С 1 января 2010 года в России вступил в силу закон «О защите персональных данных». Тревоги бизнеса связаны, прежде всего, с тем, что закон вводит новый затратный механизм. Сейчас средний и малый бизнес уже активно использует достижения IT-индустрии, то есть непосредственно с персональными данными. Мы спросили у Елены Коровкиной, заместителя руководителя Управления Роскомнадзора по Кировской области, как же он отразится на деятельности предприятий.
Необходимость этого закона, и в связи с чем она возникла?
- Европейские страны приняли в 1981 году Конвенцию Совета Европы о защите частных лиц применительно к автоматической обработке персональных данных, а затем в 1995 году Директиву Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. Россия, ратифицировав в 2005 году указанную Конвенцию, обязана была принять адекватное национальное законодательство.
27 июля 2006 года Президент Российской Федерации подписал закон № 152-ФЗ "О персональных данных" . 27 января 2007 года он вступил в силу.
В сферу действия этого нормативного акта подпадают все юридические и физические лица, на попечении которых находятся приватные сведения других граждан. Закон требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечила конфиденциальность всей этой информации.
В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы. Кроме того, виновные лица, нарушившие требования закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Что принципиально изменилось для предприятий с принятием этого закона?
- С принятием Закона "О персональных данных" перед организациями встала проблема по применению новых подходов к защите конфиденциальной информации, к которой относятся персональные данные граждан. Все организации приобрели новый статус – операторов персональных данных.
Что нужно сделать организации, что бы теперь их деятельность находилась в рамках законности?
- Первый шаг – это подать уведомление об обработке персональных данных (или намерении ее осуществления). На основании полученных уведомлений Роскомнадзор, являющийся Уполномоченным органом по защите прав субъектов персональных данных, формирует Реестр операторов, осуществляющих обработку персональных данных.
Процедура включения в Реестр операторов не сложная. Для этого необходимо подать уведомление в Управление Роскомнадзора по Кировской области. Форму и рекомендации любой желающий может найти на нашем сайте в Интернете – 43.rsoc.ru. В прошлом году Роскомнадзор одним из первых реализовал механизм оказания государственной услуги в электронной форме. Так на портале "Персональные данные" (pd.rsoc.ru) размещена электронная форма уведомления об обработке персональных данных, предоставляющая оператору возможность ее оперативного заполнения с последующим направлением в Управление Роскомнадзора по Кировской области.
Вторым шагом является получение согласия субъекта на обработку его персональных данных. Под персональными данными понимается любая информация, однозначно связанная с конкретным человеком, включая его фамилию, имя, отчество, год и место рождения, адрес, сведения о семейном, социальном, имущественном, служебном положении, образовании, профессии, доходах и т.п. Основное требование Закона гласит, что всякая обработка персональных данных гражданина осуществляется только с его согласия.
В Законе есть некоторые исключения этого правила, но это действительно исключения и они четко прописаны. Для примера могу назвать несколько: например, при возникновении какой-либо аварийной ситуации для защиты жизни, здоровья и других жизненно важных интересов гражданина, когда получение такого согласия невозможно. Другое исключение - доставка почтовых отправлений, расчеты с гражданами за услуги связи, либо же обработка обезличенных или общедоступных сведений.
Подчеркну, что даже в таких ситуациях, когда согласие получать необязательно, оператор обязан обеспечить сохранность таких данных.
В соответствии со статьей 19 Закона оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
С чего же следует начинать?
- Начинать надо с четкого определения трех позиций, от которых, в основном, и будет зависеть соблюдение требований Закона (кстати, и величина затрат на защиту персональных данных): категории обрабатываемых персональных данных, их объем и цели обработки. Для того чтобы обеспечить соблюдение требований Закона, придется существенно изменить работу с информацией и документацией, содержащей персональные данные. В каждой организации должен быть достаточно объемный пласт документации, связанной с получением согласия физических лиц на обработку их персональных данных, с документированием всех операций с персональными данными и т.д. Необходимо выделять содержащие персональные данные документы и информацию; вести их отдельный учет и отслеживать доступ к ним. При работе с персональными данными необходимо заранее четко продумывать и фиксировать в нормативных документах все, что связано с их обработкой. Законом введены весьма жесткие сроки исполнения всех обращений граждан, связанных с обработкой персональных данных. Деятельность по организации работы с персональными данными связана и с проектированием технических решений, направленных на защиту персональных данных, и их реализацией в информационных системах. Именно комплексный подход, включая организационно-правовое и техническое направления, сможет обеспечить защиту обрабатываемых в организации персональных данных, а также навести порядок в этой сфере и поставить под контроль состояние дел с обработкой персональных данных.
Сколько стоит компании подогнать свои системы в соответствии с новым законодательством?
- Персональные данные, обрабатываемые в информационной системе, подразделяются на категории. К четвертой относятся обезличенные и общедоступные - это имя, отчество, фамилия. У некоторых людей они полностью совпадают. Если к ним добавлены год рождения, место жительства, данные, позволяющие однозначно идентифицировать личность, они относятся к третьей категории. Ко второй - сведения, позволяющие получить дополнительную информацию о человеке, например, о его родственниках. Биометрические персональные данные, сведения о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни относятся к первой категории.
