Защита персональных данных
В Российской Федерации в настоящее время действует Федеральный закон «О защите персональных данных» от 27.07.2006 г. № 152-ФЗ.
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Если назвать ФИО и номер паспорта – то это прямо определенное физическое лицо, а если сказать, к примеру: ФИО, член НП «КСЭО» – это будет косвенно определяемое физическое лицо.
Конкретного перечня, что относить к персональным данным, нет. Закон говорит, что это любая информация. На практике к персональным данным относят: фамилию, имя, отчество; год, месяц, дату и место рождения; адрес; семейное, социальное, имущественное положение; образование, профессию, доходы, а также другую информацию, при которой возможно идентифицировать конкретное лицо.
Под обработкой персональных данных понимается любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Действие указанного Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд;
2) при работе с документами Архивного фонда;
3) при работе со сведениями, составляющими государственную тайну.
Во всех остальных случаях любые действия с персональными данными подпадают под сферу действия Федерального закона. И экспертная организация будет являться так называемым оператором персональных данных.
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. В настоящее время уполномоченным органом у нас является Роскомнадзор. Уведомление направляется по установленной форме, размещенной на сайте Роскомнадзора. Многие организации уже получили письма с требованиями предоставить такие уведомления.
Есть случаи-исключения, когда Роскомнадзор уведомлять не надо, среди них:
- если обработка осуществляется в соответствии с трудовым законодательством;
- если обрабатываются данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные затем не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора;
- обработка персональных данных, включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- обработка данных осуществляется без использования средств автоматизации. Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Во всех остальных случаях экспертные организации обязаны уведомить Роскомнадзор.
Например, сотрудники Роскомнадзора в г. Томске считают, что использование в бухгалтерии программ 1:С, СБИС – требует направления уведомления об обработке персональных данных.
Также следует иметь в виду, что на официальных сайтах организаций накапливаются, хранятся и каким-то образом используются в работе различные персональные данные (логины, контактные телефоны, адреса). Информация из форм обратной связи на сайте, на страницах в социальных сетях содержит персональные данные, которые сотрудники организации обрабатывают. Соответственно, возникает обязанность уведомить уполномоченный орган, так как под установленные исключения это не попадает.
По общему правилу обработка персональных данных осуществляется с согласия субъекта персональных данных. Закон содержит случаи, когда для обработки персональных данных согласие субъекта не требуется, среди которых есть 3 случая, относящиеся к экспертной деятельности:
1) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
2) обработка персональных данных необходима для исполнения судебного акта в соответствии с законодательством об исполнительном производстве;
3) обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных.
Если Ваши действия не подпадают под эти три случая, то Вы должны иметь согласие субъекта на обработку персональных данных.
На первый взгляд, ничего другого эксперты в своей деятельности и не обрабатывают, и согласия брать не надо. Но не всё так просто, возвращаясь, например, к официальным сайтам и аккаунтам в социальных сетях.
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом о защите персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень таких мер. Примерный перечень закреплен в ст. 18 указанного закона: назначение ответственного лица за организацию обработки персональных данных; издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных; применение правовых, организационных и технических мер по обеспечению безопасности персональных данных; осуществление внутреннего контроля и (или) аудита в обработке персональных данных и др.
Ответственность за нарушение законодательства в области персональных данных установлена в ст. 13.11 КоАП РФ и грозит штрафами, максимальный размер установлен для юридических лиц до 75 000 рублей. А если организация использует базы данных, размещенные за пределами РФ, то штраф может составить до 18 000 000 рублей.
Нужно ли отвечать на письмо-уведомление Роспотребнадзора, если Вы подпадаете под исключения и не обязаны уведомлять о намерении осуществлять обработку персональных данных? Если не отвечать, то может возникнуть ответственность по ст. 19.7 КоАП РФ (штраф до 5 000 рублей). Поэтому наиболее безопасным в такой ситуации будет направление Роскомнадзору ответа с указанием на то, что оператор в данном случае имеет право на обработку персональных данных без уведомления данного органа со ссылкой на соответствующие основания, предусмотренные законом.
| Всего комментариев: 0 | |