Вход
Что в имени тебе моём? (Б. Пупко, "Новая адвокатская газета", N 19, октябрь 2013 г.)
-
Что в имени тебе моём? (Б. Пупко, "Новая адвокатская газета", N 19, октябрь 2013 г.)
-
Основные характеристики
-
Обработка персональных данных
-
Обязанности оператора
-
Согласие на обработку персональных данных
-
Ответственность за нарушение законодательства о персональных данных
-
Советы, как привести деятельность компании в соответствие с требованиями законодательства
Что в имени тебе моём?
Характеристика действующего законодательства и рекомендации операторам.
Вопрос защиты персональных данных становится одним из ключевых в реализации эффективного информационного взаимодействия на межгосударственном уровне и в сфере развития международного бизнеса. Вместе с тем по степени правовой защищенности персональных данных Россия значительно отстает от Запада.
Отечественные законодатели учли опыт стран Евросоюза при разработке Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", изменив тем самым подход органов государственной власти, физических и юридических лиц к операциям, совершаемым с личной информацией.
В статье рассмотрены виды персональных данных, проанализирован процесс их обработки, подчеркнута необходимость фиксации согласия субъекта персональных данных на работу с его конфиденциальной информацией, более того - наличия его письменного волеизъявления. Особое внимание уделено ответственности за нарушение законодательства о персональных данных.
Статья содержит рекомендации относительно того, как привести в соответствие с законодательством деятельность лиц, которые являются операторами персональных данных. Эти рекомендации, разработанные автором на основе анализа нормативно-правовых актов и правоприменительной практики, будут полезны адвокатам и другим юристам, занимающимся правовым сопровождением таких лиц.
Основные характеристики
Персональные данные личности являются конфиденциальной информацией, и оборот ее в демократическом государстве должен осуществляться в рамках жесткой правовой процедуры. В настоящее время по уровню правовой защиты персональных данных Россия значительно отстает от развитых западных стран, в которых соответствующее законодательство было принято на несколько десятилетий раньше. Тем не менее развитие национального законодательства в этой сфере свидетельствует о важности проблемы.
Правовую основу регулирования отношений в сфере персональных данных составляют Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и принятые в соответствии с ним иные нормативные правовые акты. Действие законодательства о персональных данных распространяется на все государственные и муниципальные органы, юридические и физические лица, включая индивидуальных предпринимателей.
Принятие Закона о персональных данных повлияло на изменение подхода органов государственной власти, физических и юридических лиц к вопросам операций, совершаемых с личной информацией. Субъекты персональных данных осознали себя частью глобального информационного пространства, стали внимательнее относиться к вопросам информационной безопасности.
Органы государственной власти, бизнес-субъекты, организации социальной сферы были поставлены перед необходимостью защищать накапливаемые конфиденциальные сведения и минимизировать их количество, что, несомненно, повлияло в лучшую сторону на отношение зарубежных инвесторов к развитию бизнеса в России, ведь для иностранных субъектов крайне важно, чтобы их персональные данные защищались законодательством РФ на уровне признанных лидеров этой отрасли - стран ЕС.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъектом персональных данных может быть только физическое лицо (живущее или умершее).
Таким образом, персональные данные - это любая информация, с помощью которой лицо можно определить (идентифицировать), например: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, биометрическая информация, данные о супруге, детях, других членах семьи, индивидуальные средства коммуникации (номер телефона, адрес электронной почты, персональный сайт или иной личный ресурс в интернете - блог либо страница в социальной сети), сведения о событиях и обстоятельствах жизни лица, позволяющие его идентифицировать, в том числе аудио- и видеофайлы, и т.д.
Перечень сведений, которые могут быть отнесены к персональным данным, является открытым.
Различаются следующие группы персональных данных:
- персональные данные, сбор которых по общему правилу запрещен (специальные категории персональных данных);
- персональные данные, сбор которых осуществляется на основании предписания федеральных законов государственными и муниципальными органами (в том числе биометрические и специальные категории персональных данных);
- персональные данные, которые могут собираться с согласия субъекта персональных данных операторами (общедоступные персональные данные и другие персональные данные).
Особую группу персональных данных представляют собой специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. По общему правилу их обработка не допускается.
