Методические рекомендации по защите персональных данных

Методические рекомендации по защите персональных данных

Пенза 2011

ВВЕДЕНИЕ

В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области защиты персональных данных (далее - ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными до­говорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 01.01.2001г. «О персональных данных» и принятых во исполнение его положений, нормативных правовых актов.

Настоящий документ представляет собой методические рекомендации, разъясняющие руководителям организаций и учреждений, ведущих обработку персональных данных, последовательность действий для приведения указанной деятельности в соответствие с законодательством.

Побудительным мотивом к разработке данных рекомендаций послужила неоднозначность понимания требований законодательства о персональных данных организациями, которые ведут обработку персональных данных, а до­рой и полное отсутствие понимания этого законодательства.

Задачи методических рекомендаций:

-  разъяснение основных требований и понятий законодательства о пер­сональных данных;

-  планирование проведения первоочередных мероприятий по защите ПД;

-  описание алгоритма выполнения мероприятий по обеспечению защиты персональных данных в соответствие с ФЗ-152 «О персональных данных»;

-  рекомендации по разработке организационно-правовых документов, регламентирующих деятельность организации по защите персональных дан­ных;

Данные Методические рекомендации разработаны на основании Федерального закона от 01.01.01 г. «О персональных данных», и иных нормативных правовых актов, определяющих случаи и особенности об­работки персональных данных.

-

1 Основные понятия Закона «О персональных данных».

С 25.07.2011 года вступили в законную силу поправки к ФЗ-152 «О пер­сональных данных».

Целью Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Закон предъявляет ряд довольно-таки жестких требований к правилам обработки персональных данных и к тем, кто ведёт такую обработку - Опера­торам обработки персональных данных. Согласно закону таковыми являются:

1.  федеральные органы государственной власти;

2.  органы государственной власти субъектов Российской Федерации;

3.  иными государственные органы;

4.  органы местного самоуправления;

5.  иными муниципальные органы;

6.  юридические лица;

7.  физические лица,

которые ведут обработку ПДн с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использо­вания таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть по­зволяет осуществлять в соответствии с заданным алгоритмом поиск персональ­ных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Таким образом, требования ФЗ-152 «О персональных данных» распространяются на государственные органы, муниципальные органы, юри­дические лица и физические лица, обрабатывающие в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, парт­неров и т. п.), независимо от размера и формы собственности.

Действие ФЗ-152 «О персональных данных» не распространяется на от­ношения, возникающие при:

1)  обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2)  организации хранения, комплектования, учета и использования содер­жащих персональные данные документов Архивного фонда Российской Феде­рации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3)  обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

4)  предоставлении уполномоченными органами информации о деятель­ности судов в Российской Федерации в соответствии с Федеральным законом от 01.01.01 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

Понятия используемые в законе.

Федеральный закон от 01.01.2001г. «О персональных данных» с изменениями и дополнениями от 01.01.2001 года установил следующие ос­новные понятия, уяснение которых играет определяющую роль для дальнейше­го правильного применения положений закона.

Персональные данные — в соответствии с формулировкой, представ­ленной в Законе, это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Пример персональных данных лица:

- Фамилия, имя. отчество;

-  Место, год и дата рождения;

-  Адрес по прописке;

-  Паспортные данные (серия, номер паспорта, кем и когда выдан)

-  Семейное положение и состав семьи (муж/жена, дети);

- Телефонный номер (домашний, рабочий, мобильный);

-  Информация о трудовой деятельности и трудовом стаже (ме­сто работы, должность, период работы, период работы, причины увольнения);

-  Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: на­именование, номер, дата выдачи, специальность);

-  Информация о наличии или отсутствии судимости

-  ИНН;

-Данные страхового свидетельства государственного пенсионно­го обеспечения;

-  Сведения о нахождении на воинском учёте (для военнообязанных и лиц, подлежащих призыву на военную службу);

-  иные сведения, отнесённые оператором к персональным данным обработка которых ведётся в организации.

