Закон о персональных данных важен для всех организаций

комментарий

■ Наталья ПАСЕЧНЮК,начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий управления Роскомнадзора по Тюменской области, ХМАО-Югре и ЯНАО:

– С 1 января 2011 года будут начаты массовые проверки юридических лиц на предмет соблюдения закона. Информацию о характере, особенностях и основаниях проведения плановых и внеплановых проверок Рос­комнадзором содержит админист­ративный регламент проведения проверок. Он содержит перечень документов, которые могут быть запрошены, с текстом регламента можно ознакомиться на сайте www.rsoc.ru. В открытом доступе на сайте находится и план проведения плановых проверок на текущий календарный год.

Управление Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу – Югре и Ямало-Ненецкому автономному округу проводит работу по сбору уведомлений об обработке (о намерении осуществлять обработку) персональных данных от операторов, использующих в своей деятельности персональные данные граждан. В соответствии с Федеральным законом № 152-ФЗ оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных.

Форму бланка уведомления и рекомендации по его заполнению можно получить:

1) в управлении по адресу: г. Тюмень, ул. Республики, 12 (с 9.00 до 18.00, обеденный перерыв с 13.00 до 13.45), пятница – с 9.00 до 16.45, консультации по телефонам: 64-62-42, 45-34-80, 64-62-63;

2) на сайте управления: http://72.rsoc.ru (выбрать пункт (слева) – «Направления деятельности», далее – «Персональные данные»). Для заполнения электронной формы уведомления об обработке (о намерении осуществлять обработку) персональных данных необходимо перейти по следующему адресу: http://pd.rsoc.ru (выбрать пункт (вверху) – «Реестр операторов», далее (слева) – «Форма уведомления об обработке (о намерении осуществлять обработку) персональных данных», далее – «Перейти к заполнению формы электронного уведомления»).

К 1 января 2011 года каждая бизнес-структура должна обес­печить защиту персональных данных всех «сопричастных» физических лиц. Однако российский бизнес в большинстве своем оказался не готов к требованиям Федерального закона № 152 от 27.07.2006 года «О персональных данных». И не только не готов, но и не обладает информацией о том, что необходимо сделать для защиты персональных данных сотрудников и других физических лиц, соприкасающихся с его деятельностью. При этом 1 января 2011 года – предельный срок выполнения требований закона по приведению документальных и технических систем защиты тех самых персональных данных в надлежащий вид. Подробности темы – в этом материале.

• Персональные данные: что, зачем и почему?

Государство гарантирует защиту прав и свобод граждан при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну. Между тем обработку персональных данных граждан в процессе деятельности осуществляют все государственные и муниципальные органы, юридические и физические лица. Итак, что такое персональные данные и их обработка?

Персональные данные – это любая информация, относящаяся к физическому лицу (субъекту персональных данных), в том числе его фамилия, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Обработка персональных данных – это действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

27 июля 2006 года принят Закон № 152-ФЗ «О персональных данных», согласно которому руководители предприятий обязаны выполнить следующие требования закона: определить перечень и объем персональных данных (далее – ПДн) на предприятии (сотрудников, клиентов, партнеров, контрагентов и пр.), реализовать комплекс мероприятий по обеспечению защиты ПДн (организационные и технические меры, результат которых – создание защиты информационных систем) и подать уведомление в контролирующий орган о намерении обрабатывать персональные данные физических лиц. К 1 января 2011 года все государственные, муниципальные органы и коммерческие структуры должны привести в соответствующий вид свои информационные системы по защите ПДн. Невыполнение закона грозит нарушителям всеми видами ответственности, в том числе уголовной.

• Региональный бизнес: большинство пока вне закона

Исходя из анализа ответов тюменских топ-менеджеров, только часть бизнес-структур выполняет требования закона. Это те юридические лица, к которым 152-ФЗ предъявляет повышенные требования – медицинские и кредитно-финансовые учреждения, страховщики, операторы сотовой связи, компании туриндустрии, кадровые агентства, риелторские компании.

