Летом этого года Федеральный закон от 20.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) претерпел значительные изменения. В связи с новшествами у организаций, осуществляющих обработку персональных данных, возникают вопросы. С просьбой осветить концептуальные нормативные положения в данной сфере мы обратились к исполняющему обязанности начальника управления по защите прав субъектов персональных данных Роскомнадзора Юрию Контемирову.
Что изменилось в Законе о персональных данных с вступлением в силу Федерального закона от 25.07.2011 № 261-ФЗ? Какие категории операторов в наибольшей степени ощутили на себе эти новеллы?
Уточнены сфера действия Закона о персональных данных, используемые в нем основные понятия, принципы и условия обработки данных. Существенно переработаны нормы, касающиеся мер по обеспечению безопасности данных и их трансграничной передачи, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.
Теперь закон подробно регулирует вопросы, связанные с обращением субъекта персональных данных и уполномоченного органа по их защите к оператору, а также с поручением оператора другому лицу осуществлять обработку персональных данных, включая ответственность оператора перед субъектом персональных данных в случае такого поручения.
Для того чтобы выполнить обязанности по обработке персональных данных, оператор должен принять необходимые и достаточные меры, в частности: определить политику в отношении обработки персональных данных, назначить лиц, ответственных за такую обработку, принять локальные нормативные акты, провести внутренний контроль или аудит соответствия обработки персональных данных федеральному законодательству и требованиям к их защите, оценить вред, который может быть причинен субъектам персональных данных в случае нарушения указанных требований.
Определен перечень мер, направленных на повышение безопасности персональных данных при их обработке. Предусматривается, что уровни защищенности персональных данных при обработке в информационных системах персональных данных, требования к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем устанавливает Правительство РФ.
Ассоциации, союзы и иные объединения операторов вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке.
Отметим также, что теперь Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных вправе осуществлять судебную защиту прав и законных интересов не только конкретных граждан — субъектов персональных данных, но и неопределенного круга лиц.
Расширены права в вопросах сотрудничества с уполномоченными органами иностранных государств: служба будет утверждать перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных.
Анализируя изменения, внесенные в закон, можно сказать, что они в той или иной степени затронут всех операторов персональных данных.
Насколько обновленный закон соотносится с международными требованиями, предъявляемыми к обработке и защите персональных данных?
Российская Федерация 7 ноября 2001 г. подписала Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», взяв тем самым на себя обязательства привести деятельность в области защиты прав субъектов персональных данных в соответствие с нормами европейского законодательства.
В Законе о персональных данных закреплены все общепризнанные европейским сообществом принципы обработки персональных данных.
Таким образом, положения основного российского закона вполне соответствуют нормам общеевропейского права.
В октябре 2011 г. стартует проект по предоставлению госуслуг в электронном виде. Насколько эффективны системы защиты, закрепленные Законом о персональных данных? Можно ли с уверенностью сказать, что в процессе получения государственных услуг исключена утечка таких данных?
Вопрос защиты прав и законных интересов пользователей портала как субъектов персональных данных — один из приоритетных. На сегодняшний день он успешно решается: деятельность портала отвечает установленным требованиям конфиденциальности и безопасности персональных данных.
Повлияют ли законодательные изменения на защиту персональных данных в трудовых отношениях? Появились ли новые обязательства у работодателей по защите таких данных? Насколько кардинально надо модернизировать в организации IT-структуру, чтобы она удовлетворяла требованиям закона?
В новой редакции Закона о персональных данных предусмотрены изменения, затрагивающие сферу трудовых отношений.
Во-первых, в ст. 22 конкретизировано исключение, позволяющее оператору обрабатывать персональные данные без уведомления. Подчеркну, что данное исключение распространяется только на перечень персональных данных, установленный трудовым законодательством.
Также в законе установлена обязанность оператора в случае привлечения сторонних лиц получать согласие субъектов на обработку персональных данных. Это существенно минимизирует случаи несанкционированной передачи оператором персональных данных работников сторонним лицам для ведения кадрового или бухгалтерского учета.
Вторым важным аспектом новой редакции можно считать обязанность операторов принимать внутренние акты, регламентирующие их деятельность по обработке персональных данных. В таких актах должны быть закреплены основные условия, порядок, перечень обрабатываемых данных работника, а также ответственность уполномоченных должностных лиц за нарушение режима конфиденциальности при обработке данных.
Что касается модернизации IT-структуры, соответствующие нормы закона в новой редакции не претерпели существенных изменений.
Какие нарушения обычно выявляются в ходе проверок?
Как показали результаты выборочного анализа материалов проверок, проведенных в 2010 г. и за восемь месяцев 2011 г., операторы в большинстве своем не выполняют требования ч. 1 ст. 6 и ст. 22 Закона о персональных данных и обрабатывают данные без согласия субъектов таких данных. Нарушается также ч. 3 и 7 данной нормы: сведения, указанные в уведомлении об обработке персональных данных, не соответствуют фактической деятельности. Распространено нарушение ч. 4 ст. 9 — несоответствие содержания письменного согласия на обработку данных требованиям закона.
Кроме того, не выполняются требования Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687. Речь идет, в частности, о непринятии мер по исключению несанкционированного доступа к обрабатываемым персональным данным.
Лидерами по числу нарушений законодательства о персональных данных, выявленных при рассмотрении жалоб граждан, считаются организации жилищно-коммунального хозяйства, средства массовой информации, кредитные организации.
Для сферы ЖКХ типичны жалобы на действия, связанные с предоставлением доступа неограниченного круга лиц к персональным данным граждан (размещение различных списков, содержащих персональные данные граждан, имеющих задолженность по оплате коммунальных услуг). Средства массовой информации обычно нарушают требования закона в части, касающейся опубликования персональной информации без соответствующего согласия. Наконец, в деятельности кредитных организаций подтверждаются факты неправомерной передачи персональных данных граждан третьим лицам (коллекторским агентствам), а также продвижения услуг без предварительного согласия граждан.