*Данный материал старше трёх лет. Вы можете уточнить у автора степень его актуальности.
Персональные данные: закон суров...
Федеральный закон «О персональных данных» от 27 июля 2006 года №152-ФЗ в полном объеме вступил в силу с 1 июля 2011 года.
Если вы делаете бизнес в России, вы должны постоянно отслеживать изменения законодательства. То, что еще вчера было нормальным и допустимым, сегодня может быть уже за гранью закона. Типичный пример новых жестких требований к бизнесу — нормы законодательства о персональных данных.
Важность этого закона безусловна: он касается каждого предпринимателя. Если в вашей организации есть хотя бы один работник или один клиент - физическое лицо, то законодательство о персональных данных налагает на вас серьезные обязательства.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Тишковский Андрей Александрович
Подборку других статей, комментарии и заметки на тему "персональные данные" читайте по ссылке.
Главное требование закона — соблюдение конфиденциальности при обработке любых персональных данных, позволяющих идентифицировать лицо, которому принадлежат эти данные. Как правило, для идентификации достаточно дополнения сведений о фамилии, имени и отчестве любой иной персональной информацией (дата рождения, адрес, номер телефона и др.). Например, такие сочетания данных как Ф.И.О. и дата рождения или Ф.И.О. и номер телефона являются персональными данными, позволяющими идентифицировать лицо. А вот сочетание даты рождения и номера телефона персональными данными являться не могут, поскольку их принадлежность к определенному лицу не установлена, и идентифицировать по этим данным конкретное лицо невозможно.
Если в вашей организации накапливаются, хранятся или каким-то образом используются в работе персональные данные, хотите вы этого или нет, с точки зрения закона вы признаетесь оператором персональных данных.
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных [2].
1. Согласие физического лица на обработку персональных данных
Закон о персональных данных ввел новое и очень жесткое правило о том, что обработка персональных данных (фактически, любые операции с ними: получение, хранение, создание баз данных и т.п.) допускается только с согласия субъекта персональных данных (человека, данные которого обрабатываются).
Исключений из этого правила предусмотрено всего семь. Из них только одно применимо к обычной предпринимательской деятельности: обработка персональных данных возможна без получения согласия субъекта персональных данных, если такая обработка осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (например, договор с потребителем).
Законодатель, казалось бы, преследовал благую цель — повысить уровень защиты данных о частной жизни человека, привести правила делового оборота в соответствие с европейскими стандартами (федеральный закон принят во исполнение Конвенции Совета Европы «О защите личности в связи с автоматической обработкой персональных данных»).
Но к сожалению, введение такого жесткого правила одномоментно, без учета специфики различных сфер бизнеса, сильно усложнило жизнь предпринимателей. Например, это ощутимо ударило по рекрутинговому бизнесу: кадровые агентства теперь формально не имеют права пользоваться открытыми базами данных в сети Интернет, поскольку потенциальный работник не давал им согласия на обработку персональных данных.
Закон дополнительно ограничил возможность обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. Ведение базы номеров телефонов и электронных адресов клиентов с целью проведения рекламных рассылок теперь допускается только при условии предварительного согласия клиентов. Причем предполагается, что такое согласие потребителей отсутствует, если оператор не докажет, что оно было получено. Законом также предусмотрено, что клиент в любой момент по своему усмотрению может отозвать ранее данное согласие на обработку персональных данных. И оператор обязан по требованию клиента немедленно прекратить обработку его персональных данных [3].
По общему правилу, согласие физического лица на обработку персональных данных не должно быть письменным. (Но есть несколько исключений которые мы рассмотрим ниже). Однако на случай проверки госоргана или судебного спора с субъектом персональных данных предприниматель должен быть готов доказать наличие этого согласия. Поэтому во избежание претензий со стороны проверяющих органов или физических лиц, информация о которых обрабатывалась, рекомендуется получать такое согласие именно в письменной форме. Для этих целей можно использовать специальные формы документов, подписываемые субъектами персональных данных, а также включать соответствующие условия в трудовые договоры с работниками и в договоры с клиентами.
Обязательное письменное согласие от физического лица требуется для обработки так называемых специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Обязательное письменное согласие также требуется для опубликования информации о физическом лице (Ф.И.О., год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные). Это требование создает дополнительные ограничения для включения персональных данных в общедоступные источники (справочники, адресные книги, деловые базы данных и т.п.). Но даже при наличии письменного согласия сведения о субъекте персональных данных могут быть удалены из общедоступных источников по решению суда или иных уполномоченных государственных органов, а также по требованию самого субъекта персональных данных.
Еще одно принципиальное правило состоит в том, что оператор обязан использовать персональные данные только в соответствии с теми целями, для которых он их получил, использование информации в иных целях незаконно.
2. Безопасность обработки персональных данных
Любой оператор персональных данных теперь должен принимать «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» (п.1 ст.19 Федерального закона «О персональных данных»). Это требование является еще более сложным с организационной и финансовой точки зрения, чем рассмотренное выше.
