Основным правовым актом, регулирующим отношения в сфере защиты персональных данных, является Федеральный закон от 27.07.2006г. №152-ФЗ «О персональных данных» (далее - Федеральный закон №152-ФЗ). Обратите внимание, что данный Закон был принят 27.07.2006г., вступил в силу в соответствии с ч.1 ст.25 этого документа по истечении 180 дней после дня официального опубликования (опубликован в «Российской газете» 29.07.2006г.). С начала действия рассматриваемого Закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется согласно ему. Однако информационные системы персональных данных, созданные до дня вступления Закона в силу, должны быть приведены в соответствие с его требованиями не позднее 01.01.2010г. Таким образом, в настоящее время постепенно завершается переходный период по внесению необходимых изменений в существующие информационные системы персональных данных.
Данный Закон принят в обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных и имеет целью защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
Под персональными данными согласно законодательству понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператором выступает государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки.
В соответствии со ст.7 Федерального закона №152-ФЗ операторы и третьи лица, получающие доступ к персональным данным, должны обеспечивать их конфиденциальность. В данном Законе также разъясняется, что конфиденциальность персональных данных представляет собой обязательное требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Не требуется обеспечивать конфиденциальность персональных данных:
- в случае обезличивания персональных данных. Под обезличиванием персональных данных понимаются действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;
- в отношении общедоступных персональных данных. К таким данным в соответствии с Законом относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Во всех остальных случаях конфиденциальность персональных данных должна обеспечиваться в полном объеме.
Ст.24 Федерального закона №152-ФЗ предусматривает ответственность за нарушение требований настоящего Федерального закона.
Так, лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную (ст.137, 272 Уголовного кодекса РФ), административную (ст.5.39, 13.11, 13.14 Кодекса РФ об административных правонарушениях), дисциплинарную (ст.192 Трудового кодекса РФ) и иную предусмотренную законодательством Российской Федерации ответственность.
Например:
- Ст.137 Уголовного кодекса РФ предусматривает ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации в виде штрафов в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
- Ст.13.11 Кодекса РФ об административных правонарушениях предусмотрена ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или наложения административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
- Ст.192 Трудового кодекса РФ за совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) увольнение по соответствующим основаниям.
Законодательством Российской Федерации ответственность за надлежащую защиту персональных данных возлагается на организации, в которых персональные данные обрабатываются. Уполномоченным органом по контролю за соблюдением законодательства о персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Роскомнадзор проводит плановые (целевые, комплексные) проверки, а также проверки по жалобам и обращениям физических и юридических лиц. Проверки систем защиты персональных данных могут также осуществляться ФСТЭК России или ФСБ России при проведении контроля систем защиты конфиденциальных данных или использования криптосредств. При обнаружении неправомерных действий с персональными данными их обработка должна быть прекращена до устранения выявленных нарушений.
Таким образом, всеми организациями и физическими лицами на территории Российской Федерации должен обеспечиваться требуемый уровень безопасности персональных данных. Лица, виновные в нарушении требований, несут предусмотренную законодательством Российской Федерации ответственность.
На вопрос отвечала аудитор ООО «Аудиторская консалтинговая компания «Ветар» Прошина Екатерина Александровна.
т.550-87-88
Posts: 2
Reply #2 on : Thu April 05, 2012, 14:30:37