Пример косвенно определяемого лица: Иванов ИИ., работающий зам. директора такой-то фирмы или номер мобильного телефона

Оператор персональных данных — государственный орган, муници­пальный орган, юридическое или физическое лицо, самостоятельно или совме­стно с другими лицами организующие и (или) осуществляющие обработку пер­сональных данных, а также определяющие цели обработки персональных дан­ных, состав персональных данных, подлежащих обработке, действия (опера­ции), совершаемые с персональными данными;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств ав­томатизации или без использования таких средств с персональными данными,

включая сбор, запись, систематизацию, накопление, хранение, уточнение (об­новление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Информационная система персональных данных - совокупность со­держащихся в базах данных персональных данных и обеспечивающих их обра­ботку информационных технологий и технических средств;

Другими словами, если:

-  ваша организация работает с клиентскими базами, содержащими телефоны и адреса;

-  в отделе кадров вашей организации используется информация о ФИО сотрудников;

-  ваша организация готовит для органов налогового учета информа­цию о доходах своих сотрудников;

-  ваша организация собирает контактные данные ваших потребите­лей и клиентов;

-  в вашей организации используются телефонные базы для привлечения новых партнеров и заказчиков,

то действие закона о персональных данных распространяется на вашу ор­ганизацию, если вы ответили утвердительно хотя бы на один вопрос.

Перечень действий с персональными данными.

Перечень возможных действий содержится в ст. З ФЗ-152 и вытекает из понятия обработки. Это: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (рас­пространение, предоставление, доступ), обезличивание, блокирование, удале­ние, уничтожение.

Понятия некоторых из них даны в Законе.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кру­гу лиц;

Блокирование персональных данных - временное прекращение обра­ботки персональных данных (за исключением случаев, если обработка необхо­дима для уточнения персональных данных);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации оп­ределить принадлежность персональных данных конкретному субъекту персо­нальных данных;

Трансграничная передача персональных данных - передача персо­нальных данных на территорию иностранного государства органу власти ино­странного государства, иностранному физическому лицу или иностранному юридическому лицу.

Способы обработки персональных данных.

1. Неавтоматизированная обработка - это такие действия с персональными данными, содержащихся в информационной системе персональных данных, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которыеосуществляются при непосредственном участии человека.

2. Автоматизированная обработка персональных данных - обработка

персональных данных с помощью средств вычислительной техники (ст. З ФЗ-152).

В соответствии с п.1 указанного Постановления Правительства РФ № 000 под обработкой персональных данных с использования средств автоматизащ. понимается такая обработка персональных данных в информационных систе­мах персональных данных, которая ведется с помощью информационных тех­нологий и технических средств.

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, инфор­мационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устрой­ства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео - и буквенно-цифровой ин­формации), программные средства (операционные системы, системы управле­ния базами данных и т. п.), средства защиты информации, применяемые в ин­формационных системах. (

Пример автоматизированной обработки: обработка персональных дан­ных работников в системе 1С кадры или 1С бухгалтерия, передача по сети Интернет бухгалтерской отчётности.

3. Исключительно автоматизированная обработка. Как таковое поня-
тие отсутствует, но вытекает из ст. 16 ФЗ-152.

Пример: банковские карточки, услуги мобильной связи.

2 Законодательное регулирование защиты персональных данных.

Ст. 4 ФЗ-152 «О персональных данных» говорит о том, что законодатель­ство о персональных данных основывается на Конституции Российской Феде­рации и международных договорах Российской Федерации и состоит из на­стоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов. Особенностти^обра-ботки персональных данных, осуществляемой без использования средств авто­матизации, могут быть установлены федеральными законами и иными норма­тивными правовыми актами Российской Федерации с учетом положений на­стоящего Федерального закона.

О чём это говорит? Это говорит о том, что помимо ФЗ-152 «О персональных данных» существуют иные законодательные и нормативные акты, в кото­рых могут быть определены случаи и особенности обработки персональных данных. Требования, установленные в них также являются общеобязательны­ми. Их можно условно разделить на две группы:

1) Первая группа - это нормативные правовые акты, которые приняты во исполнение ФЗ-152 и носят общий характер. К ним относятся:

-  Постановление Правительства РФ «Об утвер­ждении Положения об особенностях обработки персональных данных, осуще­ствляемой без использования средств автоматизации»;

-  Постановление Правительства РФ «Об утвер­ждении требований к материальным носителям биометрических персональ­ных данных и технологиям хранения таких данных вне информационных сис­тем персональных данных»;

-  Постановление Правительства РФ «Об утвер­ждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

-  Приказ ФСТЭК РФ №55, ФСБ РФ №86, Мининформсвязи РФ №20 от 01.01.2001 «Об утверждении Порядка проведения классификации информаци­онных систем персональных данных»

2) Вторая группа - это нормативные правовые акты, которые регулиру­ют отдельные случаи либо действия по обработке персональных данных в раз­личных сферах деятельности. К ним можно отнести:

-  Трудовой кодекс РФ, который регламентирует порядок и правила об­работки персональных данных работников, исходя из целей трудовых отноше­ний (ст.57, 65, ст. ст.85-90);

-  Гражданский кодекс, который устанавливает требования к содер­жанию и реквизитам договора;

-  Налоговый Кодекс РФ, который устанавливает обязанности органов, учреждений, организаций и должностных лиц сообщать в налоговые органы сведения, связанные с налоговым учётом организаций и физических лиц, то есть, регламентирует порядок передачи сведений, содержащих персональные данные.

