Более 40 млн. человек «вне закона»
Согласно Федеральному закону № 152-ФЗ «О персональных данных» вступившему в силу с 1 января 2011 года, компании обязаны уведомлять о своем намерении осуществлять обработку персональных данных. Увы, по данным Роскомнадзора на конец января 2011 г. уведомления направили более 170 ты. операторов. Однако, по данным Росстата и Минэкономразвития в России около 109 тыс. крупных и средних компаний (с численностью более 100 сотрудников), более 282 тыс. малых предприятий (численность от 15 до 100 сотрудников). То есть, более чем половина российских компаний, проигнорировала закон № 152-ФЗ.
Это означает что, как минимум персональные данные сотрудников этих предприятий (а это более 35 млн. человек) находятся под угрозой. Ведь если компания не озаботилась уведомлением, то и с защитой данных дела, очевидно, обстоят не лучше. А ведь есть еще и данные клиентов этих предприятий. Есть еще и более 1 млн. микропредприятий (численность до 15 человек), в которых занято более 5 млн. человек.
Итого, персональные данные как минимум 40 млн. человек находятся «вне закона» и они никак не могут быть уверены в достаточной степени их защиты. Хорошее начало действия закона...
Отсрочили ли исполнение закона?
Возможно, эта ситуация связана с тем, что в самом конце прошлого года, 10 декабря, Госдума приняла решение «О внесении изменения в статью 25 Федерального закона «О персональных данных» (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона «О персональных данных»), которое гласит: «информационные системы персональных данных, созданные до до вступления Закона в силу, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года».
Это означает что, как минимум персональные данные сотрудников этих предприятий (а это более 35 млн. человек) находятся под угрозой. Ведь если компания не озаботилась уведомлением, то и с защитой данных дела, очевидно, обстоят не лучше. А ведь есть еще и данные клиентов этих предприятий. Есть еще и более 1 млн. микропредприятий (численность до 15 человек), в которых занято более 5 млн. человек.
Увы, у многих российских компаний (операторов персональных данных) сложилось неправильное толкование, что исполнение закона снова отсрочили. Это не так. Отсрочка в полгода касается только информационных систем, которые были созданы до вступления Закона в силу (то есть до 27.01.2007 г.) и никоим образом не освобождает от необходимости уведомления об осуществлении обработки персональных данных и принятия нормативной документации по работе с ними.
Закон «О персональных данных» действует, но более половины российских компаний этого не делают. Ситуация столь серьезная, что члены Консультативного совета* при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) подготовили специальное обращение к российским компаниям.
Обращение
Членов Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор).
Уважаемые коллеги!
7 ноября 2001 года Российская Федерация подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, возложив на себя обязательства по приведению в соответствие с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных.
В рамках Конвенции 27 июля 2006 года был принят и с 27 января 2007 года вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», обязательный для исполнения всеми юридическими и физическими лицами, осуществляющими обработку персональных данных.
К сожалению, как показала практика, многие представители бизнеса нарушают требования данного Закона. Так, например, в соответствии со статьей 22 закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Исключение составляют только случаи, перечисленные в пункте 2 статьи 22.
До 1 января 2008 года все операторы были обязаны направить уведомления в уполномоченный орган. По данным Роскомнадзора на конец января 2011 г. уведомления направили более 170 тысяч операторов, что значительно меньше прогнозной численности операторов, обязанных направить уведомление.
Возможно, неоднозначность толкования ряда законодательных норм, а также отсутствие специальных знаний в этой области дает возможность юридическим и физическим лицам надеяться на то, что их профессиональная деятельность не содержит действий, подпадающих под нормы данного закона. Некоторые намеренно не регистрируются, надеясь на то, что отсутствие их в государственном реестре операторов позволит избежать проверок. Обе позиции, как вызванные определенным заблуждением, так и умыслом, одинаково опасны для бизнеса. Только всесторонний профессиональный анализ деятельности юридического и физического лица, занимающегося предпринимательской деятельностью, позволяет определить, подпадает ли данное лицо под освобождение от обязанности направить уведомление, предусмотренное пунктом 2 статьи 22 Закона.
Именно поэтому представляется целесообразным решать вопрос о подаче уведомления о намерении осуществлять обработку персональных данных положительно. Включение оператора персональных данных в государственный реестр устанавливает легитимность обработки персональных данных и повышает репутацию.
Подавая уведомление, представители бизнеса не только проявляют лояльность к государству, его решениям, но и предотвращают риск приостановления своей деятельности. Для каждого из нас — представителя бизнеса, чиновника, клиента, просто гражданина Российской Федерации безопасность предоставляемой личной информации является одним из важнейших факторов. Неприкосновенность частной жизни, личной и семейной тайны — наше конституционное право и профессиональная обязанность, вне зависимости от вида деятельности, которой мы занимаемся.
Очевидно, что клиенты при выборе бизнес-контрагента отдадут предпочтение надежной компании с безупречной деловой репутацией. А направление уведомления — это только первый шаг в сторону правильной организации работы с персональными данными. Исполнение любого закона — это не только гражданская позиция, но и уверенность клиентов в будущем деятельности вашей бизнес-структуры.
Серьезным заблуждением является мнение о том, что действие закона «О персональных данных» перенесено на 01.07.2011 года. Это не соответствует действительности, так как касается только приведения в соответствие с законодательными нормами тех информационных систем, которые были созданы до вступления Закона в силу, то есть до 27.01.2007 г., что ни каким образом не освобождает от необходимости иметь нормативно-распорядительную документацию по организации работы с персональными данными в компании. Члены Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор), осознавая всю серьезность проблемы, настоятельно рекомендуют всем представителям бизнеса, вне зависимости от объемов обрабатываемых персональных данных и организационно-правовой формы оператора, внимательно рассмотреть нормы Федерального закона № 152-ФЗ «О персональных данных» и организовать работу с персональными данными в соответствии с требованиями законодательства.
Источник: «Global CIO»