие на совершение организацией в рамках обработки персональных данных всех действий, указанных в п. 3 ст. 3 ФЗ «О персональных данных»: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных, а также распространение (в том числе передачу третьим лицам).

За несоблюдение требований к обработке персональных данных виновные лица могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством ответственности, на что указано в ст. 24 ФЗ «О персональных данных».

Уголовная ответственность за нарушение законодательства о персональных данных установлена в ст. 137 Уголовного кодекса Российской Федерации. Данная норма предусматривает наказание в виде штрафа, обязательных работ, исправительных работ либо ареста за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Административная ответственность за нарушение законодательства о персональных данных предусмотрена в ст. 13.11 Кодекса об административных правонарушениях Российской Федерации (далее – КоАП РФ), согласно которой нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа в определенных размерах. Кроме указанной нормы, административная ответственность за нарушение требований законодательства о персональных данных может наступать и по другим статьям: ст.13.12 КоАП РФ «Нарушение правил защиты информации», ст. 13.13 КоАП РФ «Незаконная деятельность в области защиты информации» (за данные виды правонарушений предусмотрены различные виды административных наказаний вплоть до приостановления деятельности организаций) и др.

Также за нарушение законодательства о персональных данных может наступить дисциплинарная ответственность в виде различных санкций, которые может применить работодатель к своему работнику, не исполняющему либо исполняющему ненадлежащим образом свои трудовые обязанности: замечание, выговор, увольнение (нормативными правовыми актами либо внутренними актами организации могут быть предусмотрены и иные виды дисциплинарных взысканий).

Гражданская ответственность за нарушение законодательства о персональных данных может выражаться в следующих формах: возмещение убытков гражданину, причиненных ему в связи с нарушением законодательства  о персональных данных (ст. 15 Гражданского кодекса Российской Федерации (далее – ГК РФ)( ), ч. 2 ст. 17 ФЗ «О персональных данных»); компенсация морального вреда, если действиями, нарушающими законодательство о персональных данных, гражданину причинен моральный вред (физические или нравственные страдания) (ст. 151 ГК РФ, ч. 2 ст. 17 ФЗ «О персональных данных»).

Подводя итог всему изложенному в настоящей статье, стоит сказать, что всем организациям необходимо обратить пристальное внимание на Федеральный закон «О персональных данных», поскольку практически любое юридическое лицо так или иначе сталкивается в своей деятельности с обработкой персональных данных граждан и, соответственно, несет обязанность по приведению своей деятельности в соответствие с требованиями закона.

Источник: http://svobodainfo.org/


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

28ноября

На конференции в Ереване ЭОС представил ECM-решение e-gorts, локализация EOS for SharePoint для Армении

Узнать больше

15ноября

ЭОС - участник форума «Искусственный интеллект, большие данные, отечественный софт: национальная стратегия»

Узнать больше

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