-  Федеральный закон от 2 марта 2007г. "О муниципальной службе в Российской Федерации" (ст.30), где определен порядок ведения лично­го дела муниципального служащего, к которому приобщаются документы, свя­занные с его поступлением на муниципальную службу, ее прохождением и увольнением с муниципальной службы. Такие личные дела хранятся в течение 10 лет. При увольнении муниципального служащего его личное дело хранится в архиве органа местного самоуправления, избирательной комиссии муниципаль­ного образования по последнему месту муниципальной службы;

-  Федеральный закон «О бухгалтерском учёте», где определены цели обработки первичных бухгалтерских документов, которые могут содержать персональные данные. Например, для целей сдачи отчётности, такие доку­менты могут храниться до конца года, а далее в течение сроков, устанавли­ваемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет.

-  Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утверждённое Указом Президента РФ от 01.01.01г. № 000. Например в п. 16 этого Поло­жения перечисляются документы, которые должны быть приобщены к лич­ному делу гражданского служащего и являются его персональными данными;

-  Постановление Госкомстата РФ от 05.01.04 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», где определено какие сведения о себе должен сообщить работник в отдел кадров;

-  Правила предоставления туристических услуг;

- Правила торговли; и т. д.

3 Принципы и условия обработки персональных данных.

Принципы обработки персональных данных.

Ст.5 ФЗ-152 устанавливает принципы обработки персональных данных. Их нужно внимательно уяснить. Ключевыми из них являются следующие:

1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Пример: если организация заявляет, что обрабатывает персональные данные с целью предоставления услуг ремонта, а сама начинает использовать персональные данные с целью рекламы, размещая персональные данные клиен­тов на сайте, то это нарушение закона.

2. Не допускается объединение баз данных, содержащих персональныеданные, обработка которых осуществляется в целях, несовместимых между собой.

Пример: недопустимо на одном компьютере обрабатывать персональ­ные данные кадров, бухгалтерии и клиентов организации.

3. Содержание и объем обрабатываемых персональных данных должнысоответствовать заявленным целям обработки. Обрабатываемые персональныеданные не должны быть избыточными по отношению к заявленным целям ихобработки.

Пример: в ст. 57, 65 ТК РФ установлен тот объём сведений, который должен предоставляться кандидатом на работу и при заключении трудового договора. Сбор и получение таких сведений как, например, религиозные воззре­ния, иные сведения которые не нужны для целей заключения трудового догово­ра недопустимо. Если в типовом бланке согласия или в анкете будет преду­смотрено получение таких сведений, то это будет нарушение закона незави­симо от того, дал ли субъект своё согласие. То есть получаемые сведения не должны быть избыточными по отношению к целям.

4.  При обработке персональных данных должны быть обеспечены точ­ность персональных данных, их достаточность, а в необходимых случаях и ак­туальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по уда­лению или уточнению неполных или неточных данных.

5.  Хранение персональных данных должно осуществляться в форме, по­зволяющей определить субъекта персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональ­ных данных не установлен федеральным законом, договором, стороной которо­го, выгодоприобретателем или поручителем по которому является субъект пер­сональных данных. Обрабатываемые персональные данные подлежат уничто-

жению либо обезличиванию по достижении целей обработки или в случае утра­ты необходимости в достижении этих целей, если иное не предусмотрено феде­ральным законом.

То есть, например: если у организации истёк срок договора с клиентом, сдана годовая бухгалтерская отчётность, то следует либо уничтожить пер­сональные данные либо передать их на архивное хранение.

Условия обработки персональных данных

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Об­работка персональных данных допускается если:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

Без согласия обработка персональных данных допускается если:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательствомРоссийской Федерации на оператора функций, полномочий и обязанностей;

Пример: обработка ПДн, которая ведётся органами ЗАГСа, Регпалаты, налоговыми органами, органами соц страхования, юридическими лицами и предпринимателями в случае передачи персональных данных работников в на­логовые органы, органы соц страхования, при ведении карточек формы Т-2, первичной бухгалтерской документации и тд.

