Закон о персональных данных: КАК НЕ НАРУШАТЬ

06 мая 2011

Автор: Е.Царев, заместитель директора департамента продуктов и услуг LETA IT-company, MBA

Несмотря на то, что Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" давно вступил в силу и его основные положения действуют, компании — операторы персональных данных ждут приближающейся даты — 1 июля 2011 г. Согласно п. 3 ст. 25 Закона, информационные системы персональных данных, созданные до 1 января 2011 г., к этому моменту должны быть приведены в соответствие
с его требованиями.

Существующие документы, содержащие требования по защите персональных данных очень неоднозначны и вызывают много споров, ставящих под сомнение возможность их исполнения в принципе. Однако сложности в выполнении закона не являются основанием для его неисполнения.

Кто проверяет

В настоящий момент основные риски для операторов персональных данных связаны с проверками их деятельности со стороны регуляторов: Федеральная служба безопасности (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). В соответствии с 152-ФЗ Контрольные и надзорные полномочия в сфере защиты персональных данных были возложены на них.

Каждое из этих ведомств выполняет свою задачу. Так, ФСБ России курирует вопросы безопасности персональных данных при их обработке в информационных системах, в том числе защиту информации с использованием средств шифрования (криптографии).

Компетенции ФСТЭК России — защита информации с применением технических средств, в том числе подтверждение отсутствия в средствах защиты недекларируемых возможностей. Технические средства защиты персональных данных необходимо сертифицировать.

Методики, разработанные ФСТЭК, должны быть положены в основу так называемой Модели угроз для каждой информационной системы, обрабатывающей персональные данные (такой документ предстоит разработать каждому оператору). На выполнении этих аспектов, скорее всего, и будет сфокусировано внимание сотрудников ФСТЭК, привлекаемых для проверок.

Роскомнадзор является основным регулятором в области защиты прав физических лиц, чьи персональные данные обрабатываются. Сотрудники этого ведомства имеют право:

— проверять сведения в уведомлении, поданном оператором;
— привлекать для проверки другие госорганы (ФСБ, ФСТЭК);
— принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона;
— обращаться в суд с исковыми заявлениями в защиту прав субъектов и представлять их интересы в суде. А также направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии;
— направлять материалы в право­охранительные органы для решения вопроса о возбуждении уголовного дела в связи с нарушением прав субъектов персональных данных;
— привлекать к административной ответственности лиц, виновных в нарушении закона.

Очевидно, список получается весьма внушительным, а, значит, у Роскомнадзора есть достаточно возможностей воздействовать практически на любую организацию. На практике регулирует данную сферу деятельности именно Роскомнадзор, а ФСБ и ФСТЭК пока занимают выжидательную позицию (до 1 июля 2011 г.), и привлекаются лишь для контроля за реализованными мерами защиты данных в качестве сторонних экспертов.

Кого проверяет Роскомнадзор

Если сравнить деятельность Роскомнадзора в 2009 и в 2010 гг., то очевидно, что активизация работы в отношении защиты прав субъектов персональных данных началась. По данным самого ведомства, в настоящий момент реестр операторов, осуществляющих обработку персональных данных, включает 185 000 операторов персональных данных. В реестре можно найти промышленные предприятия, банки, страховые компании, торговые и консалтинговые предприятия, юридические и туристические фирмы, учреждения здравоохранения, образования и т. д.

Реестр ведется на основании уведомлений, которые присылают сами организации-операторы. Случаи, когда уведомлять ведомство нет необходимости, прописаны в п. 2 ч. 2 ст. 22 № 152-ФЗ. Сюда относятся: обработка данных сотрудников, данных, полученныхв связи с заключением договора, общедоступных персональных данных либо данных, включающихтолько фамилии, имена и отчества субъектов персональных данных либо необходимых в целях однократного пропуска на территорию.

Потенциальными кандидатами на проверку являются все компании, а не только внесенные в реестр. Ведь закон не снимает с работодателя обязанности обеспечивать сохранность данных своих сотрудников, разрабатывать соответствующее положение о работе с персональными данными независимо от количества служащих или вида деятельности.

Вместе с тем, учитывая немногочисленность проверяющих по сравнению с числом организаций, риски претензий контролеров из Роскомнадзора можно считать незначительными. Кроме того, контролеры надзора, как правило, не стремятся применять максимально жесткую ответственность к нарушителям.

В большинстве случаев по результатам проверки выдавались предписания об устранении нарушений. Только в нескольких случаях суды назначили штрафы по ст. 19.7 КоАП РФ на общую сумму в несколько сотен тысяч рублей за непредставление уведомлений, а по ст. 13.11 КоАП РФ за нарушение порядка сбора, хранения, использования или распространения персональных данных граждан было наложено и того меньше штрафов на общую сумму в несколько десятков тысяч рублей.

