О персональных данных

25 ноября 2005 года Государственная Дума РФ ратифицировала "Конвенцию Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных". А уже в июле 2006 года был принят Федеральный закон №152-ФЗ "О персональных данных" (далее по тексту – Закон «О персональный данных»), который вступил в силу в январе 2007 года. 

Поводом для присоединения Российской Федерации к указанной конвенции и издании нового Федерального закона послужила необходимость устранения барьеров в осуществлении международной торговли со странами Евросоюза. Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации.

Однако указанное нисколько не умаляет значимость норм Закона на территории РФ. Новые требования к обеспечению безопасности персональных данных касаются практически всех. Ведь к информационным системам персональных данных могут быть отнесены, кроме кадровых и бухгалтерских, call-центры, автоматизированные системы бюро пропусков и проч. Даже если секретарь просто набирает у себя в компьютере список сотрудников с телефонами и датами рождений – эта информация должна быть защищена.

Основными принципами, положенными в основу Закона являются:

  • Необходимость получения согласия субъекта персональных данных на их обработку;
  • Обязательность уведомления оператором, планирующим начать обработку персональных данных, уполномоченного органа по защите прав субъектов персональных данных о начале обработки;
  • Целевое использование оператором персональных данных;
  • Осуществление мер, направленных на обеспечение конфиденциальности персональных данных. Характер и количества таких мер зависит от класса информационной системы обработки персональных данных конкретного оператора.

Согласно Закону о персональных данных каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.

Естественно, за неисполнение требований Закона о персональных данных предусмотрена гражданская, уголовная, административная и дисциплинарная ответственность. Так, на основания ст. 13.11 Кодекса об административных правонарушениях РФ административная ответственность наступает за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Санкцией является наложение штрафа в размере от трехсот до десяти тысяч рублей.

Уголовная ответственность может наступить за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ). За совершение указанного преступления может быть назначено наказание в виде штрафа в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательные работы, исправительные работы либо арест, либо лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Вышеуказанное еще раз подчеркивает необходимость организаций всех форм собственности в проведении классификации информационных систем персональных данных, направления в уполномоченный орган уведомления о начале обработки персональных данных, в предварительном получении согласия субъекта персональных данных на обработку его данных и выполнении других требований Федерального закона РФ «О персональных данных».
Кампания «Правовой консалтинг», имея опыт в проведении необходимых мероприятий по классификации информационных систем персональных данных крупных учреждений и в осуществлении регистрации операторов в государственном реестре персональных данных, предлагает представителям бизнес-сообщества привести систему обработки персональных данных работников и контрагентов на своих предприятиях в соответствие с требованиями Федерального закона «О персональных данных».