Нарушение закона о персональных данных. Какая ответственность грозит компании и ее работникам

378

Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ) накладывает на каждую компанию определенные обязанности в отношении порядка сбора, хранения, использования и распространения персональных данных физических лиц. Под персональными данными (далее – ПДн) понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его Ф.И.О., год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 закона № 152-ФЗ). Оператором ПДн считается любая компания, организующая и (или) осуществляющая обработку ПДн, а также определяющая цели и содержание обработки этих данных. При этом под обработкой ПДн понимаются любые действия с данными – их сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (то есть действия с ПДн, порождающие юридические последствия для субъекта ПДн), распространение (в том числе передачу другим лицам), обезличивание, блокирование, уничтожение. Каждая компания так или иначе обрабатывает данные физических лиц (как минимум – данные своих работников, а также содержащиеся в резюме ПДн кандидатов на имеющиеся в компании вакансии и т. д.). Следовательно, любая компания независимо от вида деятельности признается оператором ПДн и обязана соблюдать требования закона № 152-ФЗ. Закон № 152-ФЗ, в частности, обязывает операторов ПДн обеспечить конфиденциальность (ст. 7 закона № 152-ФЗ), а также безопасность ПДн с помощью необходимых организационных и технических мер для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, от иных неправомерных действий (ч. 1 ст. 19 закона № 152-ФЗ). Причем для этой обязанности оператора ПДн не предусмотрено каких-либо исключений в зависимости от вида обрабатываемых ПДн. То есть даже если компания обрабатывает только данные своих работников, она обязана принять организационные и технические меры по их защите. Конкретные организационные и технические меры зависят от способа обработки ПДн – автоматическая, неавтоматическая или смешанная обработка. Так, если компания использует исключительно неавтоматическую обработку, она может ограничиться только организационными мерами, не прибегая к техническим. В частности, принять необходимые локальные нормативные акты, регулирующие порядок работы в компании с ПДн, ограничить доступ в помещения, где хранятся материальные носители с ПДн, и т. д. Конкретные методы защиты ПДн в информационных системах персональных данных раскрываютя в Положении о методах и способах защиты информации в информационных системах ПДн, утвержденном приказом ФСТЭК России от 05.02.10 № 58. Достаточность конкретных мер по обеспечению безопасности ПДн, принятых в компании, оценивается при проведении государственного контроля и надзора (п. 3 Положения об обеспечении безопасности ПДн при их обработке в информационных системах ПДн (утверждено постановлением Правительства РФ от 17.11.07 № 781).

Кроме того, во всех случаях, которые не названы в качестве исключений в части 2 статьи 6 закона № 152-ФЗ, для обработки ПДн требуется получить письменное согласие субъекта ПДн (то есть лица, чьи данные обрабатываются). Наконец, перед началом обработки ПДн компания обязана уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн (ч. 1, 4 ст. 22 закона № 152-ФЗ). Уведомления не требуют лишь случаи обработки данных, названные в части 2 статьи 22 закона № 152-ФЗ.

У оператора ПДн также есть определенные обязанности в связи с обращениями субъектов ПДн. Так, субъект ПДн имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора данных, относящихся к соответствующему субъекту ПДн, а также на ознакомление с такими данными (ч. 1 ст. 14 закона № 152-ФЗ). Соответствующая информация предоставляется в письменном виде по запросу субъекта ПДн (ч. 3, 4 ст. 14 закона № 152-ФЗ). Кроме того, субъект ПДн вправе требовать от оператора уточнения своих данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Соблюдение операторами ПДн требований закона № 152-ФЗ контролируют три государственных органа – Роскомнадзор, ФСТЭК России и ФСБ России. Контроль осуществляется в том числе путем проведения плановых и внеплановых проверок, по итогам которых компания может быть привлечена к ответственности.

В настоящем справочнике собраны виды и меры ответственности оператора ПДн и его должностных лиц, а также иных работников оператора за возможные нарушения законодательства о ПДн.

Таблица. Виды и меры ответственности за нарушение законодательства о персональных данных

Нарушение закона о персональных данных. Какая ответственность грозит компании и ее работникам

Подробнее о мерах, которые должен принять оператор ПДн, – в статье «Защита персональных данных. Какие меры необходимо принять в любой компании», «Юрист компании», 2011, № 3.

Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией
      Рассылка

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      
      • Мы в соцсетях
      Внимание! Вы находитесь на сайте для юристов

      Вы точно юрист? Предлагаем сделку!
      Пройдите быструю регистрацию, а мы обеспечим вас увлекательным юридическим чтением.
      Регистрация займет минуту.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль