Чем грозит несоответствие требованиям законодательства РФ в области ПДн

13.03.2011

Федеральный закон № 152 и нормативно-правовые акты, развивающие его положения, обязывают оператора принять множество мер для построения системы защиты персональных данных, как организационного, так и инженерно-технического характера. За нарушение этих требований предусмотрена ответственность, весьма критичная для бизнеса.

Ответственность

В процессе своей деятельности любая организация осуществляет обработку как минимум тех персональных данных, которые касаются её работников. А значит, в соответствии с федеральным законом «О персональных данных», выступает в роли «оператора персональных данных» и выполняет «обработку персональных данных». Следовательно, она обязана соблюдать ряд требований, определённых российским законодательством.

Помимо ФЗ «О персональных данных», нормы о персональных данных содержатся в гражданском, трудовом, налоговом, семейном законодательстве. Такие данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа, такими как государственная, коммерческая, профессиональная, врачебная, нотариальная, адвокатская, банковская, семейная тайна, тайна усыновления и т. д.

Множество нормативных актов РФ содержат весьма обширные, а иногда и противоречивые требования к обработке персональных данных и вызывают у большинства операторов сложности при реализации. Однако нарушение этих требований в области ПДн влечёт засобой гражданскую, уголовную, административную, дисциплинарную и иную ответственность.

Законодательством РФ предусмотрены различные санкции, которые могут быть наложены на организацию-оператора, её руководителей и должностных лиц. В числе таких санкций — административное приостановление деятельности; арест; дисциплинарная и материальная ответственность. Это могут быть исправительные работы, конфискация (несертифицированных средств защиты информации, в том числе основного оборудования и программного обеспечения информационных систем, используемых средств шифрования); лишение права занимать определённые должности или заниматься определённой деятельностью; лишение свободы на определённый срок. Могут быть приняты меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства. Могут быть направлены в органы прокуратуры и другие правоохранительные органы материалы для решения вопроса о возбуждении дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных. Может быть приостановлено действие лицензий, без которых деятельность по обработке персональных данных становится незаконной. Могут применяться штрафные санкции и в целом возможно привлечение к административной, гражданской и уголовной ответственности.

Преступлениями, влекущими за собой уголовную ответственность, являются, например, незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ); неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ); неправомерный доступ к охраняемым законом компьютерным данным, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).

В статье 17 ФЗ РФ "Об информации, информационных технологиях и о защите информации«предусмотрено, что лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Статья 90 ТК РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника в виде дисциплинарной, материальной административной, гражданско-правовой и уголовной ответственности. Однако, как показывает практика, чаще всего операторы, нарушающие законодательство, привлекаются к административной ответственности.

На настоящий момент административная ответственность для операторов предусмотрена за следующие виды нарушений: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ); нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 КоАП РФ); использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (ст. 13.12 КоАП РФ); грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 КоАП РФ); занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с ФЗ обязательно (обязательна) (ст. 13.13 КоАП РФ).

Согласно статье 5.27 КоАП РФ, нарушение законодательства о труде и об охране труда влечёт наложение административного штрафа на должностных лиц или административное приостановление деятельности на срок до девяноста суток.

Согласно статье 5.39 КоАП РФ, неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации влечёт наложение административного штрафа.

Все о надзоре

С целью предупреждения, выявления и пресечения нарушений государственный контроль и надзор за соблюдением законодательства и иных нормативных правовых актов, содержащих нормы о персональных данных осуществляют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральная служба по труду и занятости (Роструд), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), Федеральная служба безопасности РФ (ФСБ России) в рамках своих полномочий.

Отношения в области организации и осуществления государственного контроля и надзора регулируются Федеральным законом от 26.12.08 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», который является обязательным для всех без исключения органов государственного контроля (надзора), и устанавливает порядок проведения проверок, а также административными регламентами надзорных органов, которые разрабатываются на основании и в соответствии с этим законом. Также Приказом Минэкономразвития России от 30.04.09 № 141 «О реализации положений Федерального закона „О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля“» утверждены типовые формы документов, применяемых при проведении проверок.

Закон определяет порядок проведения, виды и сроки мероприятий по контролю, порядок оформления их результатов, а также процедуры взаимодействия органов государственного и муниципального контроля при организации и проведении проверок. Предусмотрены плановые и внеплановые проверки, которые могут осуществляться в виде документарной проверки или выездной.

Предметом плановых проверок является соблюдение субъектом предпринимательства в процессе осуществления своей деятельности обязательных требований. Плановые проверки проводятся только в соответствии с принятым ежегодным планом проведения проверок. До сведения заинтересованных лиц его доводят, размещая на официальных сайтах органов власти либо иным доступным способом. Срок проведения каждой из проверок не может превышать 20 рабочих дней, за исключением субъектов малого предпринимательства, где общий срок проведения плановой выездной проверки не может превышать 50 часов для малого предприятия и 15 часов для микропредприятия в год. В исключительных случаях общий срок для всех субъектов предпринимательства может быть увеличен, но только на определённый законом срок.

Предметом внеплановых проверок, помимо соблюдения предпринимателями обязательных требований, является проведение мероприятий по предотвращению причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, по обеспечению безопасности государства, по предупреждению возникновения чрезвычайных ситуаций природного и техногенного характера, по ликвидации последствий причинения такого вреда.
По результатам каждой проверки должностными лицами органа государственного контроля (надзора), органа муниципального контроля, проводящими проверку, составляется акт установленной формы в двух экземплярах.

Информация о порядке проведения проверок, в том числе план их проведения, предоставляется на официальных сайтах проверяющих органов, а также в сводном плане проверок на сайте прокуратуры.

Роструд

Органами Роструда порядок обработки персональных данных может проверяться в рамках проверок соблюдения трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права.

При проведении проверки инспектор по труду вправе проверить соблюдение работодателем правильности отнесения той или иной информации о работнике к персональным данным, правила сбора и хранения такой информации, а также доступ к ней третьих лиц. Также проверяется соблюдение требований, предъявляемых к обработке персональных данных работника, и гарантии их защиты, установленные главой 14 ТК РФ.

Деятельность Роструда по осуществлению надзора и контроля за соблюдением трудового законодательства, включая права должностных лиц, уполномоченных на проведение надзора и контроля в установленной сфере деятельности, а также требования к её осуществлению и порядок проведения инспекционных проверок, подчиняются строгому регламенту. Он установлен Положением о Федеральной службе по труду и занятости, утверждённым Постановлением Правительства РФ от 30.06.04 № 324, Приказом Роструда от 03.06.09 № 127 «О мерах по реализации положений Федерального закона от 26.12.08 № 294-ФЗ „О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля“ (вместе с „Методическими рекомендациями по применению положений Федерального закона от 26.12.08 № 294-ФЗ „О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля““ при осуществлении надзора и контроля за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права»),

Трудовым кодексом РФ, ратифицированными РФ конвенциями Международной организации труда по вопросам инспекции труда, иными федеральными законами, а также решениями Правительства РФ.

Так как ФЗ от 27.12.09 № 365-ФЗ отложил введение в действие ФЗ № 294-ФЗ для Роструда до 1 января 2011 года, порядок инспектирования работодателей пока определяется статьёй 360 ТК РФ, а значит, инспектор имеет право беспрепятственного допуска на любое рабочее место в любое время суток, при этом он может и не уведомлять работодателя о предстоящей проверке.

Роскомнадзор

Как уполномоченный орган по защите прав субъектов персональных данных, а также контролю и надзору за соответствием обработки персональных данных требованиям законодательства, Роскомнадзор осуществляет плановые проверки, а также внеплановые проверки по заявлениям и обращениям физических и юридических лиц, контролю предписаний об устранении нарушений.