Правительством РФ было принято Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных [4]. Во исполнение этого документа было разработано также Положение о методах и способах защиты информации в информационных системах персональных данных [5], которое устанавливает организационно-технические меры по защите информации в информационных системах.
При этом выбор и реализация конкретных методов и способов защиты информации в информационной системе определенной организации осуществляются на основе выявленных оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы [6].
Указанные нормативные акты предусматривают следующие организационные и технические мероприятия по защите персональных данных:
- Уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор [7]) о намерении осуществлять обработку персональных данных. На основании такого уведомления лицо включается в реестр операторов персональных данных, находящемся в общем доступе на сайте Роскомнадзора.
- Разработка документов, регламентирующих обработку персональных данных в организации: положение по обработке персональных данных, регламенты, положения по защите персональных данных. Эти документы должны быть направлены на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации.
- Контроль действий персонала в защищенных информационных системах.
- Определение порядка финансирования деятельности системы обеспечения информационной безопасности.
- Создание системы защиты персональных данных, в том числе, выполнение требований по инженерно-технической защите помещений.
- Повышение квалификации сотрудников в области защиты персональных данных.
- Использование технических, программных, криптографических и аппаратных средств для защиты информации от несанкционированного доступа, копирования, модификации или уничтожения.
Даже на первый взгляд описанная система выглядит громоздкой и чрезмерно усложненной. А отдельные ее положения являются откровенно не нужными ни государству, ни даже самим физическим лицам (субъектам персональных данных). Например, с учетом того, что обработку персональных данных осуществляет фактически любая организация, неясен смысл «письменного уведомления уполномоченного органа о своем намерении осуществлять обработку персональных данных», а также «включение в реестр операторов персональных данных». При этом ответственность за неуведомление уполномоченного органа законодательством не установлена.
Еще более абсурдна предусмотренная пп.4, 5 ст.21 Федерального закона «О персональных данных» обязанность оператора «уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных».
Вряд ли такая громоздкая и излишне бюрократизированная система охраны персональных данных в полном объеме будет работать даже на больших государственных предприятиях. А между тем в дополнение к многочисленным административным барьерам и налоговому бремени на бизнес возложили еще и обязанность по внедрению этой системы. Для ее реализации явно нужны специальные ресурсы и дополнительные финансовые вложения. Показательно, что рынок «консультантов в области защиты персональных данных» уже полон предложениями «обеспечить защиту персональных данных в соответствии со всеми требованиями закона». Естественно — за соответствующее вознаграждение.
3. Ответственность за нарушение требований законодательства о персональных данных
Установив требования к защите персональных данных, государство предусмотрело и ответственность за их несоблюдение. Правда, несмотря на оговорку в законе о возможности привлечения к «гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности» (ст.24 Федерального закона «О персональных данных»), фактически законодательно установлена только административная ответственность.
За нарушение «установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» статья 13.11 Кодекса РФ об административных правонарушениях предусматривает наказание в форме предупреждения или административного штрафа в размере от 500 до 1 000 рублей (для должностных лиц организации), от 5 000 до 10 000 рублей (для юридических лиц).
Столь небольшой размер ответственности, с одной стороны, и организационная сложность системы охраны персональных данных, с другой, позволяют прогнозировать, что ситуация будет развиваться в соответствии со старой отечественной традицией: «Суровость российских законов смягчается необязательностью их исполнения».
Но нельзя забывать о другом негативном для бизнеса аспекте: к длинному списку «уполномоченных государственных органов», которые вправе проверять бизнес, теперь нужно добавить еще один — Роскомнадзор. Именно это ведомство уполномочено осуществлять контроль за соблюдением законодательства о персональных данных. Поэтому проверок Роскомнадзора не избежать, которые, кстати, должны проводиться с соблюдением требований и ограничений, установленных Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26 декабря 2008 г. №294-ФЗ.
Административная ответственность за нарушение требований законодательства о персональных данных (ст.13.11 КоАП РФ)
Правонарушение: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Наказание: предупреждение или административный штраф от 500 до 1000 рублей (для должностных лиц организаций), от 5 000 до 10 000 рублей (для юридический лиц).
Статья опубликована в журнале "ИНТЕЛЛЕКТ-ПРЕСС" (№18/2011)
[1] Статья 3 Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ.
[3] Необходимо отметить, что СМС-рассылки и рекламные объявления с использованием иных средств связи («спам») без согласия абонента были запрещены законом и раньше (ст.18 Федерального закона «О рекламе» от 13 марта 2006 года №38-ФЗ).
[4] Утв. Постановлением Правительства РФ от 17 ноября 2007 г. №781.
[5] Утв. Приказом Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. №58.
[6] Класс информационной системы определяется в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом Федеральной службы по техническому и экспортному контролю России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №55/86/20.
[7] Полное наименование — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Похожие материалы