Биометрические персональные данные представляют собой особую и весьма специфическую группу персональных данных, характеризующих физиологические и биологические особенности человека. К ним относятся особенности строения частей тела, отпечатки пальцев, ладони, сетчатка глаза, анализ ДНК и т.п. Сбор и обработка биометрических персональных данных осуществляются, как правило, в рамках реализации полномочий государственных органов в области безопасности, оперативно-розыскной деятельности, уголовно-исполнительного производства, исполнения законодательства РФ о порядке въезда в страну и выезда из страны и о государственной службе.
Обработка персональных данных
Любые действия или операции с персональными данными называются обработкой персональных данных. Это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Закон о персональных данных лишь частично раскрывает понятие обработки персональных данных. Распространение персональных данных - это действия, направленные на раскрытие персональных данных неопределенному кругу лиц; предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных); уничтожение персональных данных - действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; обезличивание персональных данных - действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Подробное раскрытие содержания отдельных операций с персональными данными, охватываемых термином "обработка", является безусловным плюсом. Однако непонятно, почему не детализированы остальные операции (сбор, систематизация, накопление, хранение, уточнение, обновление), хотя при их осуществлении столь же возможны различные нарушения, поэтому раскрытие их содержания обеспечило бы дополнительные гарантии соблюдения законности.
Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, называются операторами персональных данных.
Обязанности оператора
Закон о персональных данных обязывает оператора принимать меры по защите персональных данных, но при этом перечень таких мер оператор вправе определять самостоятельно. Закон о персональных данных лишь называет примерный перечень мер. К ним, в частности, отнесены следующие меры:
- назначение оператором ответственного за организацию обработки персональных данных;
- издание оператором документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- ознакомление работников оператора с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников.
При этом оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
Оператор обязан представить указанные документы и локальные акты и (или) иным образом подтвердить принятие указанных мер по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Таким образом, можно выделить основные обязанности оператора:
- принятие локального нормативного акта, регулирующего вопросы защиты персональных данных;
- назначение работника, ответственного за организацию обработки персональных данных.
Кроме того, до начала обработки персональных данных оператор обязан направить уведомление в территориальное отделение Роскомнадзора по месту своего нахождения. Форма бланка и Рекомендации по его заполнению утверждены приказом Роскомнадзора от 19 августа 2011 г. N 706.
Оператор не обязан уведомлять Роскомнадзор в случаях, когда персональные данные:
- обрабатываются в соответствии с трудовым законодательством;
- получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- сделаны субъектом персональных данных общедоступными;
- включают только фамилии, имена и отчества субъектов персональных данных;
- необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- обрабатываются без использования средств автоматизации.
Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
Согласие на обработку персональных данных
По общему правилу обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.
Случаи, когда согласия субъекта персональных данных не требуется, предусмотрены в ст. 6 Закона о персональных данных. Это случаи, когда речь идет об обеспечении государственных или иных жизненно важных интересов самого субъекта персональных данных.
Обработка персональных данных осуществляется с письменного согласия в тех случаях, когда персональные данные касаются: расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, а также при трансграничной передаче персональных данных.
Обязанность представить доказательство получения согласия субъекта персональных данных на их обработку возлагается на оператора. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент.
Согласие в письменной форме субъекта персональных данных на их обработку должно включать данные, указанные в п. 4 ст. 9 Закона о персональных данных.
Ответственность за нарушение законодательства о персональных данных
В Законе о персональных данных статья об ответственности сформулирована лаконично: "Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность".
В настоящее время меры ответственности за нарушение законодательства о защите персональных данных "разбросаны" по различным отраслям законодательства - административному, уголовному, гражданскому, трудовому. Наиболее часто применяется административная ответственность за нарушение ст. 13.11 КоАП РФ "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)".
В качестве типичных можно выделить следующие нарушения: обработку персональных данных без согласия субъекта персональных данных; несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Закона о персональных данных; нарушение требований конфиденциальности при обработке персональных данных.
Ответственность наступает в виде предупреждения или наложения административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц - от 500 до 1000 рублей; на юридических лиц - от 5000 до 10 000 рублей.
