Защита персональных данных. Основные понятия. Ответственность за нарушения

Содержание

1 27 июля 2006 года N 152-ФЗ РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ
- 1.1 Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
- 1.2 Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА
2 ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ
- 2.1 Глава 14. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
3 ОТВЕТСТВЕННОСТЬ
4 ВЫВОДЫ

Основные законы. Выдержки. Примечания.

27 июля 2006 года N 152-ФЗ РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Под закон попадают все физические и юридические лица, имеющие доступ к персональным данным.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Далее из статьи:

оператор — лицо обрабатывающее данные;
обработка персональных данных — Все действия над данными: сбор, хранение, систематизация, передача и пр;
блокирование персональных данных — временное прекращение обработки;
уничтожение персональных данных — до невозможности восстановления, вплоть до уничтожения носителей;
обезличивание персональных данных — до потери возможности идентификации;
информационная система персональных данных — хранимые персональные данные,
информационные технологии и технические средства их обработки;

Статья 5. Принципы обработки персональных данных

Принципы законности, минимально необходимого объема данных, достоверности и (ВАЖНО) недопустимости необоснованного хранения данных.

Статья 6. Условия обработки персональных данных

П.1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
П.2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
П.п.2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

В случае взаимоотношения Работник-Работодатель письменного согласия не требуется, так как законодательство требует полную идентификацию Работника при заключении трудового договора.

П.4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Что означает, что третьи лица (относительно взаимоотношений Работник-Работодатель) имеют право обрабатывать данные при условии конфедициальности. Нет разъяснений об одновременном действии п.4 и пп.2 п.2 настоящей статьи, а именно: требуется ли письменное согласия субъекта персональных данных на обработку третьими лицами, если обработка производится в рамках договора.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Письменное согласие содержит ряд обязательных реквизитов. Относительно взаимоотношений Работник-Работодатель текое разрешение необходимо получать относительно данных, непосредственно не связанных с трудовым договором (взгляды и убеждения, национальность, религиозные убеждения, личная жизнь и т. д.).

Статьи 14-17 . Права субъекта персональных данных

Субъект персональных данных имеет право на получение сведений о всем процессе обработки своих данных, включая оператора, допущенных должностных лиц и пр. Имеет право пожаловаться.

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Обязанности оператора при сборе персональных данных

Обязан предоставлять сведения о процессе субъекту данных

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Требования устанавливает Правительство, контроль возлагается на федеральный орган.

Статья 20.

Обязанности оператора по предоставлению данных — описывается порядок и сроки такого предоставления.

Статья 21.

Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.

Обязан блокировать, исправить, а в некоторых случаях уничтожить данные.

Статья 22. Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган об этом, за исключением случаев, если это связано с договором, либо в объеме только ФИО,

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

Имеет право решать и контролировать, запрашивать информацию, требовать блокировку или уничтожение данных, обращаться в суд, привлекать к административной ответственности

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Статья 25. Заключительные положения

3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года. (часть третья в ред. Федерального закона от 27.12.2009 N 363-ФЗ)

ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

Глава 14. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

Все персональные данные работника следует получать у него самого.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности,

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами; (в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами; (в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись; (в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

Имеет право бесплатно получать всю информацию о своих персональных данных, включая выписки и копии, изменять их и обращаться в суд.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. (в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

ОТВЕТСТВЕННОСТЬ

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

— на граждан — от 300 до 500 руб.; — на должностных лиц — от 500 до 1000 руб.; — на юридических лиц — от 5000 до 10 000 руб.

Административная ответственность работника, имеющего доступ к персональным данным других работников

На основании ст. ст. 2, 3, 5, 6 Закона о персональных данных персональные данные относятся к информации, доступ к которой ограничен. В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

— на граждан — от 500 до 1000 руб.; — на должностных лиц — от 4000 до 5000 руб.

2.2. Дисциплинарная ответственность работника, имеющего доступ к персональным данным других работников

Вплоть до увольнения за нарушение трудовой дисциплины.

2.3. Уголовная ответственность работника, имеющего доступ к персональным данным других работников

В соответствии со ст. 137 УК РФ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в сумме до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

Часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

2.4. Материальная ответственность работника, имеющего доступ к персональным данным других работников

Если доказан вред, то возмещается ущерб в полном объеме 2.5. Гражданско-правовая ответственность работника, имеющего доступ к персональным данным других работников

Если гражданину причинен моральный вред (физические или нравственные страдания), то он подлежит возмещению в денежной форме в соответствии со статьями Гражданского кодекса РФ.

ВЫВОДЫ

Работодатель должен издать локальный нормативный акт (Положение о персональных данных. Документ обязательный), регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись. Акт должен содержать требования к месту хранения, сроки хранения, перечень лиц, допущенных к обработке, меры технической безопасности т пр.

Работодатель должен издать приказ о конкретных лицах, допускаемых к информационным базам данных, содержащих персональные данные (к примеру 1-С) при необходимости с перечнем данных, к которым лицо допущено. Либо в приказе, либо в отдельных обязательствах, составляемых на каждого допускаемого, должен быть пункт о неразглашении и об ответственности.

Целесообразно вести журналы о доступе к персональным данным (выдача личных дел работникам, сотрудникам, госорганам).