Закон о персональных данных

Текст Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных"

О внесении изменений в федеральный закон "О персональных данные". Принят Государственной Думой 5 июля 2011 года

Определение персональных данных

Федеральный закон №152-ФЗ от 27.07.06 "О персональных данных" дает следующее определение персональных данных: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация".

Трудовой кодекс РФ определяет персональные данные работника как информацию, необходимую работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Область действия Федерального Закона "О персональных данных"

Федеральный закон №152-ФЗ от 27.07.06 "О персональных данных" определяет следующую сферу своего действия:

"Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации".

Таким образом, в сферу действия закона попадает большинство юридических лиц, осуществляющих обработку персональных данных своих работников, клиентов, партнеров и т.д. с использованием средств автоматизации.

Какие действия необходимо предпринять для соблюдения законодательства в области защиты персональных данных

В общем случае, для обработки персональных данных в организации необходимо:

  • классифицировать информационные системы персональных данных, собственником которых является организация;
  • уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении обрабатывать персональные данные;
  • определить цель и свои полномочия при обработке персональных данных;
  • разработать и создать систему защиты информационной системы персональных данных;
  • провести аттестацию информационной системы персональных данных;
  • организовать мероприятия по повышению квалификации персонала.

Сроки выполнения требований Закона "О персональных данных" 30 января 2007 года вступил с силу Федеральный закон №152-ФЗ от 27.07.06 "О персональных данных".

В соответсвии с частью 4 статьи 25 данного Закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных ... уведомление .... не позднее 1 января 2008 года.

В соответствии со статьей 19.7 КОАП невыполнение данного требования влечет наложение административного штрафа на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех до пяти тысяч рублей.

В соответсвии с частью 3 статьи 25 Федерального Закона № 152-ФЗ "О персональных данных": информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Таким образом, все без исключения информационные системы персональных данных должны быть приведены в соответствие с законом в течении 2009 года.

Кто может проводить мероприятия по защите персональных данных

В соответствии с Указом Президента РФ от 6 марта 1997 г. №188 "Об утверждении перечня сведений конфиденциального характера", персональные данные относятся к сведениям конфиденциального характера. На основании Федерального закона от 8 августа 2001 г. №128-ФЗ "О лицензировании отдельных видов деятельности" защита персональных данных относится к лицензированному виду деятельности, а именно: деятельность по технической защите конфиденциальной информации. Таким образом, для проведения мероприятий по защите персональных данных необходимо привлекать организации, имеющие соответствующие лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК). Деятельность по защите информации без наличия соответствующих лицензий влечет за собой как административную, так и уголовную ответственность (ст. 13.13 КоАП РФ, ст. 171 УК РФ).

Ответственность

Согласно ст. 24 Закона "О персональных данных" на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:

  • за отказ в представлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо их несвоевременное представление, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
  • за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);
  • за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность) лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Преступлениями, влекущими за собой уголовную ответственность, являются:

  • незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
  • неправомерный отказ должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ);
  • неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокировку, модификацию, либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).

Преступлениями, влекущими за собой уголовную ответственность, являются:

  • незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
  • неправомерный отказ должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ).

В соответствии с действующим законодательством работодатель может привлечь к ответственности сотрудников, допустивших несанкционированное распространение обрабатываемых или хранящихся персональных данных. Однако не может быть удовлетворено требование о возмещении убытков, предъявляемое лицом, которое не приняло обязательных мер по соблюдению конфиденциальности информации или нарушило установленные законодательством РФ требования по ее защите. Помимо административной и уголовной на работодателя возлагается и гражданско-правовая ответственность. Статьей 17 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" предусмотрено, что лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным ее неправомерным использованием, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Риски

Из всего выше изложенного следует однозначный вывод: неисполнение требований Закона "О персональных данных" может привести к следующим рискам для предприятия:

  • гражданско-правовые иски со стороны клиентов или работников о возмещении убытков в соответствии со статьей 17 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и статьей 391 Трудового Кодекса РФ;
  • административные санкции cо стороны ФСТЭК, ФСБ, Россвязькомнадзор.
поделиться:
просмотров: 2989 | дата: 2011-03-09 16:17:29