в Тулуне -17,7°C 720 mmHg прогноз погоды пт., 13 декабря 2024 07:57 Курс валют $ 103,95 € 110,48 ¥ 13,96

Как получают доступ к вашим персональным данным?

Новости Тулуна > Как получают доступ к вашим персональным данным?
Требуется ли в соответствии с действующим законодательством для осуществления деятельности по обработке персональных данных получение каких-либо разрешений, лицензий, сертификатов и в каком порядке? Каковы меры ответственности за несоблюдение данного порядка?


Рассмотрев вопрос, мы пришли к следующему выводу:
Лицо признается оператором персональных данных в случае, если оно фактически осуществляет обработку персональных данных, вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п.
При этом до начала обработки персональных данных оператор персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных, за исключением ряда случаев, установленных ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Поскольку оператор, осуществляющий обработку персональных данных в информационных системах, обязан осуществлять деятельность по технической защите конфиденциальной информации, то он обязан получить лицензию на осуществление такой деятельности.
За нарушение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" виновные лица несут гражданскую, уголовную, административную, дисциплинарную ответственность.

Обоснование вывода:
Отношения, связанные с обработкой персональных данных, регулируются, в первую очередь, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ).
К персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (п. 1 ст. 3 Закона N 152-ФЗ).
Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
В соответствии с ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных ч. 2 данной статьи.
Оператором персональных данных (далее также - оператор) согласно п. 2 ст. 3 Закона N 152-ФЗ признается государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Таким образом, лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., в силу самого факта осуществления им деятельности по обработке персональных данных.
При этом необходимо учитывать, что в силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключениями случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ. В частности, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- лиц, связанных с оператором трудовыми отношениями;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных;
- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- включенных в федеральные информационные системы персональных данных, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Уведомление о намерении осуществлять обработку персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ (ч. 3 ст. 22 Закона N 152-ФЗ). Форма уведомления и рекомендации по ее заполнению (далее - Рекомендации) утверждены приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17.07.2008 N 8 (приложения N 1, N 2).
При этом необходимо уведомлять уполномоченный орган о конкретной дате начала обработки персональных данных и дате или условии ее прекращения (п. 11, п. 12 Рекомендаций).
На основании уведомления уполномоченный орган по защите прав субъектов персональных данных включает данные об операторе в реестр операторов, сведения которого, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными (п. 4 ст. 22 Закона N 152-ФЗ).
Порядок ведения реестра операторов, осуществляющих обработку персональных данных, установлен Положением, утвержденным приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 N 154.
Согласно ст. 7 Закона N 152-ФЗ обязанностью оператора является обеспечение конфиденциальности персональных данных, за исключением обезличенных и общедоступных данных. В соответствии с ч. 1 ст. 19 Закона N 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
При этом Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных установлены в соответствии с ч. 2 ст. 19 Закона N 152-ФЗ Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства РФ от 17.11.2007 N 781 (далее - Положение N 781).
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (п. 9 ст. 3 Закона N 152-ФЗ).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах (п. 1 Положения N 781).
Исходя из вышеприведенных норм для оператора, осуществляющего обработку персональных данных в информационных системах (например, системах управления баз данных), является обязательным применение (использование) шифровальных (криптографических) средств для защиты персональных данных.
При этом необходимо учитывать, что в силу п. 1 ст. 17 Федерального закона от 08.08.2001 N 128-ФЗ "О лицензировании отдельных видов деятельности" (далее - Закон N 128-ФЗ) в рассматриваемой сфере подлежат лицензированию:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
- деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
- деятельность по технической защите конфиденциальной информации.
Так как исходя из нормы ч. 1 ст. 19 Закона N 152-ФЗ оператор, осуществляющий обработку персональных данных в информационных системах, обязан осуществлять деятельность по технической защите конфиденциальной информации, то в силу прямого указания вышеуказанной нормы Закона N 128-ФЗ он должен получить специальное разрешение (лицензию).
Лицензирование использования технической защиты конфиденциальной информации, то есть комплекса мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, осуществляет Федеральная служба по техническому и экспортному контролю на основании Положения, утвержденного постановлением Правительства РФ от 15.08.2006 N 504 "О лицензировании деятельности по технической защите конфиденциальной информации" (далее - Положение N 504). Согласно п. 14 Положения N 504 срок действия лицензии составляет 5 лет и по его окончании может быть в соответствующем порядке продлен по заявлению лицензиата.
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
В частности, административная ответственность установлена за:
- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, а также предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ);
- нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) (ч. 1 ст. 13.12 КоАП РФ);
- использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (ч. 2 ст. 13.12 КоАП РФ);
- нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) (ч. 1 ст. 13.12 КоАП РФ);
- занятие видами деятельности в области защиты информации без получения специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна) (ст. 13.13 КоАП РФ);
- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
Уголовная ответственность установлена за:
- нарушение неприкосновенности частной жизни - незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
- отказ в предоставлении гражданину информации (ст. 140 УК РФ);
- неправомерный доступ к охраняемой законом компьютерной информации (ст. 272 УК РФ).
Работники организации, обязанные соблюдать правила работы с персональными данными в соответствии с трудовыми договорами или должностными инструкциями, виновные в нарушении требований Закона N 152-ФЗ, могут быть привлечены к дисциплинарной ответственности в соответствии с ТК РФ.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Пятова Инга

Ответ проверил:
Рецензент службы Правового консалтинга ГАРАНТ
Барсегян Артем

17 декабря 2009 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.

Link
0 Комментариев · · Для печати
Новость добавлена: AlexHo, Январь 19 2010 14:25
Нравится
Комментарии
Нет комментариев.

Добавить комментарий

Для того чтобы добавить комментарий Вам необходимо авторизироваться

Рейтинги

Рейтинг доступен только для авторизованых пользователей.

Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.

Нет данных для оценки.

Другие новости