По данным Роскомнадзора чаще всего на нарушениях работы с персональными данными попадаются жилищно-коммунальные предприятия, банки, операторы мобильной связи и СМИ.

Что касается соотношения плановых и внеплановых мероприятий, то в 60% случаев проверка является плановой. С вступлением в силу Федерального закона от 26.12.08 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля» в части оснований для проведения внеплановых проверок количество последних снизилось вдвое (по сравнению с аналогичным периодом предыдущего года).

Кто несет ответственность

Ответственность за выполнение закона несет первое лицо организации. В то же время перекладывание ответственности на должностных лиц или подразделения возможно обычным внутренним приказом. Если провести доработку существующих инструкций и регламентов, то переложить основную меру ответственности на конкретного человека не составит труда. В таком случае должностному лицу достаточно в форме докладных записок уведомить руководство о масштабе работы и необходимых для ее выполнения ресурсах. Бывали случаи, когда руководитель отдела информационной безопасности инициировал десятки докладных записок на имя генерального директора с целью минимизировать ответственность.

Типовые ситуации

Рассмотрим несколько однотипных ситуаций, которые могут возникнуть при взаимодействии оператора персональных данных с Роскомнадзором.

Первая ситуация. Организация получает письмо от субъекта персональных данных с просьбой предоставить ему информацию о том, какие его данные используются, в каких целях, какими способами обрабатываются и какой срок хранятся (право на получение такого рода информации закреплено в Законе). Закон определяет срок 10 дней, в течение которых необходимо дать исчерпывающий ответ на запрос (). Сегодня далеко не в каждой компании есть возможность выполнить это требование.

Если ответ, полученный от оператора, поступит не по существу, не в полном объеме, позже установленного срока или не последует вовсе, субъект имеет полное право обратиться в Роскомнадзор за защитой своих прав.
Примерно каждое третье обращение в уполномоченный орган по защите прав субъектов персональных данных заканчивается внеплановой проверкой с перспективой привлечения к административной ответственности. Также Роскомнадзор может направить обращение в прокуратуру с запросом о возбуждении уголовного дела.

Очень часто это реализовывалось в отношении Сбербанка. В результате был создан процесс обработки обращений граждан, и установленный законом срок стал выполняться.

К слову, использование данного метода, например, со стороны конкурентов способно парализовать ответственные службы оператора персональных данных. Для этого достаточно лишь организовать несколько сотен запросов субъектов, спровоцировав тем самым прямое нарушение закона о персональных данных.

Вторая ситуация. Поспешная регистрация в качестве оператора персональных данных. По закону до начала обработки необходимо уведомить Уполномоченный орган о начале обработки через подачу уведомления. Но практика показывает, что Роскомнадзор желает воспользоваться своим правом «по проверке сведений, содержащихся в уведомлении» сразу и высылает уведомление о проверке (особенно это заметно в регионах). Очевидно, что без соответствующей подготовки пройти проверку будет сложно. Со всеми вытекающими последствиями. Например, некоторые компании структуры МТС, одними из первых подали уведомление, соответственно первые проверки проходили именно у них.

Третья ситуация. Отправка корреспонденции с явными нарушениями 152-ФЗ. Эта проблема свойственна крупным предприятиям, которые отправляют много корреспонденции, например счетов на оплату. Явные нарушения видно невооруженным глазом. Так, например, большинство предприятий ЖКХ отправляют счета на оплату услуг в незапечатанном виде с широким перечнем персональных данных, которые совершенно не нужны для проведения оплаты. В настоящий момент на рынке появились услуги по аутсорсингу изготовления счетов с учетом требований 152-ФЗ. Такие услуги оказывает, например, компания АККОРД ПОСТ.

Защита персональных данных превратилась в полноценную индустрию. Сформировался целый рынок продуктов и услуг. Дело осталось за объединением всего этого многообразия в решение, которое можно применить для каждой конкретной организации.

Источник: Журнал "Управление многоквартирным домом" № 5 май 2011 стр. 67

Похожие статьи

Новости рынка

Эффективность традиционной почтовой рассылки во времена цифрового маркетинга

16 сентября 2019

При грамотном использовании бумажной рассылки можно добиться весьма существенных результатов.

Подробнее
Новости рынка

В Новосибирске начали строить масштабный почтовый центр

13 сентября 2019

Почтовый узел будет находиться в крупнейшем городе Сибири, на территории аэропорта «Толмачево».

Подробнее
Новости рынка

Тенденции: омниканальность в ритейле

06 августа 2019

Необходимость формирования омниканальных продаж вызвана изменениями в обществе.

Подробнее
наверх
Напишите нам