3)  обработка персональных данных необходима для осуществления пра­восудия, исполнения судебного акта, акта другого органа или должностного ли­ца, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного ак-та);

4)  обработка персональных данных необходима для предоставления госу­дарственной или муниципальной услуги в соответствии с Федераль­ным законом от 27 июля 2010 года "Об организации предоставлен. я государственных и муниципальных услуг", для обеспечения предоставления та­кой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

5)  обработка персональных данных необходима для исполнения дого­вора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобрета­телем или поручителем;

Например: обработка ПДн граждан для заключения договора оказания гостиничных услуг, туристических услуг, платных образовательных услуг, куп­ли-продажи чего-либо и тд.

Договор считается заключенным в надлежащей форме с момента выда­чи продавцом покупателю кассового или товарного чека или иного документа, подтверждающего оплату товара (услуги), если иное не предусмотрено феде­ральным законом или договором между продавцом и покупателем.

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Пример: обработка персональных данных экстренными службами при вызове.

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

То есть, при сборе сведений для трудоустройства нельзя требовать со­гласия от субъекта на сбор сведений содержащих персональные данные его родственников (судимость, долговые обязательства и т. д.). В противном слу­чае такая обработка будет нарушать права родственников (третьих лиц), так как согласие на обработку своих ПДН должен давать сам субъект ПДн.

8)  обработка персональных данных необходима для осуществления про­фессиональной деятельности журналиста и (или) законной деятельности сред­ства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные инте­ресы субъекта персональных данных;

9)  обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональныхданных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

То есть, необходимо письменное согласие субъекта на предоставление своих персональных данных неограниченному кругу лиц (общедоступность).

11) осуществляется обработка персональных данных, подлежащихопубликованию или обязательному раскрытию в соответствии с федеральным законом.

Например:

1.  Согласно Закону «О государственной гражданской службе в РФ» обя­зательному опубликованию подлежат сведения о доходах государственного гражданского служащего и членов его семей.

2.  Во исполнение Федерального закона «О защите прав потребителей» при осуществлении разносной торговли представитель продавца должен иметь личную карточку, заверенную подписью лица, ответственного за ее оформление, и печатью продавца, с фотографией, указанием фамилии, имени, отчества представителя продавца, а также сведений о продавце (Постанов­ление Правительства РФ от 01.01.2001 N 81).

Передача персональных данных другим лицам

Ст. 6 ФЗ-152 «О персональных данных» также устанавливает правила пе­редачи персональных данных другим лицам.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмот­рено федеральным законом, на основании заключаемого с этим лицом до­говора, в том числе государственного или муниципального контракта, ли­бо путем принятия государственным или муниципальным органом соот­ветствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные на­стоящим Федеральным законом.

В поручении оператора должны быть определены

1)  перечень действий (операций) с персональными данными, которые бу­дут совершаться лицом, осуществляющим обработку персональных данных;

2)  цели обработки;

3)  обязанность такого лица соблюдать конфиденциальность персональ­ных данных и обеспечивать безопасность персональных данных при их обра­ботке; указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на об­работку его персональных данных.

В статье 88. ТК РФ установлены также дополнительные требования касаемо передачи персональных данных работника. К ним относятся:

- не сообщать персональные данные работника третьей стороне без пись­менного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными за­конами;

-  не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

-  предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сооб­щены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоя­щим Кодексом и иными федеральными законами;

-  осуществлять передачу персональных данных работника в пределах од­ной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

-  разрешать доступ к персональным данным работников только специ­ально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

-  не запрашивать информацию о состоянии здоровья работника, за ис­ключением тех сведений, которые относятся к вопросу о возможности выпол­нения работником трудовой функции;

-  передавать персональные данные работника представителям работни­ков в порядке, установленном настоящим Кодексом и иными федеральными за­конами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Конфиденциальность

В соответствии со ст. 7. ФЗ-152 «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Пример, когда персональные данные можно раскрывать без согласия субъекта персональных данных: запрос органов прокуратуры, полиции, переда­ча их в налоговые органы, так как это предусмотрено законами «О прокурату­ре», «О полиции», «Об оперативно-розыскной деятельности», Налоговым ко­дексом и т. д.

Общедоступные источники персональных данных

В целях информационного обеспечения могут создаваться общедоступ­ные источники персональных данных (в том числе справочники, адресные кни­ги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требова­нию субъекта персональных данных либо по решению суда или иных уполно­моченных государственных органов.

Согласие на обработку персональных данных.

Если всё-таки в Вашей организации идёт обработка персональных дан­ных, круг которых выходит за рамки закона, например, Вы обрабатываете такие сведения о работнике как номер мобильного телефона, адрес электронной поч­ты, сведения о супругах, или специальных категорий персональных данных, то необходимо получать согласие на обработку.

К специальным категориям персональных данных относятся сведения, ка­сающихся расовой, национальной принадлежности, политических взглядов, ре­лигиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ-152).

