Авторизация | Регистрация

Закон о защите персональных данных: еще год неизвестности

, Категория - Кадровый менеджмент

Закон о защите персональных данных: еще год неизвестности

Государственная Дума дала годовую отсрочку организациям (до 1 января 2011 г.) для приведения информационных систем персональных данных, созданных до 1 января 2010 г., в соответствие с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Данные изменения были внесены Федеральным законом от 27.12.2009 № 363-ФЗ. Формальная причина – коммерческим компаниям нужно больше времени на подготовку, реальная – у бюджетных организаций нет средств на то, чтобы соблюсти все требования нового регламента. Однако дорабатывать противоречивый закон не планируется, и контролирующие органы уже готовятся проводить проверки его соблюдения.

Андрей Попов, Екатеринбург
это надо знать
Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Россия присо­единилась к европейским странам со следующими «оговорками»
Конвенцию к персональным данным: а) обрабатываемым физическими лицами исключительно для личных и семейных нужд; б) отнесенным к государственной тайне в порядке, установленном законодательством РФ о государственной тайне;
Российская Федерация заявляет, что будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
Российская Федерация заявляет, что оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка
История Федерального закона «О персональных данных» (далее – Закон) началась вовсе не в стенах Государственной Думы. Сама идея зародилась еще в далеком 1981 году, когда из необходимости обезопасить личную и финансовую информацию граждан Совет Европы принял Конвенцию «О защите физических лиц при автоматизированной обработке персональных данных». Сложно реализуемой она была уже в момент принятия. А с течением времени технологические возможности обойти ее только увеличивались, что вынуждало вносить различные дополнения и уточнения как в отдельных государствах, так и на уровне общеевропейских директив. Однако эти меры не очень помогали тогда, не помогают и сейчас.
В нашей стране этот факт предпочли не заметить, очевидно, действуя в интересах установления «взаимовыгодных отношений» с европейскими партнерами (к примеру, согласно Директиве 95/46/ЕС Евросоюза персональные данные могут передаваться только в страны, обеспечивающие такой же уровень защиты, как и в Европе). Поэтому в 2005 г. Россия ратифицировала безнадежно устаревшую Конвенцию. А вскоре был принят упомянутый закон. Иными словами, для отечественной практики использования персональных данных начала XXI в. ввели регламент, соответствующий законодательной и технологической реальности рубежа 1970-х – 1980-х гг. И вот уже более трех лет его пытаются заставить работать.
Опасности Закона
Суть Закона состоит в том, что персональные данные (ПД) человека (субъекта ПД), отныне считаются его собственностью и не могут храниться и использоваться организацией (оператором ПД) без его согласия и соблюдения определенных условий. Каждый имеет право знать, хранятся ли у той или иной организации его данные, как они хранятся, может потребовать ознакомления с ними, уточнить, блокировать или даже уничтожить их.
Если у организации с этим субъектом есть какие-то договорные отношения, то они уже предполагают разрешение с его стороны на хранение и использование ПД. Если нет, то для хранения и использования таких данных требуется его отдельное письменное (оформленное на бумаге!) разрешение. Более того, организация, хранящая и использующая ПД (оператор ПД), должна обеспечить особые условия хранения и использования данных (ст. 19 Закона).
Организации-оператору желательно за­ранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты ПД, содержащихся в ее информационных системах.
словарь
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 Закона)