Как отметил представитель филиала одного из ведущих российских банков, «у нас уже несколько лет созданы и работают все необходимые информационные системы, все строго контролируется службой безопасности, вопросы возникают лишь в случае необходимости раскрытия информации третьим лицам, но мы и здесь действуем в рамках законодательства». Более того, например, операторы связи позитивно оценивают этот российский закон.

– На мой взгляд, это положительный драйвер для страны, верный шаг к международным стандартам, – отмечает директор Тюменского филиала ОАО «Вымпелком» Андрей Золотарев. – Объединившись с другими операторами «большой тройки», мы активно работали в прошлом году над созданием отраслевого подхода к защите персональных данных, в результате в компании разработаны все нормативные документы и применяются современные технические меры защиты.

При этом малый, средний и даже крупный бизнес других отраслей пока всерьез не задумывается о выполнении требований закона № 152-ФЗ, да и, собственно, мало знаком или не знаком совсем с темой защиты персональных данных. Какова цена этого незнания?

• Юристы рекомендуют

– За нарушение требований федерального закона предусмотрена гражданская, уголовная, административная, дисциплинарная и иная пре­дусмотренная законодательством Российской Федерации ответственность оператора персональных данных, – комментирует управляющий партнер коллегии адвокатов «ТЕСЛО» Сергей Чернецкий.

Правоприменительная практика в области защиты прав субъектов персональных данных в Тюмени и регионе только начала формироваться. За 2010 год, по данным управления Рос­комнадзора по Тюменской области, ХМАО-Югре и ЯНАО, составлено и направлено для рассмотрения по подведомственности мировым судьям 52 протокола об административных правонарушениях, квалифицируемых по ст. 19.7 КоАП РФ. Также вынесено три предписания об устранении выявленных нарушений законодательства.

Протоколы составлены в отношении лиц, которые несвоевременно представили или не представили в управление уведомление об обработке персональных данных либо информацию с указанием основания непредставления уведомления, пре­дусмотренного ст. 22 Федерального закона № 152-ФЗ. Непредставление запрашиваемых государственным органом сведений (информации), представление которых предусмот­рено законом и необходимо для осуществления этим органом его законной деятельности, образует состав административного правонарушения, предусмотренного ст. 19.7 КоАП РФ. Размеры административных штрафов, предусмотренные санкцией ст. 19.7 КоАП РФ, для юридических лиц составляют от трех до пяти тысяч рублей, для граждан – от ста до трехсот рублей; для должностных лиц – от трехсот до пятисот рублей.

Чаще всего в результате проведения контрольно-надзорных мероприятий в отношении операторов, осуществляющих обработку персональных данных, выявляется нарушение ст. 13.11 КоАП, то есть нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Оно влечет за собой предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1000 рублей; на юридических лиц – от 5000 до 10000 рублей. Материалы проверок в случае выявления нарушений направляются управлением в прокуратуру для возбуждения дела об административном правонарушении. Рассматривает дело суд.

По данным управления Роскомнадзора по Тюменской области, ХМАО-Югре и ЯНАО, прецедентов применения уголовного наказания за нарушение требований Федерального закона «О персональных данных» еще не зафиксировано. Однако согласно части 1 статьи 137 Уголовного кодекса Российской Федерации уголовная ответственность может наступить в случае незаконного сбора или распространения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространения этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Тюменские юристы рекомендуют бизнесу обратить внимание на закон, поскольку равнодушное отношение к нему влечет риски следующего характера: гражданские иски со стороны клиентов или работников; приостановление или прекращение обработки персональных данных в компании; привлечение компании и (или) ее руководителя к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности; приостановление действия или аннулирование лицензий на основной вид деятельности компании.

Адвокат Сергей Чернецкий считает, что юридическим лицам экономически выгоднее выполнить требования Закона «О персональных данных» и не подвергать бизнес возможным рискам.

Фото Евгения ШАРОВА

Автор статьи: Наталья ПОЛОВНИКОВА

Рубрика: Правопорядок