В соответствии со п.1 ст. 9. ФЗ-152 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъ­екта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Согласие на обработку персональных данных может быть отозвано субъ­ектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить об­работку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ-152.

Согласие в письменной форме субъекта персональных данных на обра­ботку его персональных данных должно включать в себя, в частности:

1)  фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2)  фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты дове­ренности или иного документа, подтверждающего полномочия этого предста­вителя (при получении согласия от представителя субъекта персональных дан­ных);

3)  наименование или фамилию, имя, отчество и адрес оператора, полу­чающего согласие субъекта персональных данных;

4)  цель обработки персональных данных;

5)  перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6)  наименование или фамилию, имя, отчество и адрес лица, осуществ­ляющего обработку персональных данных по поручению оператора, если обра­ботка будет поручена такому лицу;

7)  перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8)  срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным за­коном;

9)  подпись субъекта персональных данных.

Дополнительно рекомендуется внести в перечень пункт, предусматри­вающий согласие субъекта на то, чтобы определенные сведения о нём были сделаны общедоступными. Например: Ф. И.О. и наименование должности, (бейджики, доски почёта, справочники по организациям, вывески на дверях и т. д.).

4 Обязанности Оператора при сборе персональных данных, содержание мероприятий, проводимых Операторами в соответствие с ФЗ-152 «О персональных данных»

Обязанности Оператора при сборе персональных данных.

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью - 7 статьи 14 ФЗ-152 «О персональных данных».

Если предоставление персональных данных является обязательным в со­ответствии с федеральным законом, оператор обязан разъяснить субъекту пер­сональных данных юридические последствия отказа предоставить его персо­нальные данные.

Пример: если человек отказывается представить при трудоустройстве сведения, содержащиеся в ст. 57,65 ТК РФ, либо сведения, содержащие персо­нальные данные для целей заключения договора об оказании каких-либо услуг, то оператор обязан разъяснить субъекту персональных данных, что отказ в предоставлении таких сведений повлечёт отказ в трудоустройстве либо неза­ключение договора.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 ст. 18 ФЗ-152, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его
представителя;

2)  цель обработки персональных данных и ее правовое основание;

3)  предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персо­нальных данных вышеуказанные сведения, в случаях, если:

1)  субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2)  персональные данные получены оператором на основании федерально­го закона или в связи с исполнением договора, стороной которого либо выгодо­приобретателем или поручителем по которому является субъект персональ­ных данных;

3)  персональные данные сделаны общедоступными субъектом персональ­ных данных или получены из общедоступного источника;

4)  оператор осуществляет обработку персональных данных для стати­стических или иных исследовательских целей, для осуществления профессио­нальной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные ин­тересы субъекта персональных данных;

5)  предоставление субъекту персональных данных сведений, предусмот­ренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

Общие требования при обработке персональных данных работника также установлены в ст. 86 ТК РФ.

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны со­блюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться ис­ключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и про­движении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имуще­ства;

3)  все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей сто­роны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных дан­ных, а также о характере подлежащих получению персональных данных и по­следствиях отказа работника дать письменное согласие на их получение;

4)  работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и част­ной жизни. В случаях, непосредственно связанных с вопросами трудовых отно­шений, в соответствии со статьей 24 Конституции Российской Федерации рабо­тодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5)  работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его проф­союзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

Содержание организационно-правовых мер и мер безопасности

Законодательством определены требования к Операторам, выполнение которых необходимо во избежание штрафных санкций со стороны контроли­рующих органов, основным из которых являются органы Роскомнадзора.

В соответствии с требованиями ст. 18.1 и ст. 19 ФЗ-152 Оператор сбязан принимать необходимые правовые, организационные и технические меры, на­правленные на соблюдение требований законодательства и защиту персональ­ных данных при их обработке.

Все эти меры можно условно разделить на три категории:

-  организационно-правовые: разработка самим Оператором локальных актов, регулирующих правила и порядок обработки персональных данных;

-  непосредственно организационные: назначение ответственных, опре­деление мест хранения сведений содержащих ПДн, организация доступа в по­мещение, организация охраны, учёт носителей информации, содержащих ПДн и тд;

-  технические: установка сертифицированного программного обеспече­ния, установка паролей, антивирусной защиты, разграничение прав доступа, иные меры технического характера.

