В целях дополнительной защиты сведений о гражданах в Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ были внесены существенные поправки, вступившие в силу с 1 июля 2011 года (см. Федеральный закон от 25 июля 2011 г. № 261-ФЗ).
Изменилось само понятие персональных данных, под которыми теперь понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 закона № 152-ФЗ).
Строительная компания, обрабатывающая такие данные, по своему статусу соответствует понятию оператора.
Под обработкой персональных данных понимается любое действие (операция) с персональными данными, совершаемое с применением средств автоматизации или без их применения. К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование данных и т. д.
Введено понятие автоматизированной обработки персональных данных, а также соответствующее нормативное регулирование.
Уточнены принципы обработки сведений (ст. 5 закона № 152-ФЗ).
Закреплено, что обработка должна ограничиваться достижением конкретных, заранее определенных целей. При этом обрабатываемые данные не должны быть избыточными. Если срок хранения персональных сведений не установлен (законом, договором), хранить их нужно не дольше, чем этого требуют цели обработки. После чего данные подлежат уничтожению либо обезличиванию.
Новшеством является также то, что регламентирован порядок поручения обработки персональных данных третьему лицу. Компания вправе это сделать с согласия работника на основании заключаемого с третьим лицом договора (поручения оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора (компании-работодателя), обязано соблюдать принципы и правила такой операции, предусмотренные законом № 152-ФЗ.
В поручении должны быть определены перечень действий с данными и цели их обработки, а кроме того, установлена обязанность третьего лица соблюдать конфиденциальность этих сведений и обеспечивать безопасность при их обработке. Ответственность перед субъектом персональных данных за действия указанного лица будет нести сама компания. А лицо, осуществляющее обработку информации по ее поручению, несет ответственность перед компанией.
В закон № 152-ФЗ введена новая статья 18.1. В ней предусмотрены меры, направленные на обеспечение обновленных требований. Работодателю следует определить перечень мер, необходимых для выполнения обязанностей по обработке персональных данных. Он должен включать:
– назначение лица, ответственного за организацию обработки персональных данных;
– издание компанией документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки таких сведений и предотвращения (устранения) нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля соответствия обработки персональных данных указанному закону и принятым на основании его нормативным правовым актам;
– оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
– ознакомление работников компании, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства о защите персональных данных, локальными актами по указанным вопросам и обучение этих работников.
Обратите внимание: строительной организации теперь помимо Положения по защите персональных данных работников, которое следовало принять в соответствии с Трудовым кодексом РФ, необходимо разработать новый документ – Политику в отношении обработки персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
– определением угроз безопасности данных при их обработке в информационных системах;
– применением организационных и технических мер;
– учетом машинных носителей персональных данных;
– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
– восстановлением данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
– установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с ними в информационной системе;
– контролем за уровнем защищенности информационных систем.
Не следует забывать и о том, что в настоящее время действуют документы:
– приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
– Методика определения актуальных угроз безопасности персональных данных … утвержденная ФСТЭК России 14 февраля 2008 г.;
– Базовая модель угроз безопасности персональных данных… утвержденная ФСТЭК России 15 февраля 2008 г.
Учтите: по запросу уполномоченного органа по защите прав субъектов персональных данных строительная фирма обязана представить документы и локальные акты или иным образом подтвердить принятие соответствующих мер.
>|Образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19 августа 2011 г. № 706.|<
По общему правилу уведомить Роскомнадзор об осуществлении обработки персональных данных обязаны все операторы, которые этим занимаются (п. 1 ст. 22, п. 4 ст. 25 закона № 152-ФЗ). Однако есть и исключения. Они приведены в пункте 2 статьи 22 закона № 152-ФЗ. Например, если строительная компания имеет дело лишь с личными данными работников (обрабатываемыми в соответствии с трудовым законодательством), указанное требование на нее не распространяется.
Необходимым условием является получение согласия работника на обработку его персональных данных. Порядок его получения определен в статье 9 закона № 152-ФЗ (он стал более четким):
– согласие должно быть конкретным, информированным и сознательным;
– оно может быть дано физлицом или его представителем в любой позволяющей подтвердить факт его получения форме, в том числе в форме электронного документа, подписанного электронной цифровой подписью.
В нем нужно указать:
– фамилию, имя, отчество, адрес, данные документа, удостоверяющего личность гражданина;
– те же данные – о представителе при его наличии);
– наименование или фамилию, имя, отчество и адрес оператора, получающего согласие человека на обработку его данных;
– цель обработки данных;
– перечень персональных данных, на обработку которых дается согласие;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
– перечень действий, на совершение которых дается согласие, общее описание используемых способов обработки;
– срок, в течение которого действует согласие, а также способ его отзыва;
– подпись субъекта персональных данных (физлица).
Внесены дополнения и в части наказания за нарушение требований закона № 152-ФЗ.
За совершение дисциплинарного проступка в процессе исполнения трудовых обязанностей (нарушение уполномоченным лицом условий о неразглашении персональной информации, о принятии мер по сохранности, недопущению распространения информации и т. д.) работодатель имеет право применить следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям (ст. 192 Трудового кодекса РФ).
Новшеством являются положения о компенсации морального вреда. Так, моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав из-за нарушения правил обработки персональных данных, а также требований к их защите, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, согласно статье 13.11 Кодекса РФ об административных правонарушениях, влечет предупреждение или наложение штрафа: на граждан в размере от 300 до 500 руб.; на должностных лиц – от 500 до 1000 руб.; на юридических лиц – от 5000 до 10 000 руб.
За разглашение информации, доступ к которой ограничен федеральным законом, статьей 13.14 Кодекса РФ об административных правонарушениях предусмотрен штраф: для граждан в размере от 500 до 1000 руб.; для должностных лиц – от 4000 до 5000 руб.
За нарушение неприкосновенности частной жизни грозит уже уголовная ответственность (п. 1 ст. 137 Уголовного кодекса РФ). Так, незаконный сбор или распространение сведений о человеке (его семье) без его согласия либо публичное распространение этих сведений наказывается:
– штрафом до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;
– обязательными работами на срок от 120 до 180 часов;
– исправительными работами на срок до одного года;
– арестом на срок до четырех месяцев;
– лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью в течение срока до трех лет.
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, согласно пункту 1 статьи 272 Уголовного кодекса РФ, предусматривает схожие меры (штраф, обязательные или исправительные работы и т. д.). Различие в том, что среди них нет ареста и запрета занимать определенные должности.
Важно запомнить
Статья напечатана в журнале "Учет в строительстве" №12, декабрь 2011 г.
Комментарии
1Работник, категорически отказался подписывать какое либо согласие?! Дальше, что?