Как получают доступ к вашим персональным данным?

Требуется ли в соответствии с действующим законодательством для осуществления деятельности по обработке персональных данных получение каких-либо разрешений, лицензий, сертификатов и в каком порядке? Каковы меры ответственности за несоблюдение данного порядка?


Рассмотрев вопрос, мы пришли к следующему выводу:
Лицо признается оператором персональных данных в случае, если оно фактически осуществляет обработку персональных данных, вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п.
При этом до начала обработки персональных данных оператор персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных, за исключением ряда случаев, установленных ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Поскольку оператор, осуществляющий обработку персональных данных в информационных системах, обязан осуществлять деятельность по технической защите конфиденциальной информации, то он обязан получить лицензию на осуществление такой деятельности.
За нарушение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" виновные лица несут гражданскую, уголовную, административную, дисциплинарную ответственность.

Обоснование вывода:
Отношения, связанные с обработкой персональных данных, регулируются, в первую очередь, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ).
К персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (п. 1 ст. 3 Закона N 152-ФЗ).
Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
В соответствии с ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных ч. 2 данной статьи.
Оператором персональных данных (далее также - оператор) согласно п. 2 ст. 3 Закона N 152-ФЗ признается государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Таким образом, лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., в силу самого факта осуществления им деятельности по обработке персональных данных.
При этом необходимо учитывать, что в силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключениями случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ. В частности, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- лиц, связанных с оператором трудовыми отношениями;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных;
- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- включенных в федеральные информационные системы персональных данных, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Уведомление о намерении осуществлять обработку персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ (ч. 3 ст. 22 Закона N 152-ФЗ). Форма уведомления и рекомендации по ее заполнению (далее - Рекомендации) утверждены приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17.07.2008 N 8 (приложения N 1, N 2).
При этом необходимо уведомлять уполномоченный орган о конкретной дате начала обработки персональных данных и дате или условии ее прекращения (п. 11, п. 12 Рекомендаций).
На основании уведомления уполномоченный орган по защите прав субъектов персональных данных включает данные об операторе в реестр операторов, сведения которого, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными (п. 4 ст. 22 Закона N 152-ФЗ).
Порядок ведения реестра операторов, осуществляющих обработку персональных данных, установлен Положением, утвержденным приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 N 154.
Согласно ст. 7 Закона N 152-ФЗ обязанностью оператора является обеспечение конфиденциальности персональных данных, за исключением обезличенных и общедоступных данных. В соответствии с ч. 1 ст. 19 Закона N 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
При этом Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных установлены в соответствии с ч. 2 ст. 19 Закона N 152-ФЗ Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства РФ от 17.11.2007 N 781 (далее - Положение N 781).
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (п. 9 ст. 3 Закона N 152-ФЗ).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах (п. 1 Положения N 781).
Исходя из вышеприведенных норм для оператора, осуществляющего обработку персональных данных в информационных системах (например, системах управления баз данных), является обязательным применение (использование) шифровальных (криптографических) средств для защиты персональных данных.
При этом необходимо учитывать, что в силу п. 1 ст. 17 Федерального закона от 08.08.2001 N 128-ФЗ "О лицензировании отдельных видов деятельности" (далее - Закон N 128-ФЗ) в рассматриваемой сфере подлежат лицензированию:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
- деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
- деятельность по технической защите конфиденциальной информации.
Так как исходя из нормы ч. 1 ст. 19 Закона N 152-ФЗ оператор, осуществляющий обработку персональных данных в информационных системах, обязан осуществлять деятельность по технической защите конфиденциальной информации, то в силу прямого указания вышеуказанной нормы Закона N 128-ФЗ он должен получить специальное разрешение (лицензию).
Лицензирование использования технической защиты конфиденциальной информации, то есть комплекса мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, осуществляет Федеральная служба по техническому и экспортному контролю на основании Положения, утвержденного постановлением Правительства РФ от 15.08.2006 N 504 "О лицензировании деятельности по технической защите конфиденциальной информации" (далее - Положение N 504). Согласно п. 14 Положения N 504 срок действия лицензии составляет 5 лет и по его окончании может быть в соответствующем порядке продлен по заявлению лицензиата.
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
В частности, административная ответственность установлена за:
- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, а также предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ);
- нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) (ч. 1 ст. 13.12 КоАП РФ);
- использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (ч. 2 ст. 13.12 КоАП РФ);
- нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) (ч. 1 ст. 13.12 КоАП РФ);
- занятие видами деятельности в области защиты информации без получения специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна) (ст. 13.13 КоАП РФ);
- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
Уголовная ответственность установлена за:
- нарушение неприкосновенности частной жизни - незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
- отказ в предоставлении гражданину информации (ст. 140 УК РФ);
- неправомерный доступ к охраняемой законом компьютерной информации (ст. 272 УК РФ).
Работники организации, обязанные соблюдать правила работы с персональными данными в соответствии с трудовыми договорами или должностными инструкциями, виновные в нарушении требований Закона N 152-ФЗ, могут быть привлечены к дисциплинарной ответственности в соответствии с ТК РФ.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Пятова Инга

Ответ проверил:
Рецензент службы Правового консалтинга ГАРАНТ
Барсегян Артем

17 декабря 2009 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.

Link