Нарушение закона о персональных данных. Какая ответственность грозит компании и ее работникам

389

Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ) накладывает на каждую компанию определенные обязанности в отношении порядка сбора, хранения, использования и распространения персональных данных физических лиц. Под персональными данными (далее – ПДн) понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его Ф.И.О., год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 закона № 152-ФЗ). Оператором ПДн считается любая компания, организующая и (или) осуществляющая обработку ПДн, а также определяющая цели и содержание обработки этих данных. При этом под обработкой ПДн понимаются любые действия с данными – их сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (то есть действия с ПДн, порождающие юридические последствия для субъекта ПДн), распространение (в том числе передачу другим лицам), обезличивание, блокирование, уничтожение. Каждая компания так или иначе обрабатывает данные физических лиц (как минимум – данные своих работников, а также содержащиеся в резюме ПДн кандидатов на имеющиеся в компании вакансии и т. д.). Следовательно, любая компания независимо от вида деятельности признается оператором ПДн и обязана соблюдать требования закона № 152-ФЗ. Закон № 152-ФЗ, в частности, обязывает операторов ПДн обеспечить конфиденциальность (ст. 7 закона № 152-ФЗ), а также безопасность ПДн с помощью необходимых организационных и технических мер для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, от иных неправомерных действий (ч. 1 ст. 19 закона № 152-ФЗ). Причем для этой обязанности оператора ПДн не предусмотрено каких-либо исключений в зависимости от вида обрабатываемых ПДн. То есть даже если компания обрабатывает только данные своих работников, она обязана принять организационные и технические меры по их защите. Конкретные организационные и технические меры зависят от способа обработки ПДн – автоматическая, неавтоматическая или смешанная обработка. Так, если компания использует исключительно неавтоматическую обработку, она может ограничиться только организационными мерами, не прибегая к техническим. В частности, принять необходимые локальные нормативные акты, регулирующие порядок работы в компании с ПДн, ограничить доступ в помещения, где хранятся материальные носители с ПДн, и т. д. Конкретные методы защиты ПДн в информационных системах персональных данных раскрываютя в Положении о методах и способах защиты информации в информационных системах ПДн, утвержденном приказом ФСТЭК России от 05.02.10 № 58. Достаточность конкретных мер по обеспечению безопасности ПДн, принятых в компании, оценивается при проведении государственного контроля и надзора (п. 3 Положения об обеспечении безопасности ПДн при их обработке в информационных системах ПДн (утверждено постановлением Правительства РФ от 17.11.07 № 781).

Кроме того, во всех случаях, которые не названы в качестве исключений в части 2 статьи 6 закона № 152-ФЗ, для обработки ПДн требуется получить письменное согласие субъекта ПДн (то есть лица, чьи данные обрабатываются). Наконец, перед началом обработки ПДн компания обязана уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн (ч. 1, 4 ст. 22 закона № 152-ФЗ). Уведомления не требуют лишь случаи обработки данных, названные в части 2 статьи 22 закона № 152-ФЗ.

У оператора ПДн также есть определенные обязанности в связи с обращениями субъектов ПДн. Так, субъект ПДн имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора данных, относящихся к соответствующему субъекту ПДн, а также на ознакомление с такими данными (ч. 1 ст. 14 закона № 152-ФЗ). Соответствующая информация предоставляется в письменном виде по запросу субъекта ПДн (ч. 3, 4 ст. 14 закона № 152-ФЗ). Кроме того, субъект ПДн вправе требовать от оператора уточнения своих данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Соблюдение операторами ПДн требований закона № 152-ФЗ контролируют три государственных органа – Роскомнадзор, ФСТЭК России и ФСБ России. Контроль осуществляется в том числе путем проведения плановых и внеплановых проверок, по итогам которых компания может быть привлечена к ответственности.

В настоящем справочнике собраны виды и меры ответственности оператора ПДн и его должностных лиц, а также иных работников оператора за возможные нарушения законодательства о ПДн.

Таблица. Виды и меры ответственности за нарушение законодательства о персональных данных

Нарушение закона о персональных данных. Какая ответственность грозит компании и ее работникам

Подробнее о мерах, которые должен принять оператор ПДн, – в статье «Защита персональных данных. Какие меры необходимо принять в любой компании», «Юрист компании», 2011, № 3.

Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Простите, что прерываем ваше чтение

      Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Вы продолжите читать статью через 1 минуту
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль