В 2006 году в силу вступил закон о персональных данных 152 ФЗ. Этот проект повлек за собой изменения в организации, использовании и хранении частной информации. Хотя с момента утверждения прошло уже 13 лет, остается множество вопросов касаемо наполнения этого законопроекта.
Содержание
Сфера действия постановления — контроль над личной информацией, которой обладают следующие виды структур:
Нормы ФЗ №152 контролируют во всех государственных и коммерческих организациях конфиденциальность ПДн, принадлежащих конкретному физическому лицу. Однако под действие закона не попадают следующие категории:
Таким образом, ФЗ №152 обязует хранителей персональной информации поддерживать неразглашение личных сведений физлица.
Суть нормативного акта состоит в том, что на каждого оператора личных данных гражданина распространяется ответственность за работу с персональной информацией.
Требования постановления заключаются в следующих аспектах:
Контролируют соблюдение всех условий закона государственные организации:
У законопроекта три действующие стороны: организация, использующая ПДн, лицо, которому они принадлежат, и исполнительные органы, следящие за правоотношениями участников.
В 3 части ФЗ говорится: «Любые сведения, которые относятся к конкретному физическому лицу, являются персональными».
В этом перечне данные:
Причем вне зависимости от общественной доступности, важно лишь то, что информация касается определенного индивида.
Действия, которые попадают под определения обработки персональных данных — это работа с личной информацией клиента в автоматизированном либо ручном режиме. Сюда относятся:
Все эти действия выполняются оператором исключительно конфиденциально.
Согласно закону ФЗ 152 от 27.07 2006 года, а именно 7 и 8 параграфу, оператором считается государственная или частная организация, которая проводит хотя бы одну операцию, попадающую в перечень.
Если госорган или юридическое лицо признаны оператором, то они заключают соглашение на обработку с владельцем. В противном случае действия организации окажутся нарушением, что повлечет за собой наказание со стороны контролирующих органов.
Под действие Федерального закона попадают организации, признанные операторами ПД. При этом личная информация делится на следующие типы:
Если общество имеет хотя бы одну из перечисленных категорий, то оно попадает под действие закона.
Перед работой с личными сведениями оператор получает согласие субъекта на обработку. Это прописано в 14 параграфе законопроекта. Во избежание бюрократических неурядиц разрешение физического лица на передачу личной информации дается в письменном виде. При этом субъект проинформирован, для каких целей это необходимо.
Согласием является публичная оферта. При совершении покупки в интернет-магазине покупатель автоматически дает разрешение на использование личных сведений продавцу. После согласия вступает в силу 22 пункт закона.
Если владелец данных признан недееспособным, то согласие на обработку подписывает законный представитель гражданина.
2 параграф ФЗ 152 2006 г. о персональных данных проводит разъяснение о тех случаях, когда согласие на обработку данных не требуется. Организация может безнаказанно работать с личной информацией в следующих случаях:
Безнаказанное использование информации разрешено государственным структурам, поэтому органы контроля реже проверяют правительственных операторов, а внимательней следят за частными компаниями.
Статьи под номерами 5 и 6 в ФЗ-152 гласят о возможных принципах и условиях обработки частных сведений. Постановление предусматривает перечень ситуаций, при которых используют личную информацию, а также регулирует правила обработки.
Согласно законопроекту о персональных данных оператор в своей работе придерживается следующих принципов:
Частная информация используется в конкретных условиях:
В случаях, если организация возлагает работу по обработке частных сведений на третье лицо, ответственность полностью переходит на компанию, занимающуюся использованием и хранением информации.
В 18, 18.1, 19 параграфах ФЗ-152 сообщается, что вся ответственность за безопасность и сохранность частной информации полностью ложится на оператора. При использовании личных сведений физического лица организации должны быть уверены, что проводимая ими работа конфиденциальна, а утечки быть не может.
Помимо этого, операторы должны проводить профилактические действия для обнаружения возможных слабых мест в защитной системе и улучшения своей политики конфиденциальности.
Также органами государственной власти устанавливаются следующие параметры, влияющие на безопасность личных сведений:
Все требования для поддержания безопасности хранения и использования данных должны своевременно выполняться оператором. За этим процессом пристально следят контролирующие органы.
За время своего существования с 2006 года этот Федеральный Закон претерпевал многочисленные изменения, правки и всевозможные комментарии.
Первое краткое дополнение к законопроекту было добавлено в 2009 году вместе с принятием ФЗ под номером 363. Это изменение повлияло на цифровую систему обработки. Все операторы с 2010 г. должны были перейти на единую программу хранения и использования частной информации.
Новое изменение вступило в силу в июле 2011 года. Эта поправка концентрировалась на поправке многих положений закона. Уточнялись условия попадания информации, пояснялись нормы, касающиеся передачи сведений, расширялся регламент принципов. Также большое внимание уделялось соблюдению правил безопасного применения и хранения данных, ужесточились наказания за несоблюдение норм, прописанных в постановлении.