Однако Министерство экономического развития РФ представило на своем сайте проект закона о внесении изменений в КоАП РФ, предполагающий многократное увеличение административных штрафов. Так, штраф за нарушение установленного законодательством РФ порядка обработки персональных данных увеличится для граждан до 5000 рублей; для должностных лиц - до 50 000 рублей; для юридических лиц - до 500 000 рублей; кроме того, вводится штраф для индивидуальных предпринимателей в размере до 50 000 рублей.
Впервые устанавливается наказание для лиц, ранее подвергнутых штрафу за аналогичное правонарушение: наложение штрафа для граждан в размере 5000 рублей; для должностных лиц - в размере 50 000 рублей или дисквалификация на срок до 1 года; для индивидуальных предпринимателей - в размере 50 000 тысяч рублей; для юридических лиц - до 1 000 000 рублей.
Моральный вред, причиненный субъекту персональных данных, подлежит возмещению в соответствии с ГК РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и убытков, понесенных субъектом персональных данных.
Кроме того, виновные в нарушении требований законодательства несут дисциплинарную и уголовную ответственность. Однако привлечение к уголовной ответственности является крайне редким явлением.
Советы, как привести деятельность компании в соответствие с требованиями законодательства
Сотрудники Роскомнадзора уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой - эти требования "размыты" по многочисленным нормативным актам, поэтому операторам бывает довольно сложно в них сориентироваться.
Большинство замечаний Роскомнадзора относится к тому, что необходимые документы, касающиеся персональных данных, часто носят формальный характер, повторяя содержание статей Закона о персональных данных. В разъяснениях Роскомнадзор выделяет типичные ошибки, которые допускают операторы.
1. Не указываются конкретные нормы закона, на основании которых оператор ведет обработку персональных данных. Роскомнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности оператора и касающихся обработки персональных данных.
2. Под целью обработки персональных данных операторы ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и др.). Однако следует назвать конкретную цель обработки персональных данных.
3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня операторы пишут фразы "и др.", "и т.п.", "другая информация". Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть закрытым.
4. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Однако оператору следует указать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.
5. Не указываются конкретные меры, которые оператор обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности.
6. Отсутствует список лиц, которые имеют доступ к персональным данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом оператора.
Это наиболее типичные ошибки операторов, хотя Роскомнадзор отмечает и иные. Например, отсутствие листа ознакомления работников оператора под личную подпись с Положением о защите персональных данных, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.
Б. Пупко,
юрист АБ "ВЕГАС ЛЕКС"
"Новая адвокатская газета", N 19, октябрь 2013 г.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Газета "Новая адвокатская газета"
"Новая адвокатская газета" - корпоративное издание нового типа, появление которого обусловлено коренными переменами, произошедшими в адвокатском сообществе России после принятия Федерального закона "Об адвокатской деятельности и адвокатуре в Российской Федерации". Являясь органом Федеральной палаты адвокатов РФ, издание не преследует цель выступать в роли указующего или направляющего перста, представляя интересы той или иной части корпорации или группы лиц, а позиционирует себя как выразитель интересов всей российской адвокатуры. Принципиальное значение при этом имеет закрепленная Законом организация адвокатского сообщества, основанная на обязательном членстве каждого адвоката в адвокатской палате субъекта Федерации, являющейся в свою очередь членом ФПА РФ. Рассматривая в качестве высших ценностей адвокатского сообщества заложенные в Законе принципы независимости, самоуправления, корпоративности и равноправия адвокатов, газета оценивает события государственной и общественной жизни и действия тех или иных лиц с точки зрения соответствия данным принципам. Выступая органом корпорации юристов-профессионалов, газета рассматривает профессионализм как главное качество адвоката и уделяет первостепенное внимание проблемам учебы и практического опыта коллег в различных отраслях права.
Основными направлениями издания являются:
- оперативное информирование о деятельности и решениях ФПА;
- освещение взаимоотношений адвокатуры с государственными и общественными институтами;
- освещение корпоративной жизни адвокатских палат;
- рассказ о созданных адвокатами прецедентах в национальной и международной судебной практике, публикация наиболее интересных решений судов;
- ответы на вопросы, волнующие адвокатов и адвокатские образования;
- взаимодействие с информационными изданиями адвокатских палат;
- поддержка общественно значимых инициатив адвокатов и адвокатских образований;
- информирование о наиболее важных событиях из жизни иностранной адвокатуры, о сотрудничестве российских и зарубежных адвокатских образований и адвокатов.