Как защитить персональные данные: обязанность для работодателя

Насирджанов Самиджон

Союза налоговых консультантов Республики Таджикистан, Заместитель председателя

Наверное, УФС по надзору в сфере связи и информационных технологий Краснодарского края пошло слишком далеко интерпретируя закон по своему. В любом законе достаточно сложно предусмотреть сферу действия закона, круг субъектов к которым применяется закон, и меры углубленного толкования. Целью Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» является защита прав и свобод человека и гражданина при обработке его персональных данных, защита его семейной и личной жизни. Интерпретация цели закона подразумевает, что закон направлен на защиту прав человека. При нарушение прав человека последний имеет право обратиться в вышеуказанный орган о нарушении своих прав, последний в свою очередь как исполнительный орган по выше указанному закону, проводит проверку и в случае выявления нарушений или не соответствия выносит решение о привлечении субъекта к административной или иной судебной ответственности.

Исходя из описанной ситуации можно сделать вывод, что Управления Федеральной службы по надзору в сфере связи, информационных технологий г. Краснодара, проявляя личное рвение, превышает свои права во временном пространстве. То есть указанный орган по закону вправе запрашивать информацию у предприятий и организаций, имея только письменное основание (жалоба, заявление и пр.). Для профилактики и упреждения правонарушений данный орган вправе разрабатывать поднормативные правовые акты, рекомендации и иную разъяснительную информацию с целью предупреждения правонарушений. Исходя из вышеизложенного можно сделать вывод, что руководство УФС по НСС и ИТ Краснодарского края превышает свои должностные полномочия.

Васильев Андрей

ANV Business Process Outsourcing Services company (Краснодар), Бухгалтер

Согласно подп. 1 п. 3 ст. 23 Федерального закона «О персональных данных», уполномоченный орган по защите прав субъектов персональных данных имеет право запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию.

Согласно п. 1 Положения о федеральной службе по надзору в сфере связи, информационных технологий Федеральная служба по надзору в сфере связи, Роскомнадзор является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации. В том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Что касается штрафов. Статья 5.39 КоАП. Отказ в предоставлении информации.

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации – влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей. О том, почему таких запросов от Роскомнадзора не было замечено ранее, автору не известно.

На самом деле те же вещи происходят и с воинским учетом, с информированием служб занятости а так же при общении со многими контролирующиими организациями. Все они имеют не мало прав и пользуются ими не реже, чем налоговая, Роспотребнадхор и прочие.

Ярковой Андрей

Производственная компания, Руководитель юридической службы

Собственно, здесь никакой конспирологии нет, просто Министерство связи и массовых коммуникаций РФ, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций издали свежий приказ от 19.08.2011 г. № 706 «Об утверждении рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных». При этом существовал похожий документ в приказе этого ведомства от 16.07.2010 г. № 482.

Это обычная форма деятельности регуляторов, при которой сначала вводится в действие закон, а затем на основании отсылочных положений закона профильными ведомствами принимаются приказы, инструкции. Собственно, поэтому ранее мы не замечали активности регулятора.

Действительно, законом «О персональных данных» № 152-ФЗ в ст.22 предусмотрена обязанность операторов направлять уведомления о намерении производить обработку персональных данных. В ст. 3 даны определения терминов «обработка ПД» и «оператор», поэтому эта обязанность не нова.

Основные трудности в применении этого закона в неясности достаточности мер защиты персональных данных, сложности чтения нормативной базы, которая сегодня предлагает такой алгоритм: ст.19 закона отсылает к Постановлению Правительства от 17.11.2007 г. № 781, которое в свою очередь содержит ссылки на приказ от 05.02.2010 г. № 58 Федеральной службы по техническому и экспортному контролю и т.д.

Вряд ли в хитросплетениях законодательства под силу разобраться компании, не имеющей сильной ИТ-поддержки, однако закономерен вопрос о стоимости такой поддержки.