Перечень этих мер представлен в ст. ст. 18.1, 19 ФЗ-152. К ним относятся:

1)  назначение оператором, являющимся юридическим лицом, ответст­венного за организацию обработки персональных данных;

2)  издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на пре­дотвращение и выявление нарушений законодательства Российской Федера­ции, устранение последствий таких нарушений;

3)  применение правовых, организационных и технических мер по обеспе­чению безопасности персональных данных в соответствии со статьей 19 Фе­дерального закона № 000 - ФЗ;

4)  осуществление внутреннего контроля и (или) аудита соответствия
обработки персональных данных настоящему Федеральному закону и приня-
тым в соответствии с ним нормативным правовым актам, требованиям к за-
щите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональ-
ных данных в случае нарушения настоящего Федерального закона, соотноше-
ние указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

б) ознакомление работников оператора, непосредственно осуществляю­щих обработку персональных данных, с положениями законодательства Рос­сийской Федерации о персональных данных, в том числе требованиями к защи­те персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Возможные меры по обеспечению безопасности, которые оператор обязанпринимать на основании п. З ст. 18.1 Закона «О персональных данных» при ихобработке перечислены в ст. 19 ФЗ-152 «О персональных данных». К ним относятся:

1) определение угроз безопасности персональных Данных при их обработке в информационных системах персональных данных;

2) применение организационных и технических мер по обеспечению безо­пасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите пер­сональных данных, исполнение которых обеспечивает установленные Прави­тельством Российской Федерации уровни защищенности персональных дан­ных;

3) применение прошедших в установленном порядке процедуру оценки со­ответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасно­сти персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональнымданным и принятием мер;

7)  восстановление персональных данных, модифицированных или унич­тоженных вследствие несанкционированного доступа к ним;

8)  установление правил доступа к персональным данным, обрабатывае­мым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9)  контроль за принимаемыми мерами по обеспечению безопасности пер­сональных данных и уровня защищенности информационных систем персональ­ных данных.

Также на Оператора в соответствии с ч.2 ст. 18.1 Закона возлагается обя­занность опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональ­ных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Ряд обязательных общих требований к локальным актам Оператора в области обработки персональных данных также содержатся в cm. cm.85-90 Трудового кодекса РФ. К ним в частности относятся следующие:

-  Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сооб­щить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению перо 0-нальных данных и последствиях отказа работника дать письменное согласие на их получение;

-  работники и их представители должны быть ознакомлены под рос­пись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

-  осуществлять передачу персональных данных работника в пределах од­ной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознаком­лен под роспись;

-  разрешать доступ к персональным данным работников только специ­ально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций (устанавливается разграничением права доступа к ПДн в соответствии с п.8, ч.2 cm 19 ФЗ - 152).

Таким образом, при проведении проверочных мероприятий будет обращаться внимание на принятие Оператором следующих предусмотренных законодательством мер:

Издание локальных актов оператора по вопросам обработки персональ­ных данных. К ним относятся:

-Приказ о проведении мер по защите ПДн;

-Приказ о проведении внутреннего контроля (проверки);

-Отчет о результатах проведения внутреннего контроля (проверки);

-Политика в отношении обработки персональных данных;

-Приказ о назначении ответственных за обработку ПДн;

-Положение о защите ПДн в организации;

Журнал учёта обращений субъектов ПДн.

Меры безопасности:

а) организационных:

-издание приказа о назначении администратора безопасности ПДн;
-разработка инструкции администратора безопасности ПДн;
-разработка положения о разграничении прав доступа к ПДн;

-разработка порядка резервирования и восстановления ПДн.

б) технических:

-Установка специального сертифицированного программного оборудования (Арцисс, Крипто-Про); - Антивирусная защита; -Установка паролей;

-Иные необходимые меры, предусмотренные ст. 19 ФЗ № 000.

Уведомление об обработке персональных данных.

Ст. 22 ФЗ-152 обязывает, оператора до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональ­ных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных дан­ных:

1) обрабатываемых в соответствии с трудовым законодательством (а именно ст.57, 65 ТКРФ, Постановление Госкомстата РФ от 05.01.04 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»);

2) полученных Оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласиясубъекта персональных данных и используются оператором исключительно дляисполнения указанного договора и заключения договоров с субъектом персональных данных. То есть, если персональные данные передаются кому-либо, либо npeдоставляются, то уведомление необходимо подавать. Например: Управляющая компания или ТСЖ должна подавать уведомление, если для расчёта платы за коммунальные услуги сведения о жильцах дома передаются в расчетно-кассовый центр без согласия жильцов.