Закон также предполагает, что субъект ПД может запросить у оператора информацию относительно его персональных данных. Статья 20 Закона устанавливает для операторов очень жесткие сроки исполнения таких запросов:
предоставление информации о наличии ПД субъекта в течение 10 рабочих дней с даты получения запроса;
мотивированный отказ в течение 7 рабочих дней.
В ряде случаев, согласно ст. 21 Закона, оператор обязан в течение 3 рабочих дней уничтожить ПД, а именно:
при невозможности устранения допущенных нарушений при обработке данных;
в случае достижения цели обработки ПД;
в случае отзыва субъектом согласия на обработку его ПД.
Операторам придется либо накапливать доказательства того, что собранные ими данные взяты из общедоступных источников (п. 3 ст. 9 Закона), либо получать согласие от субъекта ПД и затем хранить этот документ на тот случай, если он вдруг решит подать на оператора в суд за нарушение его прав.
это надо знать
Ответственность за нарушение норм Закона
Статья 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.
Административная ответственность за нарушение настоящего Федерального закона наступает:
за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих пра­ва и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации, что влечет наложение административного штрафа на должностных лиц в размере от 500 до 1000 рублей (ст. 5.39 КоАП РФ);
нарушение установленного За­ко­ном порядка сбора, хранения, использования или распространения информации о гражданах (ПД), что влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей, на должностных лиц – от 500 до 100 рублей, на юридических лиц – от 5000 до 10 000 рублей (ст. 13.11 КоАП РФ);
разглашение информации, доступ к которой ограничен Феде­ральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), ли­цом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, если разглашение информации влечет уголовную ответственность, что наказывается наложением административного штрафа на граждан в размере от 500 до 1000 рублей, на должностных лиц – от 4000 до 5000 рублей (ст. 13.14 КоАП).
Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность (ст. 137, 272 УК РФ).
Также за разглашение персональных данных работника предусмотрена дисциплинарная ответственность (ст. 192 ТК РФ), в результате чего разгласивший информацию о ПД другого работника может быть уволен по инициативе работодателя в соответствии с подпунктом «в» п. 6 ч. 1 ст. 81 ТК РФ.
Существуют трудности и с использованием пресловутых открытых источников. Статья 8 Закона, определяя, что подразумевается под общедоступными источниками ПД (справочники, адресные книги и т.д.), подчеркивает, что, в свою очередь, персональная информация (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и пр.) может включаться туда только с письменного согласия субъекта. Более того, информация о субъекте ПД может быть в любое время исключена из общедоступных источников таких данных по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов. И если какая-либо организация воспользовалась общедоступными источниками ПД при сборе информации, она должна задокументировать, откуда были получены эти сведения, и убедиться, что у «источника» имеются требуемые законодательством письменные согласия. Следовательно, чтобы защитить себя, оператору придется запрашивать официальное подтверждение по каждому гражданину. Значит, прежде чем обратиться к субъекту за согласием, оператору необходимо разработать специальный бланк документа, который бы содержал все необходимые сведения.
Очень опасны заблуждения относительно того, в какой ситуации нарушение Закона может повлечь за собой наказание. Многие сотрудники отделов персонала полагают, что собрать с сотрудников формальные разрешения на работу с их персональными данными означает полностью себя обезопасить. Однако согласие на хранение и использование ПД, данное работником в рамках трудового договора, еще не защищает работодателя от проверок условий хранения этих ПД. Работник может подать на работодателя жалобу, для которой достаточно простого подозрения (!) (ст. 17 Закона) в том, что его ПД хранятся с нарушениями. В ст. 17 есть еще и пункт 2, определяющий компенсацию морального вреда субъекту ПД в случае доказанного нарушения условий хранения информации.
Неудивительно, что федеральные операторы баз данных давно проявили активность относительно реализации данного Закона. Правда, результатами этой самой «деятельности» (если они вообще имеются) делиться пока отказываются. Юрий Донников, руководитель юридического отдела портала HeadHunter.ru, заявляет: «Сейчас мы проводим работы по приведению в соответствие нашего бизнеса этому закону. До согласования с регуляторами мы не будем раскрывать принимаемые меры. Однако хотел бы отметить, что влияние закона оценивать очень сложно ввиду несовершенства как самого закона, так и подзаконных технических актов. Даже большинство подрядчиков, которые выполняют работы в этой сфере, толком не знают всего. Поэтому от комментариев воздержусь».
Разрешается вести обработку ПД без уведомления уполномоченного органа – Роскомнадзора (п. 2 ст. 22 Закона) Не требуется получения согласия субъекта ПД (п. 2 ст. 6 Закона)
при наличии трудовых отношений;
при заключении договора, стороной которого является субъект ПД, и если информация о субъекте используется оператором исключительно для исполнения указанного договора;
если ПД относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
если ПД являются общедоступными;
если ПД включают в себя только фамилии, имена и отчества субъектов;
если ПД необходимы в целях однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
если ПД включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
если ПД обрабатываются без использования средств автоматизации на основании федерального законодательства;
в целях исполнения договора с субъектом ПД;
в статистических или научных целях при условии обязательного обезличивания ПД;
для защиты жизни, здоровья субъекта ПД;
для доставки почтовых отправлений организациями почтовой связи;
в ходе профессиональной деятельности журналиста, ученого и т.д. при условии, что при этом не нарушаются права и свободы субъекта ПД;
если данные подлежат опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности;
в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (п. 2 ст. 9 Закона)

