В России формируется реестр операторов по обработке персональных данных

С развитием информационных технологий сведения о человеке становятся все доступнее, поэтому нуждаются в самой серьезной защите. О том, кто обязан защищать персональные данные и какую ответственность за это несет, рассказывает руководитель Управления Роскомнадзора по Томской облас ти Дмитрий Михайлов.

– Дмитрий Владимирович, для начала поясните, пожалуйста, что такое персональные данные?

– Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Именно поэтому защита персональных данных гражданина является одной из важнейших задач системы обеспечения информационной безопасности в организации любого масштаба и любой организационно-правовой формы. Нарушение режима конфиденциальности имеющихся в организации данных клиентов, сотрудников, обслуживаемых граждан является само по себе серьезнейшим инцидентом информационной безопасности, создающим многочисленные риски. В первую очередь, это касается операторов, осуществляющих обработку биометрических и специальных категорий персональных данных граждан.

– Кто согласно законодательству является оператором по обработке персональных данных?

– Согласно Федеральному закону от 26.07.2006 № 152-ФЗ «О персональных данных» операторами по обработке персональных данных являются государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных.

Реестр операторов

– Какое количество операторов персональных данных насчитывается в России?

– По прогнозным оценкам, в целом по Российской Федерации насчитывается примерно 2,5 млн операторов персональных данных, подлежащих регистрации в Реестре операторов персональных данных. В Томской области число операторов исчисляется тысячами, однако далеко не все из них подали в Управление Рос­комнадзора по Томской области уведомление об обработке персональных данных, что делает невозможным их включение в Реестр операторов персональных данных. Следует отметить, что информация, предоставляемая оператором на этапе регистрации, позволяет оценить соответствие принимаемых им мер по защите информации применительно к категориям обрабатываемых персональных данных.

– Бытует мнение, что не следует направлять уведомление в Управление Роскомнадзора по Томской области, так как после этого оператора обязательно проверят и накажут.

– Управление Роскомнадзора по Томской области обладает доступными и законными способами установить факт активности оператора персональных данных и сделать вывод о том, что такое лицо является оператором по обработке персональных данных. Отсутствие уведомления в этом случае только усугубит положение оператора, не направившего уведомление в случаях, предусмотренных Федеральным законом от 26.07.2006 № 152-ФЗ «О персональных данных». Отсутствие уведомления от оператора определяется как административное правонарушение, предусмотренное ст. 19.7 КоАП РФ. Задача сбора уведомлений – не тотальный контроль операторов со стороны государства, а подготовка реестра операторов в целях упорядочения обработки персональных данных и в конечном счете надлежащая защита прав субъектов персональных данных. Форму уведомления можно найти на сайте Управления Роскомнадзора по Томской области http://70.rsoc.ru.

Требования безопасности

– Какие изменения внесены в текст закона 25.07.2011?

– Во-первых, введено понятие «автоматизированная обработка персональных данных». Если ранее требование обеспечения безопасности персональных данных предъявлялось к информационным системам, то теперь оно распространяется на любую обработку персональных данных с использованием средств вычислительной техники, в том числе средств защиты информации.

Во-вторых, теперь на законодательном уровне предусмотрено назначение лица, ответственного за организацию обработки персональных данных. Также в законе предусмотрено возмещение морального вреда субъекту персональных данных независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков (п. 2 ст. 24).

Теперь операторы, осуществляющие обработку персональных данных и подавшие уведомления об обработке персональных данных до 01.07.2011 г., обязаны представить не позднее 01.01.2013 г. в уполномоченный орган по защите прав субъектов персональных данных следующую информацию:

  • правовое основание обработки персональных данных с указанием соответствующих статей нормативно-правовых актов;
  • Ф.И.О. физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных;
  • номера контактных телефонов;
  • почтовые адреса и адреса электронной почты;
  • сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
  • описание мер, принимаемых оператором, предусмотренных ст. 18.1 и 19 Закона о персональных данных.

В ст. 19 закона перечислены требования безопасности, необходимые для исполнения операторами. Введено понятие – уровень защищенности персональных данных. Операторы должны осуществлять внутренний контроль или аудит соответствия обработки персональных данных федеральному законодательству и требованиям к их защите, а также оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения указанных требований.

Кроме того, в ст. 14 расширяется перечень оснований, при которых ограничивается право субъекта персональных данных на доступ к своим персональным данным.

И, наконец, по ст. 9 согласие на обработку персональных данных может быть дано субъектом или его представителем в любой форме, подтверждающей факт его получения. Подробно описан правовой режим деятельности лиц, которые поручили операторам обработку персональных данных, то есть тем, кто обрабатывает их, если у компании нет на это собственных ресурсов.

– Можно ли не направлять уведомление в Управление Рос­комнадзора, если оператор по обработке персональных данных обрабатывает данные только своих сотрудников на основании трудового договора (ч. 2 ст. 22 закона)?

– К данному вопросу нужно относиться очень внимательно. Как правило, оператор, недостаточно внимательно ознакомившись с Федеральным законом от 26.07.2006 № 152-ФЗ «О персональных данных», приходит к следующему нелогичному выводу: отсутствие необходимости направления уведомления означает вообще отсутствие обязанности выполнения Закона «О персональных данных». Практика показывает, что это далеко не так.

Например, оператор проводит обработку персональных данных субъекта, являющегося его работником. Кроме обработки персональных данных работника оператор на законных основаниях обрабатывает персональные данные иных лиц, имеющих отношение к работнику. Таковыми могут быть лица, получающие алименты по решению суда или в добровольном порядке (супруги, дети, родители работников). Оператор также может обрабатывать персональные данные в целях предоставления работникам стандартных налоговых вычетов на детей и (или) социальных налоговых вычетов в связи с обучением или лечением детей или иных родственников; несовершеннолетних детей в целях их оздоровления (направление детей в оздоровительные лагеря) и т.п. Наконец, оператор обрабатывает персональные данные физических лиц в целях их трудоустройства (резюме кандидатов), при этом обработка персональных данных этих лиц происходит до установления трудовых отношений. Выводы напрашиваются сами.

Ответственность за нарушение

– Какая ответственность предусмотрена за нарушения по обработке персональных данных?

– Лица, виновные в нарушении требований Федерального закона от 26.07.2006 № 152-ФЗ «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную, а также иную, предусмотренную законодательством РФ ответственность.

Интервью: Иван СЕРГЕЕВ

Если какая-либо компания или учреждение хотят получить ваши персональные данные, они должны обосновать это желание и получить от вас разрешение либо иметь на обработку законные основания. Кроме того, должна быть обеспечена безопасность этой информации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

двадцать − пять =