Чем выше категория, тем жестче требования к условиям хранения, обработке и передаче информации, тем дороже стоит и защита таких информационных систем. Самое простое программное обеспечение для защиты персональных данных стоит от 60 тысяч и выше.
Сколько предприятий Кировской области уже зарегистрировано в реестре операторов?
- Пока из примерно 86 тысяч юридических лиц и индивидуальных предпринимателей, осуществляющих свою деятельность на территории Кировской области, зарегистрировались в качестве операторов персональных данных в едином общероссийском "Реестре операторов, осуществляющих обработку персональных данных" только 2200 организаций. Значит, остальные находятся в "группе риска", связанного с санкциями государственных органов, входящих в систему контроля и надзора за обработкой персональных данных. На сегодняшний день Управление Роскомнадзора по Кировской области применяет меры административного реагирования к тем оператором, обрабатывающим персональные данные, которые не подают уведомления об обработке персональных данных. Для должностных лиц штраф составляет от 300 до 500 рублей, а для юридических лиц от 3 до 5 тысяч рублей.
Охотно ли организации идут навстречу такому нововведению? Расскажите, какие возникают трудности?
- Самые большие трудности возникают в связи с тем, что многие организации не воспринимают персональные данные, как нечто ценное, нуждающееся в защите и охране. В нашей стране до сих пор принято везде и по всякому поводу требовать излишние данные, являющиеся избыточными для конкретных отношений. Например, далеко неочевидной является необходимость предоставления данных о месте жительства, телефоне и полном имени как обязательном условии при оформлении дисконтной карты в магазине.
Во многих организациях, да и не только, а также в органах государственной власти и местного самоуправления отсутствует понимание того, что с принятием Закона они приобрели статус оператора персональных данных, а вместе с ним и значительное количество обязанностей, и ответственность за их не выполнение.
Одной из главных причин массового неисполнения закона является не безответственность руководителей и специалистов, а скорее юридическая неграмотность и банальный дефицит информации.
Каким образом можно поставить заслон от утечки информации о гражданах?
- До тех пор, пока в организациях не будет уделяться достаточного внимания вопросам защиты информационных систем, в том числе содержащих персональные данные граждан, а также ограничение доступа персонала, которым сведения, содержащие персональные данные граждан, совершенно не нужны для исполнения своих прямых обязанностей, избежать утечки персональных данных вряд ли получится.
Утечки персональных данных представляют реальную опасность для большинства организаций и предприятий и наносят серьезный вред имиджу. Как известно, основным каналом утечек уже похищенных баз данных являются все же не внешние атаки хакеров, а внутренние злоупотребления. Во многом утечки персональных данных связаны с ошибками, которые допускаются организациями при защите своих информационных систем и работе с персоналом, имеющим доступ к работе с информацией персонального характера.
В соответствии с Законом против операторов персональных данных, надлежащим образом не обеспечивших защиту данного вида конфиденциальной информации возможны судебные иски. Не надо забывать, что для операторов в случае утечки персональных данных существует еще один риск – потеря деловой репутации.
Насколько я знаю, Роскомнадзор сам не может организовать проверку – обязательно нужно получить заявление со стороны. Как гражданину понять, что права его персональных данных нарушены? И были ли такие заявления в Кировской области?
- Приказом Роскомнадзора от 1 декабря 2009 г. № 630 руководителем Службы утвержден Административный регламент проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства, устанавливающий порядок и основания проведения проверок в области персональных данных.
Регламент закрепил условия и порядок проведения проверок в области персональных данных, в том числе положения, согласно которым: плановые проверки Роскомнадзора проводятся в отношении операторов, осуществляющих обработку персональных данных, вне зависимости от факта включения в реестр операторов; срок проведения проверок для всех операторов установлен в течение 20 дней; внеплановые проверки могут проводиться по фактам нарушения прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных. Нарушение оператором требований законодательства Российской Федерации в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности, при этом внеплановые проверки могут проводиться не только при наличии обращений и заявлений граждан, но также и юридических лиц, индивидуальных предпринимателей, получением Управлением информации от органов государственной власти, из средств массовой информации.
В случае выявления нарушений требований законодательства в области обработки персональных данных оператору выдается предписание об устранении выявленных нарушений, составляется протокол об административном правонарушении, материалы проверки направляются в органы прокуратуры, другие правоохранительные органы, для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
На сегодняшний день, по результатам проверок в прокуратуру Кировской области направлено пять материалов для принятия мер прокурорского реагирования.
Что касается обращений граждан, то в 2010 году их поступило 4. В основном, граждане жалуются на те организации, которые затребовали с них персональные данные, не объяснив до конца, как и зачем в дальнейшем они будут использоваться.
На какие правоотношения не распространяется действие закона?
- Действие Закона не распространяется на отношения, возникающие при: обработке персональных данных физическими лицами исключительно для личных и семейных нужд; организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации; обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах; обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; представленными уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 № 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".