На мой взгляд, регулировать следовало бы, прежде всего рынок информации персональных данных. Если нет рынка, нет и причин для повышенных мер охраны персональных данных. Поясню на примере, часто нам приходят на мобильные телефоны SMS-рассылки, либо в почтовых ящиках мы обнаруживаем именные конверты с неактивированными кредитными картами. Это и есть пример, отсутствия охраны персональных данных, но я уверен, что с формальной точки зрения у нарушителей все в порядке: есть система защиты, отчетности и т.п. Вопрос «А кому это выгодно?» следует как всегда искать в коммерческой плоскости.

Кузнецова Наталья

ГК CONTRUST, Старший консультант

В Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» были внесены существенные изменения от 25 июля 2011 года. Многие статьи были дополнены. Большее внимание уделяется сохранению конфиденциальности информации. Если в предыдущей редакции закона № 152-ФЗ (от 04.06.2011 г.) в ст. 7 «Конфиденциальность персональных данных» говорилось о том, что Операторы «должны обеспечивать конфиденциальность», то в новой редакции говориться об обязанности:

Статья 7. Конфиденциальность персональных данных

(в ред. Федерального закона от 25.07.2011 г. № 261-ФЗ)

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Уведомление об обязанности представления данных о том, как на предприятиях обрабатываются (или будут обрабатываться) персональные данные, рассылаемые Управлением Федеральной службы по надзору в сфере связи, информационных технологий г.Краснодара обусловлено, скорее всего, изменениями в Главе 4 «Обязанности оператора». В ней расширен перечень обязанностей операторов в статье 18 «Обязанности оператора при сборе персональных данных» и внесены дополнения, а также добавилась Статья 18.1. «Меры, направленные на обеспечение выполнения оператором обязанностей». Согласно п.4 ст. 8.1 Оператор обязан представить документы и локальные акты и (или) иным образом подтвердить принятие мер, указанных в части 1 статьи 18.1, по запросу уполномоченного органа по защите прав субъектов персональных данных.

Согласно КоАП РФ в ст. 5.39. «Отказ в предоставлении информации» За неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации - увеличен административный штраф на должностных лиц – от одной тысячи до трех тысяч рублей. Дисциплинарная (ст. 192), уголовная (ст. 137) ответственности заменены на ответственность, предусмотренную законодательством РФ.

Получается, нарушение ст. 13.11. «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. А разглашение информации с ограниченным доступом (ст. 13.14) влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц – от четырех тысяч до пяти тысяч рублей.

Также в ст. 24 был добавлен п. 2, в котором предусматривается компенсация за моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом.

Стружков Антон

Юридический Центр "Глосса", Генеральный директор

Как видно из определения, которое дает п.2 ст.3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), под оператором обработки персональных данных фактически понимается любое предприятие. Так или иначе, в ходе своей деятельности любое предприятие вынуждено столкнуться с необходимостью обработки каких-либо персональных данных – без этого работу предприятия сложно представить.

Обязанность уведомить уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять обработку до начала такой обработки установлена ч.1 ст.22 ФЗ «О персональных данных». Однако, ч. 2 этой же статьи предусматривает ряд случаев-исключений, когда такое уведомление не требуется. Анализ перечня таких исключений показывает, что все они направлены на то, чтобы в обычной хозяйственной деятельности среднестатистического предприятия, чей бизнес не связан непосредственно со сбором и обработкой информации, не возникало лишних административных и бюрократических обременений. Так, например, обработка персональных данных в соответствии с трудовым законодательством не требует никакого уведомления.

Поэтому требования Управления Федеральной службы по надзору в сфере связи, информационных технологий Краснодарского края о направлении уведомлений всеми предприятиями Краснодарского края вряд ли можно считать легитимными.

Кроме того, следует отметить, что форма соответствующего уведомления утверждена Приказом Роскомнадзора от 19.08.2011 №706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных». Форма же, размещенная на сайте Управления Федеральной службы по надзору в сфере связи, информационных технологий Краснодарского края, по адресу http://23.rsoc.ru/forms/personal_data (после отправки формы в электронном виде система предлагает распечатать её, подписать и отправить в бумажном виде), с вышеуказанной формой не совпадает и требует заполнения гораздо большего количества полей, чем предусмотрено в установленном порядке.