3) относящихся к членам (участникам) общественного объединения илирелигиозной организации и обрабатываемых соответствующими общественнымобъединением или религиозной организацией, действующими в соответствии сзаконодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5)  включающих в себя только фамилии, имена и отчества субъектов пер­сональных данных;

6)  необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогич­ных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных ав-томатизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защитыбезопасности государства и общественного порядка (Например: базы ИЦ УВД, АС Б УВД);

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных

Например: ведение бумажных картотек по установленной форме как в библиотеке, в гостиницах и т. д.',

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Уведомление, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2)  цель обработки персональных данных;

3)  категории персональных данных

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

о) перечень действии с персональными данными, общее описание исполь­зуемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Фе­дерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юриди­ческого лица, ответственных за организацию обработки персональных данных,

и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8)  дата начала обработки персональных данных;

9)  срок или условие прекращения обработки персональных данных;

10)  сведения о наличии или об отсутствии трансграничной передачи пер - сональных данных в процессе их обработки;

11)  сведения об обеспечении безопасности персональных данных в соот­ветствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации (пока такие акты не приняты).

5 Перечень и содержание документов, необходимых организациям для выполнения требований ФЗ-152.

Основными документами, вызывающими трудности при их подготовки являются:

-  Отчёт о результатах проведения внутреннего контроля (проверки).

-  Положение об обработке и защите персональных данных.

-Политика в отношении обработки и защиты персональных данных.

Рассмотрим как необходимо составлять документы.

Как провести внутреннюю проверку

Основанием проведения внутренней проверки служит приказ руководите­ля о проведении внутренней проверки. Как правило, проверка проводится с участием юриста и сотрудника кадровой службы либо на крупных предприятиях может быть сотрудник безопасности. Во время проведения проверки определяется:

а) категории субъектов, чьи персональные данные обрабатываются в организации.

б) отделы (подразделения) в которых ведётся обработка ПДн.

в) состав обрабатываемых персональных данных (Ф. И.О.)

г) способы обработки персональных данных (автоматизированная, неавтоматизированная).

д) структура (сбор, хранение запись распространение передача и т. д.)

е) режим обработки персональных данных (однопользовательский, мно-

гопользовательский) Необходимо для того, чтобы определить, нужно ли иден­тифицировать пользователя по именем и паролем, разграничить право доступа.

ж) перечень существующих мероприятий, обеспечивающих безопасность персональных данных. Например,

- организационные меры: носители информации хранятся в сейфе; осу­ществляется контроль доступа в контролируемую зону; установлена охранная сигнализация; имеется электронная система отпирания дверей; осуществля­ется охрана здания в ночное время

- технические меры: антивирус, пароли, крипто-про и тд.

з) Перечень необходимых мероприятий для обеспечения безопасности персональных данных.

Результаты проведённой проверки отражены в отчёте о результатах проверки,

Лица, ответственные за организацию обработки ПДн.

После того как проведена проверка, составлен отчёт, издаётся приказ о назначении лиц, ответственных за организацию обработки персональных дан­ных в организации. Как правило, это руководители отделов, где осуществляется обработка персональных данных либо сотрудники безопасности. Это на усмот­рение руководителя. В ст. 22.1. ФЗ-152 сказано, что лицо, ответственное за ор­ганизацию обработки персональных данных, получает указания непосредствен­но от исполнительного органа организации, являющейся оператором, и подот­четно ему.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1)  осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2)  доводить до сведения работников оператора положения законодатель­ства Российской Федерации о персональных данных, локальных актов по во­просам обработки персональных данных, требований к защите персональных данных;

3)  организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Положение об обработке персональных данных

На основе данных отчёта разрабатывается Положение об обработке ПДн. Он является основным документом, где отражено всё, что касается обработки ПДн в организации. Нужно опи­сать работу всех информационных систем во всех отделах, где ведётся обработ­ка персональных данных. Это могут быть:

-  юридический отдел;

-  отдел маркетинга;

-  отдел работы с клиентами;

-  секретариат;

- охрана предприятия; (здесь следует обратить особое внимание как ве­дётся обработка ПДн: автоматизированным способом или нет. Если способ неавтоматизированный, то обработка должна вестись с учётом требований Постановления Правительства РФ № 000. Соответственно в Положении иа правила, которые прописаны в Постановления Правительства РФ № 000).

Политика об обработке и защите персональных данных

Следует обратить особое внимание, что согласно требованиям ч.2 ст. 18.1 ФЗ-152 Оператор обязан опубликовать или иным образом обеспечить неограни­ченный доступ к документу, определяющему его политику в отношении обра­ботки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Документ должен быть размещен в открытом доступе и быть доступен клиентам организации. Политика разрабатывается и публикуется для кли­ентов, потребителей услуг, а не работников организации!!!

