Субъект ответственности за нарушение правил обработки персональных данных

Субъект ответственности за нарушение правил обработки персональных данных

Вопрос:

Существует Федеральный закон от 01.01.2001 "О персональных данных", часть 3, глава 6, статья 25, согласно которой с 01.01.2011 все предприятия, обладающие персональными данными, должны были привести в соответствие согласно этому закону. Все ли предприятия обязаны это делать? Если нет человека, отвечающего за информационное обеспечение, как отдельной единицы, то кто ответственен?

Ответ:

Сфера действия Федерального закона от 01.01.2001 N 152-ФЗ "О персональных данных" определена в статье 1. Исходя из положений этой статьи, Закон о персональных данных распространяется на:

- юридических лиц, осуществляющих обработку персональных данных с использованием средств автоматизации (в том числе в информационно-телекоммуникационных сетях);

- юридических лиц, осуществляющих обработку персональных данных без использования средств автоматизации при условии, что обработка персональных данных соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Отсюда следует, что на юридическое лицо, обрабатывающее персональные данные без использования средств автоматизации и их неавтоматизированных аналогов (картотек, регистров, каталогов и т. д.), действие Закона "О персональных данных" не распространяется.

НЕ нашли? Не то? Что вы ищете?

Часть 2 статьи 1 Закона "О персональных данных" устанавливает еще ряд исключений (обработка архивных документов, документов, содержащих государственную тайну, и информации о деятельности судов).

С учетом указанных положений юридическое лицо признается оператором персональных данных, если оно самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст.3 Закона "О персональных данных").

Часть 3 статьи 25 Закона "О персональных данных" (в редакции Федерального закона от 23 декабря 2010 года N 359-ФЗ) предписывала операторам не позднее 1 июля 2011 года привести информационные системы персональных данных, созданные до 1 января 2011 года, в соответствие с требованиями Закона о персональных данных. Обязанность, указанная в этой статье, возлагалась на операторов, осуществляющих обработку персональных данных с использованием информационных систем.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (ст.2 Федерального закона от 01.01.2001 N 149-ФЗ "Об информации").

База данных - представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ) (ч.2 ст.1260 ГК РФ).

То есть под обработкой персональных данных в информационной системе предполагается компьютерная обработка. Соответственно, на операторов, обрабатывающих персональные данные "вручную", требования ч.3 ст.25 Закона "О персональных данных" не распространялись.

В соответствии со ст.13_11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных влечет предупреждение или наложение административного штрафа на граждан, должностных лиц, юридических лиц.

Юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых предусмотрена ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению (ч.2 ст.2_1 КоАП РФ).

Назначение административного наказания юридическому лицу не освобождает от административной ответственности за данное правонарушение виновное физическое лицо (то есть должностное лицо данной организации) - ч.3 ст.2_1 КоАП РФ.

Административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей (ст.2_4 КоАП РФ). Ответственности в качестве должностного лица может подлежать не только руководитель организации, но и другой работник. При этом должен выполняться ряд условий. Во-первых, работник организации должен быть наделен в установленном порядке полномочиями по осуществлению организационно-распорядительных или административно-хозяйственных функций. Во-вторых, состав правонарушения был выполнен в результате неисполнения либо ненадлежащего исполнения таким работником своих служебных обязанностей.

Поскольку в вашей организации "нет человека, отвечающего за информационное обеспечение как отдельной единицы", штраф будет наложен на юридическое лицо и (или) на руководителя.

Эксперт Линии профессиональной поддержки

Березинский Вадим

Правила пользования Сайтом
Правила публикации материалов
Политика конфиденциальности и обработки персональных данных

При перепечатке материалов ссылка на pandia.org обязательна.
Минимальная ширина экрана монитора для комфортного просмотра сайта: 1200 пикселей.
Сайт не содержит автоматически сгенерированных данных и не принимает подобные материалы.

Мы признательны за найденные неточности в материалах, опечатки, некорректное отображение элементов на странице - отправляйте на [email protected]

Субъект ответственности за нарушение правил обработки персональных данных

Домашний очаг

Справочная информация

Техника

Общество

Образование и наука

Мир

Бизнес и финансы