Последнее на данный момент изменение в ФЗ-152 было утверждено в феврале 2017 года. Это дополнение перенесло нарушение условий законопроекта в разряд административных преступлений. С момента внесения поправки недобросовестные операторы начали караться рублем. Штраф за несоответствие ФЗ-152 начал составлять сумму от 40 000 до 75 000 рублей, в зависимости от категории нарушения.
Именно изменение закона в 2011 году позволило Российскому Центробанку иметь дело с документами, которые тем или иным образом касаются обработки личных данных. Однако в связи с этим возникло несколько законодательных конфликтов. Дело в том, что условия ФЗ-152 начали конфликтовать с некоторыми положениями «Стандарта Банка России».
Основной конфликт двух государственных документов произошел в связи с методами безопасного хранения конфиденциальной информации. ФЗ-152 приемлет только те виды защиты данных, которые прописаны в его регламенте. В то время как Банк России пользуется совершенно иными средствами. К этому следует добавить также понятийное несоответствие. Так, под определение клиентских сведений попадают все платежные процессы, что делает их совершение более затруднительным.
Поэтому до сих пор выполнение требований закона «О персональных данных» структурами банка не до конца регламентировано и ждет более четких сводов прав и обязанностей.
Роскомнадзор — та самая структура, которая отвечает за контроль всех возможных операторов.
В ее функции входит:
Помимо функций, связанных с поддержанием федерального постановления, Роскомнадзор участвует в улучшении, а также уточнении ФЗ-152. Происходит это путем выдвижения на рассмотрение законодательных инициатив. Хотя, по сути, Роскомнадзор все еще остается исключительно исполнительным органом власти.
Незнание законов не освобождает от ответственности. Поэтому, чтобы организации, признанной оператором, не нарушить законопроект, следует защитить себя всеми возможными способами:
Согласно ФЗ-152 все операторы должны состоять в особом списке. Поэтому организации, так или иначе взаимодействующие с личными сведениями клиентов, должны заполнить бланк в Роскомнадзоре о своем намерении использовать и хранить частную информацию.
Если организация обрабатывает ПДн своих подчиненных, подавать заявление необязательно.
При несоблюдении аспектов закона, согласно его 21 статье, операторы данных будут наказаны следующими штрафами:
Суммы штрафов суммируются при нарушении нескольких пунктов одновременно, притом физическое лицо, которому принадлежала информация, может подать на организацию в суд для возмещения морального ущерба. Помимо наказания рублем, Роскомнадзор вправе заблокировать сайт оператора персональных данных. Уголовное наказание отсутствует.
Принятие законопроекта и его глобальная поправка вызвали массу судебных отзывов.
Первая жалоба была отправлена в Конституционный Суд Российской Федерации. Истец заявлял, что ФЗ-152 противоречит основному принципу Конституции РФ, то есть праву на частную жизнь. Суть иска заключалась в том, что исполнительные органы будут иметь доступ к личным сведениям без разрешения их владельца. И по приказу им будет доставлены сведения. Однако на заявление истца суд ответил отказом, так как посчитал, что персональные данные не подходят под определение «Частная жизнь», ведь субъект сознательно делится ими с оператором.
Следующее судебное разбирательство было связано с размещением личных данных гражданина в региональной газете. Редакция позволила себе упомянуть на своих страницах частную информацию об истце без его согласия. В ответ на этот текст гражданин отправил иск в Верховный Суд Российской Федерации с требованием закрыть печатное СМИ. В результате слушания суд решил в принудительном порядке закрыть газету.
С помощью таких судебных разбирательств ФЗ-152 получал необходимые изменения, которые вошли в глобальную поправку законопроекта в 2011 году. Судебные разбирательства длятся по 2021 год.
Из-за того, что Федеральный закон «О Персональных данных» все еще размыт в своих определениях, возникли заблуждения, которые с постановлением не имеют ничего общего.
Первый миф. Если клиентская база данных находится в облачном хранилище, то согласно условиям ФЗ-152 ответственность перейдет на компанию, которая это хранилище обслуживает.
Нет, оператором по-прежнему остается организация, поместившая сведения в «облако». Дело в том, что интернет-хранилища — это накопители данных. У компании-владельца «облака» нет права использовать файлы своих клиентов. Поэтому хранилище отвечает за персональные данные. Это все равно, что надеяться на флеш-карту.
Второй миф. Если организация использует последнюю версию антивируса на своем ресурсе, это считается соблюдением ФЗ-152 2006 г.
Нет. Главное содержание законопроекта в том, чтобы защищать исключительно персональные данные физических лиц, а так как базы данных не хранятся на публичных сайтах, то и использование антивируса не считается защитой частных сведений. Хорошо, когда компании с ответственностью подходят к своей безопасности, но лучше доверить защиту личной информации профессионалам.
Юристы убеждены, что Федеральный закон «О Персональных данных» ждет еще не одна поправка. Но несмотря на это ФЗ-152 уже на протяжении 13 лет практикуется в нашей исполнительной системе. Каждый год по причине несоответствия закону закрываются новые сайты, а их владельцам выписывают штрафы.
Заказать бесплатную консультацию юриста