О персональных данных (информация для операторов)
С развитием информационных технологий информация о человеке становится все доступнее, а поэтому нуждается в самой серьезной защите. Об этом рассказал и ответил на вопросы руководитель Управления Роскомнадзора по Томской области Дмитрий Владимирович Михайлов.
- Защита персональных данных гражданина является одной из важнейших задач системы обеспечения информационной безопасности в организации любого масштаба и любой организационно-правовой формы. Нарушение режима конфиденциальности, имеющихся в организации данных клиентов, сотрудников, обслуживаемых граждан является само по себе серьёзнейшим инцидентом информационной безопасности, создающим многочисленные риски. В первую очередь, это касается операторов, осуществляющих обработку биометрических и специальных категорий персональных данных.
Вопрос: Кто является оператором по обработке персональных данных?
Ответ. Согласно Федерального закона от 26.07 2006 г. № 152-ФЗ «О персональных данных», оператором по обработке персональных данных являются государственные органы, муниципальные органы, юридические или физические лица, организующие или осуществляющие обработку персональных данных.
Вопрос: На какой федеральный орган возложена деятельность по ведению реестра операторов?
Ответ. Для необходимого обеспечения доступа любого гражданина Российской Федерации к информации о деятельности операторов, связанной с обработкой персональных данных, на Уполномоченный орган по защите прав субъектов персональных данных - Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Управление Роскомнадзора) в соответствии с Федеральным законом от 26.07 2006 г. № 152-ФЗ «О персональных данных» возложена одна из государственных функций - ведение реестра операторов, осуществляющих обработку персональных данных.
Вопрос: Какое количество операторов персональных данных насчитывается в Российской Федерации?
Ответ. По прогнозным оценкам, в Российской Федерации насчитывается примерно 2,5 млн. операторов персональных данных, подлежащих регистрации в Реестре операторов персональных данных. Из них лишь незначительная часть подала заявление в территориальный орган Управления Роскомнадзора о включении в реестр операторов персональных данных. Кроме того, информация, предоставляемая оператором на этапе регистрации, позволяет оценить соответствие принимаемых им мер по защите информации, применительно к категориям обрабатываемых персональных данных.
Вопрос: Следует ли направлять уведомление в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Томской области (Управление Роскомнадзора по Томской области), т.к. после получения уведомления оператора обязательно проверят и накажут?
Ответ. Управление Роскомнадзора по Томской области обладает доступными и законными способами установить факт активности оператора персональных данных и сделать вывод о том, что такое лицо является оператором по обработке персональных данных. Отсутствие уведомления в этом случае только усугубит положение оператора, не направившего уведомления в случаях, предусмотренных Федеральным законом от 26.07 2006 г. № 152-ФЗ «О персональных данных». Управление Роскомнадзора по Томской области отсутствие уведомления от оператора определяет как административное правонарушение, предусмотренное ст. 19.7. КоАП РФ. Но это произойдет скорее всего из-за отсутствия уведомления оператора, а не в силу направления уведомления в надзорный орган. Задача же сбора уведомлений - не тотальный контроль операторов со стороны государства, а подготовка реестра операторов в целях упорядочения обработки персональных данных и, в конечном счете, надлежащей защиты прав субъектов персональных данных. Форму уведомления можно найти на сайте Роскомнадзора по Томской области - http://70.rsoc.ru. Подготовка уведомления - достаточно простая процедура, имеющая, правда, свои особенности, связанные с формулированием целей и правовых оснований обработки персональных данных.
Вопрос: Можно ли не направлять уведомление в Управление Роскомнадзора, если оператор по обработке персональных данных обрабатывает данные только своих сотрудников на основании трудового договора (ч.2 ст22 ФЗ152)?
Ответ. Практически возможность применения этого исключения не приводит к обоснованному выводу об отсутствии обязанности оператора по направлению уведомления.
Пример. Оператор проводит обработку персональных данных субъекта, являющего его работником. Кроме обработки персональных данные работника, оператор на законных основаниях обрабатывает персональные данные иных лиц, имеющих отношение к работнику. Таковыми могут быть лица, получающие алименты по решению суда или в добровольном порядке (супруги, дети, родители работников). Оператор также может обрабатывать персональные данные в целях предоставления работникам стандартных налоговых вычетов на детей и (или) социальных налоговых вычетов в связи с обучением или лечением детей или иных родственников; несовершеннолетних детей работников в целях их оздоровления (направление детей в оздоровительные лагеря) и т.п. Наконец, оператор обрабатывает персональные данные физических лиц в целях их трудоустройства (резюме кандидатов), при этом обработка персональных данных этих лиц происходит до установления трудовых отношений. Поэтому к применению такого исключения нужно относиться очень внимательно. Как правило, оператор, поверхностно ознакомившись с Федеральным законом от 26.07 2006 г. № 152-ФЗ «О персональных данных», приходит и к следующему нелогичному выводу: отсутствие необходимости направления уведомления означает вообще отсутствие обязанности выполнения закона «О персональных данных»! Как правило, безграмотность и халатность сотрудников оператора, вводящих руководителя оператора в заблуждение приводит к самонадеянности в сочетании с завесой
коллективной безответственности.
Вопрос: Какая предусмотрена ответственность за нарушения по обработке персональных данных?
Ответ. Лица, виновные в нарушении требований Федерального закона 152-ФЗ "О персональных данных", несут:
- гражданскую, уголовную (см. Уголовный кодекс Российской Федерации, ст. 137, 140, 155, 183, 272, 273, 274, 292, 293),
- административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
- дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).