Артамонова Любовь

ЗАО «Овионт Информ» , Эксперт по методике налогообложения

Изменения, в Федеральный закон № 152-ФЗ «О персональных данных», внесенные Законом от 25.07.2011 № 261-ФЗ, вступили в силу с 27 июля 2011 г. и распространяются на правоотношения, возникшие с 1 июля 2011. Соответственно с середины лета 2011 года активизировались территориальные отделения Роскомнадзора, которые ждут от операторов, т.е. лиц, организующих и/или осуществляющих обработку персональных данных, Уведомления об обработке (о намерении осуществлять обработку) персональных данных.

На основании ст. 13.14 КоАП РФ нарушение установленного законом 152-ФЗ порядка сбора, хранения, использования или распространения персональных данных влечет предупреждение или наложение административного штрафа: на граждан в размере от 300 до 500 руб., на должностных лиц – от 500 до 1000 руб. и на юридических лиц – от 5 до 10 тыс. руб.

Если же разглашение персональных данных осуществлено с целью недобросовестной конкуренции, то на основании ст. 14.33 КоАП оно влечет наложение административного штрафа на должностных лиц в размере от 12 до 20 тыс. руб. на юридических лиц – от 100 до 500 тыс. руб.

Скрябина Ольга

Аудиторско-консалтинговая группа «Градиент Альфа», Директор по персоналу

Статья 22 Закона №152-ФЗ обязывает организацию (Оператора) до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять такую обработку. По сути, будущий оператор должен встать на своеобразный учет. После получения уведомления уполномоченный орган вносит сведения об операторе в реестр операторов, осуществляющих обработку персональных данных.

Образец уведомления об обработке персональных данных в РФ утвержден Приказом Роскомнадзора от 16.07.2010 N 482 "Об утверждении образца формы уведомления об обработке персональных данных". Этот же нормативный правовой акт содержит рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Обязанность направления уведомления не действует в следующих случаях:

1. Оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. А именно, если организация обрабатывает только персональные данные своих сотрудников, уведомлять Роскомнадзор ей не потребуется. Но, в отношении лиц, которые работают в организации по договорам подряда или возмездного оказания услуг, воспользоваться данной нормой нельзя.

2. Оператор вправе не уведомлять Роскомнадзор, если он обрабатывает персональные данные, полученные в связи с заключением договора, стороной которого является субъект персональных данных. Но, воспользоваться этой нормой права оператор может лишь при выполнении ряда условий:

- персональные данные не должны распространяться;

- персональные данные не должны предоставляться третьим лицам без согласия субъекта персональных данных;

- персональные данные должны использоваться оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

В случае, если организация заключает с рядом работников договоры гражданско-правового характера и выполняет все вышеперечисленные условия, уведомлять уполномоченный орган также не потребуется.

3. Не требуется уведомлять Роскомнадзор, если оператор обрабатывает только общедоступные персональные данные, т.е. такие данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

4. В целях однократного пропуска субъекта персональных данных на территорию предприятия в целях выдачи гражданину пропуска для разового посещения организации, уведомлять уполномоченный орган также не нужно.

5. Также возможна обработка персональных данных без предварительного уведомления Роскомнадзора, если обработка осуществляется без использования средств автоматизации в соответствии с требованиями Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

В соответствии со ст. 19.7 КоАП РФ в случае непредставления или несвоевременного представления в Роскомнадзор уведомления об обработке персональных данных операторы персональных данных могут быть привлечены к административной ответственности.

Кроме того, нарушение законодательных требований в области персональных данных влечет за собой гражданскую, уголовную, административную и дисциплинарную ответственность.

Предусмотрена административная ответственность для операторов за следующие виды нарушений:

- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ);

- нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 КоАП РФ);

- использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (ст. 13.12 КоАП РФ);

- грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 КоАП РФ);

- занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с законом обязательно (обязательна) (ст. 13.13 КоАП РФ).

Николаев Дмитрий

Что толку это обсуждать, если когда покупаешь сим-карту, берут данные паспорта, а иногда делают ксерокопию. Из "мобильных" киосков персональные данные утекают гораздо быстрее, чем из документов работодателя.