На основании ФЗ № 294 Приказом Роскомнадзора от 01.12.09 № 630 утверждён «Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных». Он определяет сроки и последовательность административных процедур, а также порядок взаимодействия с операторами персональных данных в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных.

В ходе проведения проверки Роскомнадзор может обследовать информационные системы ПДн в части, касающейся персональных данных субъектов этих данных, обрабатываемых в ней, а также рассматривать документы оператора. В их числе: уведомление об обработке персональных данных, поступившее от оператора; документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации; документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ; письменное согласие субъекта персональных данных на обработку его персональных данных; документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных; документы, регламентирующие порядок и условия трансграничной передачи персональных данных; документы, регламентирующие порядок обработки персональных данных, осуществляемой без использования средств автоматизации; документы, устанавливающие режим конфиденциальности при обработке персональных данных; документы, содержащие сведения, подтверждающие уничтожение оператором персональных данных субъектов этих данных по достижении цели обработки; локальные акты оператора, регламентирующие порядок и условия обработки персональных данных; документы об иной деятельности, связанной с обработкой персональных данных.

Также регламентом определён примерный перечень документов, запрашиваемых при документарной проверке: учредительные документы оператора; копия уведомления об обработке персональных данных; положение о порядке обработки персональных данных; положение о подразделении, осуществляющем функции по организации защиты персональных данных; должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных; план мероприятий по защите персональных данных; план внутренних проверок состояния защиты персональных данных; приказ о назначении ответственных лиц по работе с персональными данными; типовые формы документов, предполагающие или допускающие содержание персональных данных; журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта этих данных на территорию, на которой находится оператор, или в иных аналогичных целях; договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; выписки из Единого государственного реестра юридических лиц, содержащие актуальные данные на момент проведения проверки; приказы об утверждении мест хранения материальных носителей персональных данных; письменное согласие субъектов ПДн на обработку их персональных данных (типовая форма); распечатки электронных шаблонов полей, содержащие персональные данные; справки о постановке на балансовый учёт персональных компьютеров и иного оборудования, на котором осуществляется обработка персональных данных; заключения экспертизы ФСБ и ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке; приказ о создании комиссии и акты проведения классификации информационных систем персональных данных; журналы (книги) учёта обращений граждан; акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки); иные документы, отражающие исполнение оператором требований законодательства РФ в области персональных данных.

ФСб и ФСТЭК России

Пунктом 3 статьи 19 ФЗ № 152 контроль и надзор за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах ПДн, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, установленных Правительством РФ возлагается на ФСБ и ФСТЭК России, в пределах их полномочий.

ФСБ России является уполномоченным органом в области обеспечения безопасности РФ: при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств; при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в РФ и её учреждениях, находящихся за пределами РФ.

Нормативно-правовое регулирование вопросов противодействия техническим разведкам и технической защиты информации осуществляет ФСТЭК России, на которую возложены функции в области государственной безопасности по вопросам: обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры; противодействия иностранным техническим разведкам на территории РФ; обеспечения защиты (некриптографическими методами) информации с ограниченным доступом, предотвращения её утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях её добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ; защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств; осуществления экспортного контроля.

Федеральный закон № 152 и нормативно-правовые акты, развивающие его положения, обязывают оператора принять множество мер для построения системы защиты персональных данных, как организационного, так и инженерно-технического характера. Причём за нарушение этих требований предусмотрена ответственность, весьма критичная для бизнеса.

Как показывает практика, для большинства операторов построение корректной системы защиты персональных данных требует значительных финансовых, временн`ых и трудовых затрат и является весьма проблематичным. По этой причине перед ними часто возникает дилемма: использовать ресурсы собственных сотрудников или привлекать специальные компании, обладающие необходимыми лицензиями, штатом высококвалифицированных специалистов, опытом и знаниями с учётом специфичности требований федерального законодательства в области ПДн. В любом случае защиту персональных данных обеспечивать необходимо.

Источник: CNews