Лица контролирующих
О факте хранения и использования ПД следует поставить в известность государство. Для этого необходимо подать в территориальное управление Роскомнадзора уведомление с подписью уполномоченного лица или по электронной почте в форме электронного документа, подписанного электронной цифровой подписью. Задача управления – проверять исполнение Закона либо по своей инициативе (плановые проверки), либо на основании жалоб-обращений граждан (внеплановые). Оно также наделено правами принимать меры по прекращению обработки ПД, осуществляемой с нарушением, обращаться в суд с исковыми заявлениями в защиту прав субъектов ПД, направлять в правоохранительные органы материалы для возбуждения уголовных дел.
Кроме Роскомнадзора к контролю привлечены ФСТЭК и ФСБ. Обязанности между ними разделены примерно следующим образом: ФСТЭК проверяет представление по запросу отчета по лицензируемым видам деятельности, представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, представление копий аттестатов соответствия на защищаемые помещения по требованиям безопасности; проводит явочную проверку выполнения организационных мер на объектах лицензируемых видов деятельности. За ФСБ практически вся та же самая работа, но только в более узкой сфере, где используются системы криптографической защиты информации (шифрование). Все три ведомства практикуют проведение совместных проверок, однако основные функции контроля выполняет все же Роскомнадзор.
Плановые и внеплановые проверки
Пока трудно понять, насколько активно Роскомнадзор реализовывал свой потенциал в 2009 г.: итоги работы еще не сформулированы. Приходится оперировать данными за 2008 г.
За этот период были проведены 76 мероприятий по контролю и надзору (36 плановых и 40 внеплановых). По результатам выписаны 19 предписаний об устранении выявленных нарушений, 5 материалов направлены в органы прокуратуры, 11 – в судебные органы – в основном по ст. 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах – ПД) и ст. 19.7 КоАП РФ (непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде соответственно).
Что касается обращений физлиц, то всего таковых зафиксировано 146. Из них более трети отправлены на рассмотрение в правоохранительные органы, прокуратуру или суд. Правда, нельзя сказать, чтобы Фемида оказалась особенно строга и активна – почти половина все судебных дел затянулись и перешли в 2009 г. (в отчетах их результаты не фигурируют), число проигранных компаниями дел примерно равно числу выигранных. Чаще всего граждане жалуются на нарушения гл. 2 ст. 5 Закона «Принципы обработки персональных данных»; ст. 6 Закона «Условия обработки персональных данных» и ст. 9 Закона «Согласие субъекта персональных данных на обработку своих персональных данных». «Лидеры» среди нарушителей: кредитные учреждения – 34, жилищно-коммунальные организации – 21, операторы связи – 10, страховые компании – 9.
кстати…
Для всех информационных ресурсов организации, содержащих ПД, необходимо:
определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по собственной инициативе и т.д.);
уточнить и зафиксировать состав ПД и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
установить сроки хранения и сроки обработки данных в каждом информационном ресурсе;
определить способы обработки;
определить лиц, имеющих доступ к данным;
сформулировать юридические последствия;
определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.

Наказать могут разнообразно: штрафы (от 10 до 500 тысяч рублей, в зависимости от основания), дисквалификация должностного лица на срок до 3 лет, представление о приостановлении лицензий на основной вид деятельности и даже арест ответственных лиц сроком до полугода по ст. 137 УК.
Как видно, опыт контрольно-надзорной работы уже накапливается. В конце лета 2009 г. Роскомнадзор утвердил новый план проверок на 2010 г. Это документ на полторы тысячи страниц для всей страны, который размещен для открытого доступа на сайте ведомства.
Предполагаются и внеплановые проверки. Их процедуры в подробностях описаны в таком не слишком афишируемом документе, как Административный регламент проведения проверок Роском­надзором соответствия обработки персональных данных, утв. Приказом руководителя ведомства от 01.12.2009 № 630. Небольшой по объему и очень содержательный, он включает в себя план-схемы действий проверяющих, указаны в нем и сроки и условия работы в рамках контрольных мероприятий.
Перенос сроков
В конце 2009 г. отечественные парламентарии неожиданно осознали, что «страна все еще не готова к полноценной защите персональных данных». Поэтому выпустили Федеральный закон от 27.12.2009 № 363-ФЗ, по которому операторы ПД должны привести свои системы обработки данных в соответствие с Законом до 1 января 2011 г., т.е. на год позднее, чем предполагалось ранее. Как признаются депутаты, попытки реализации поставленных требований до 1 января 2010 «выявили целый ряд трудностей».
Примечательно, что одной из главных причин переноса сроков называют нехватку сил и средств на приведение информационных баз данных в соответствие с Законом у самих же бюджетных организаций. Комментирует депутат Государственной Думы Владислав Резник: «Это потребует резкого увеличения расходов бюджетов всех уровней, которое не планировалось (!) и сложно осуществимо в условиях кризиса». Чего же можно требовать от коммерческих компаний, если даже сами власти, приняв Закон еще в 2006 г., не запланировали
мнение эксперта
Екатерина РОЩУПКИНА, эксперт Национального союза кадровиков

