Нарушение закона о персональных данных. Какая ответственность грозит компании и ее работникам

353

Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ) накладывает на каждую компанию определенные обязанности в отношении порядка сбора, хранения, использования и распространения персональных данных физических лиц. Под персональными данными (далее – ПДн) понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его Ф.И.О., год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 закона № 152-ФЗ). Оператором ПДн считается любая компания, организующая и (или) осуществляющая обработку ПДн, а также определяющая цели и содержание обработки этих данных. При этом под обработкой ПДн понимаются любые действия с данными – их сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (то есть действия с ПДн, порождающие юридические последствия для субъекта ПДн), распространение (в том числе передачу другим лицам), обезличивание, блокирование, уничтожение. Каждая компания так или иначе обрабатывает данные физических лиц (как минимум – данные своих работников, а также содержащиеся в резюме ПДн кандидатов на имеющиеся в компании вакансии и т. д.). Следовательно, любая компания независимо от вида деятельности признается оператором ПДн и обязана соблюдать требования закона № 152-ФЗ. Закон № 152-ФЗ, в частности, обязывает операторов ПДн обеспечить конфиденциальность (ст. 7 закона № 152-ФЗ), а также безопасность ПДн с помощью необходимых организационных и технических мер для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, от иных неправомерных действий (ч. 1 ст. 19 закона № 152-ФЗ). Причем для этой обязанности оператора ПДн не предусмотрено каких-либо исключений в зависимости от вида обрабатываемых ПДн. То есть даже если компания обрабатывает только данные своих работников, она обязана принять организационные и технические меры по их защите. Конкретные организационные и технические меры зависят от способа обработки ПДн – автоматическая, неавтоматическая или смешанная обработка. Так, если компания использует исключительно неавтоматическую обработку, она может ограничиться только организационными мерами, не прибегая к техническим. В частности, принять необходимые локальные нормативные акты, регулирующие порядок работы в компании с ПДн, ограничить доступ в помещения, где хранятся материальные носители с ПДн, и т. д. Конкретные методы защиты ПДн в информационных системах персональных данных раскрываютя в Положении о методах и способах защиты информации в информационных системах ПДн, утвержденном приказом ФСТЭК России от 05.02.10 № 58. Достаточность конкретных мер по обеспечению безопасности ПДн, принятых в компании, оценивается при проведении государственного контроля и надзора (п. 3 Положения об обеспечении безопасности ПДн при их обработке в информационных системах ПДн (утверждено постановлением Правительства РФ от 17.11.07 № 781).

Кроме того, во всех случаях, которые не названы в качестве исключений в части 2 статьи 6 закона № 152-ФЗ, для обработки ПДн требуется получить письменное согласие субъекта ПДн (то есть лица, чьи данные обрабатываются). Наконец, перед началом обработки ПДн компания обязана уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн (ч. 1, 4 ст. 22 закона № 152-ФЗ). Уведомления не требуют лишь случаи обработки данных, названные в части 2 статьи 22 закона № 152-ФЗ.

У оператора ПДн также есть определенные обязанности в связи с обращениями субъектов ПДн. Так, субъект ПДн имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора данных, относящихся к соответствующему субъекту ПДн, а также на ознакомление с такими данными (ч. 1 ст. 14 закона № 152-ФЗ). Соответствующая информация предоставляется в письменном виде по запросу субъекта ПДн (ч. 3, 4 ст. 14 закона № 152-ФЗ). Кроме того, субъект ПДн вправе требовать от оператора уточнения своих данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Соблюдение операторами ПДн требований закона № 152-ФЗ контролируют три государственных органа – Роскомнадзор, ФСТЭК России и ФСБ России. Контроль осуществляется в том числе путем проведения плановых и внеплановых проверок, по итогам которых компания может быть привлечена к ответственности.

В настоящем справочнике собраны виды и меры ответственности оператора ПДн и его должностных лиц, а также иных работников оператора за возможные нарушения законодательства о ПДн.

Таблица. Виды и меры ответственности за нарушение законодательства о персональных данных

Нарушение закона о персональных данных. Какая ответственность грозит компании и ее работникам

Подробнее о мерах, которые должен принять оператор ПДн, – в статье «Защита персональных данных. Какие меры необходимо принять в любой компании», «Юрист компании», 2011, № 3.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Только для зарегистрированных пользователей

Всего минута на регистрацию и документы у вас в руках!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.