8oC
С 27 июля 2006 года в России существует Федеральный закон № 152-ФЗ «О персональных данных», но до 1 января 2010 года он находился в «спящем» состоянии и давал отсрочку операторам персональных данных по приведению в соответствие с требованиями закона информационных систем персональных данных. Теперь же, в течение 2010 года, до 1 января 2011 года, все организации, которые занимаются сбором и обработкой персональных данных, должны пройти обязательную регистрацию. Но уже сейчас у них возникают вопросы, связанные с действием данного закона. Об особенностях его реализации в интервью ИА KURSKCiTY рассказал руководитель Управления Роскомнадзора по Курской области Анатолий Бабичев.
- Анатолий Владимирович, чем было обусловлено принятие данного закона?
- В 1981 году наша страна подписала международную «Конвенцию о защите физических лиц в отношении автоматизированной обработки данных личного характера» ETS №108. Ее цель – обеспечение на территории каждой стороны-участницы Конвенции для каждого физического лица независимо от его гражданства или местожительства уважения его прав и основных свобод, и в частности, его права на неприкосновенность частной жизни. Конституцией РФ провозглашено право каждого на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 23 и ч. 1 ст. 24 Конституции РФ). Категория «персональные данные» представляет собой те информационные данные об индивиде или их комплекс, с помощью которых этот индивид может быть идентифицирован. Таким образом, Конституцией РФ и федеральным законодательством информация о частной жизни лица, в том числе персональные данные, отнесены к информации, охраняемой законом, доступ к которой без согласия лица, к которому она относится, не допускается. Другими словами, информация о частной жизни лица, в том числе персональные данные, признаются конфиденциальными.
- Кто согласно закону попадает под определение «оператор» персональных данных?
- Оператор - это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Проще говоря, это банки, управляющие компании, туристические и страховые организации, операторы сотовой связи и даже поликлиники и школы.
- Но ведь и у каждого работодателя есть база персональных данных сотрудников. Им тоже необходимо уведомлять Роскомнадзор?
- Допускает возможность осуществлять обработку персональных данных без предварительного уведомления об этом уполномоченного органа по защите прав субъектов персональных данных, если эти данные не передаются третьим лицам. Но это теоретически, а практически персональные данные передаются в страховые компании, пенсионный фонд, налоговые органы и т.д., то есть уведомлять необходимо. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу ФЗ и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить УВЕДОМЛЕНИЕ в уполномоченный орган по защите прав субъектов персональных данных.
- Какова процедура уведомления - что необходимо сделать операторам, в какие сроки, какова стоимость услуги?
- Согласно ст.22 ч.3 (152-ФЗ), уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
В свою очередь, уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 статьи 22, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
При этом на оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
- Юридические лица уведомили Роскомнадзор. Дальше какие действия должны последовать со стороны сотрудников Управления и непосредственно самих юрлиц?
- Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в Реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
- Какие санкции предусмотрены за нарушение данного законы?
- За неисполнение возложенных на участников соответствующих правоотношений в области обработки персональных данных последние могут быть привлечены к следующим видам ответственности: административной, гражданско-правовой, уголовной и дисциплинарной.
Например, Кодекс об административных правонарушениях устанавливает административную ответственность за шесть самостоятельных составов правонарушений, которые напрямую связаны с деятельностью по обработке персональных данных:
- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда (ст. 13.11 КоАП РФ);
- использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой (п. 2 ст. 13.12 КоАП РФ).
Справка ИА KURSKCiTY
Под определение «персональные данные» подпадает любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Любые действия, которые кто-либо проделывает с такими данными, называются «обработкой персональных данных»: это сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.
ЦФО, Курск