Изменения, внесенные Федеральным законом от 27.12.2009 № 363-ФЗ в ст. 19 и ст. 25 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных дан­ных» (далее – Закон), могут вызвать беспокойство среди сотрудников кадровых служб организаций. Наверно, не один кадровик после прочтения новой редакции, особенно устрашающей фразы о сроках приведения информационных систем в соответствие с законом, уже задавался вопросом: «А что нашей кадровой службе надо сделать для соблюдения норм закона? Кого, когда и каким образом об этом уведомлять?» Опасения небеспочвенны. Практически каждый день кадровики при оформлении трудовых отношений получают персональные данные от работников, передают их третьим лицам (например, в различного рода фонды, военкоматы и т.?п.). Однако этот закон, определяющий порядок получения, обработки, хранения и передачи персональных данных третьим лицам, а также само понятие и состав персональных данных работников – вовсе не новинка. Каждый кадровик обязан быть хорошо знаком с нормами и положениями, изложенными в гл. 14 Трудового кодекса, посвященной защите персональных данных работника, согласно которой порядок их хранения и использования устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. Кроме того, в каждой организации должен быть документ, устанавливающий порядок обработки персональных данных работника, с которым сотрудники в обязательном порядке знакомятся под роспись (п. 8 ст. 86 ТК РФ). Также уже с введением в действие ТК РФ для лиц, ви­новных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, статьей 90 ТК РФ предусмотрена ответственность, в том числе и уголовная. Следовательно, основные положения Закона давно известны кадровикам. Так относятся ли кадровые службы к операторам, обрабатывающим персональные данные? Так как, согласно ст. 3 Закона, оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных, то ответ очевиден. Но надо ли кадровикам при этом уведомлять уполномоченный орган – Роскомнадзор? На мой взгляд, ответ на этот вопрос содержится в самом Законе, в соответствии с п. 2 ст. 22 которого оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Кроме того, оператор может обрабатывать персональные данные, если это происходит на основании федерального закона, без получения согласия субъекта персональных данных (п. 2 ст. 6 Закона), а значит, все, что касается передачи информации в пенсионный фонд, налоговые службы, военкоматы, Фонд социального страхования (т.е. по сути третьим лицам), осуществляется на основании различного рода и вида федеральных законов (например, согласно трудовому договору учреждение обязано начислять заработную плату, производя при этом за конкретного работника уплату НДФЛ (являясь налоговым агентом), перечислять страховые взносы в ПФР и другие фонды). Следовательно, если организация работает исключительно с персональными данными сотрудников и передает их третьим лицам только в соответствии с федеральными законами РФ, то уведомлять территориальные органы Роскомнадзора, по моему мнению, нет необходимости. В случае же, когда информация о сотрудниках передается третьим лицам (например, в банк для оформления зарплатных карточек), наряду с ознакомлением при поступлении на работу с действующим в организации положением о защите персональных данных работника необходимо взять у него письменное заявление-согласие. Однако если организация работает не только с персональными данными своих работников, но и с другой информацией (например, занимается оформлением и обработкой заказов по каталогам одежды, размещением информации о соискателях на сайтах, посвященных поиску работы и пр.), т.е. субъекты, предоставляющие персональные данные, являются клиентами компании, то уведомить органы Роскомнадзора, а также заручится согласием самих клиентов на обработку необходимо. В любом случае, по всем вопросам можно получить консультацию в территориальных отделениях Роскомнадзора (информация представлена на сайте www.rsoc.ru).

Похожие новости:

Требования к защите персональных данных при их обработке Надо исполнять закон о персональных данных правильно Работаем с персональными данными Закон о персональных данных Изменения в Закон о персональных данных вступят в силу через год


Имя:*
E-Mail:
Комментарий:
Информация
Уважаемые гости нашего портала! Для получения возможности оставлять комментарии к публикациям, а так же доступа к другим функциям, реализуемым на портале, предлагаем пройти процедуру регистрации. Это займет у Вас совсем немного времени, но зато вы познакомитесь с Правилами поведения, а затем получите полноценный доступ ко всем возможностям и привилегиям, которые имеют зарегистрированные пользователи.