В документе должна быть отражена следующая информация:

-  цели и способы обработки персональных данных;

-  категории субъектов, персональные данные которых обрабатываются;

-  правовое основание обработки персональных данных;

-  состав обрабатываемых персональных данных;

-  перечень действий с персональными данными;

-  условия раскрытия и передачи персональных данных;

-  права субъектов персональным данным;

-  меры по обеспечению защиты персональных данных;

-  гарантии конфиденциальности и ответственность;

-  контактную информацию лиц, ответственных за рассмотрение жалоб и запросов.

Способ опубликования и распространения документа должен соот­ветствовать характеру, месту и способам сбора информации и взаимодей­ствия с клиентами (в офисе, в местах продаж, на веб-сайте, в виде букле­та).

Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответ­ствующей информационно-телекоммуникационной сети документ, определяю­щий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соот­ветствующей информационно-телекоммуникационной сети.

То есть, если Вы при приёме заявок или заказов через сайты Интернет, осуществляете сбор персональных данных заказчиков или иных лиц, организа­ция обязаны опубликовать на этом сайте свою Политику об обработке и за­щите персональных данных.

6 Ответственность за нарушение законодательства о персональных данных

Статья 24 Закона «О персональных данных» гласит: «Лица, виновные в нарушении требований настоящего Федерального закона, несут граж­данскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

Данная норма Закона отсылает нас к конкретным отраслям законодатель­ства, где определены конкретные виды ответственности за совершение дейст­вий, влекущих нарушения в законодательства о персональных данных.

Административная ответственность установлена Кодексом об Административных правонарушениях РФ (КоАП РФ). Это самый распространённый вид ответственности, который может наступить по результатам проведения проверки:

Статья 13.11. Нарушение установленного законом «О персональных дан­ных» порядка сбора, хранения, использования или распространения информа­ции о гражданах (персональных данных)

«Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение администра­тивного штрафа...»

Статья 13.14. Разглашение информации с ограниченным доступом

«Разглашение информации, доступ к которой ограничен федеральным законом «О персональных данных» (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессио­нальных обязанностей, за исключением случаев, предусмотренных частью 1 статьи J4.33 настоящего Кодекса, (Ст. 14.33- недобросовестная конкуренция) влечет наложение административного штрафа...»

Иные случаи наступления административной ответственности.

На основании ч.4 ст. 18.1 Оператор обязан представить документы и ло­кальные акты, и (или) иным образом подтвердить принятие мер, указанных в части 1 статьи 18.1, по запросу органа Роскомнадзора.

За непредставление или несвоевременное представление вышеуказанных документов Оператору грозит административная ответственность по ст.1Г-7 КоАП РФ.

В случае отсутствия вышеуказанных документов либо невыполнения обя­занности, предусмотренной ч.2 ст. 18.1 - опубликовать или иным образом обес­печить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых тре­бованиях к защите персональных данных, Оператор может быть привлечён к ответственности по ст. 13.11 КоАП РФ.

Статья 5.39. Отказ в предоставлении гражданину информации

«Неправомерный отказ в предоставлении гражданину собранных в уста­новленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких до­кументов и материалов, непредоставление иной информации в случаях, преду­смотренных законом «О персональных данных», либо предоставление гражда­нину неполной или заведомо недостоверной информации - влечет наложение административного штрафа...»

Такая обязанность установлена ст.14, 18 ФЗ-152.

Уголовная ответственность установлена Уголовным кодексом РФ (УК РФ).

УК РФ. Статья 137. Нарушение неприкосновенности частной жизни

«Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо рас­пространение этих сведений в публичном выступлении, публично демонстри­рующемся произведении или средствах массовой информации - наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев...»

УК РФ. Статья 140. Отказ в предоставлении гражданину информации

«Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затраги­вающих права и свободы гражданина, либо предоставление гражданину непол­ной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом, либо лишением

права занимать определенные должности или заниматься определенной дея­тельностью на срок от двух до пяти лет...»

Иные риски неисполнения требований ФЗ-152.

Неисполнение требований Закона «О персональных данных» влечет для бизнеса компании риски следующего характера:

•  Гражданские иски со стороны клиентов или работников.

•  Приостановление или прекращение обработки персональных данных в

компании.

•  Привлечение компании и (или) ее руководителя к административной, уго­ловной, гражданской, дисциплинарной и иным видам ответственности.

•  Приостановление действия или аннулирование лицензий на основной вид деятельности компании.

•  Репутационные риски.

•  Риски недобросовестной конкуренции (приостановления деятельности компании с подачи конкурентов при имеющихся нарушениях правил щиты персональных данных).