Управление Роскомнадзора по Астраханской области

О защите персональных данных газете "Волга" рассказал Дмитрий Логинов, руководитель Управления Роскомнадзора по Астраханской области

16 сентября 2010 года

В 1981 году Европейские страны приняли Конвенцию Совета Европы о защите частных лиц применительно к автоматической обработке персональных данных, а затем в 1995 году Директиву Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. Россия, ратифицировав в 2005 году указанную Конвенцию, обязана была принять адекватное национальное законодательство. 27 июля 2006 года Президент Российской Федерации подписал закон № 152-ФЗ "О персональных данных" и 27 января 2007 года он вступил в силу.

Мы спросили у Дмитрия Логинова, руководителя Управления Роскомнадзора по Астраханской области – уполномоченного органа по защите прав персональных данных, как же отразится данный закон на деятельности предприятий, и попросили ответить на ряд вопросов.

Что принципиально изменилось для предприятий с принятием этого закона?

Д.Л. С принятием Закона «О персональных данных» все организации приобрели новый статус – операторов персональных данных. В сферу действия закона подпадают все юридические и физические лица, осуществляющие обработку персональных данных граждан, при этом законодателем определено понятие обработки персональных данных – это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Закон требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечила конфиденциальность всей этой информации.

В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи персональные данные были разглашены без их согласия. Кроме того, виновные лица, нарушившие требования закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Что нужно сделать организации, что бы теперь их деятельность находилась в рамках законности?

Д.Л. Первый шаг – это подать уведомление об обработке персональных данных (или намерении ее осуществления). На основании полученных уведомлений Роскомнадзор, являющийся Уполномоченным органом по защите прав субъектов персональных данных, формирует Реестр операторов, осуществляющих обработку персональных данных.

Процедура включения в Реестр операторов не сложная. Для этого необходимо подать уведомление в Управление Роскомнадзора по Астраханской области. Форму и рекомендации любой желающий может найти на нашем сайте в Интернете 30.rsoc.ru. В прошлом году Роскомнадзор одним из первых реализовал механизм оказания государственной услуги в электронной форме. Так на портале "Персональные данные" pd.rsoc.ru размещена электронная форма уведомления об обработке персональных данных, предоставляющая оператору возможность ее оперативного заполнения с последующим направлением в Управление Роскомнадзора по Астраханской области.

Вторым шагом является получение согласия субъекта на обработку его персональных данных. Под персональными данными понимается любая информация, однозначно связанная с конкретным человеком, включая его фамилию, имя, отчество, год и место рождения, адрес, сведения о семейном, социальном, имущественном, служебном положении, образовании, профессии, доходах и т.п. Основное требование Закона гласит, что всякая обработка персональных данных гражданина осуществляется только с его согласия.

В Законе есть некоторые исключения этого правила, но это действительно исключения и они четко прописаны. Для примера могу назвать несколько: например, при возникновении какой-либо аварийной ситуации для защиты жизни, здоровья и других жизненно важных интересов гражданина, когда получение такого согласия невозможно. Другое исключение - доставка почтовых отправлений, расчеты с гражданами за услуги связи, либо же обработка обезличенных или общедоступных сведений.

Подчеркну, что даже в таких ситуациях, когда согласие получать необязательно, оператор обязан обеспечить сохранность таких данных.

Не все из операторов четко представляют, в каких случаях необходимо высылать уведомление об обработке персональных данных?

Д.Л. Решение о предоставлении уведомления оператор принимает самостоятельно, но важно учитывать, что при проведении проверок или в случае рассмотрения обращений граждан, выявленная необоснованная обработка персональных данных без уведомления будет классифицироваться как нарушение требований федерального законодательства.

Например, оператор принимает решение не уведомлять уполномоченный орган об обработке персональных данных, ссылаясь на такое исключение, как обработка персональных данных субъектов, которых связывают с оператором трудовые отношения. Вместе с тем, кроме обработки персональных данных своих работников, оператором одновременно ведется обработка персональных данных своих клиентов, абонентов, пациентов, пользователей услугами и др. Многие операторы не учитывают осуществление такой обработки и зачастую принимают неверное решение в вопросе уведомления уполномоченного органа, что приводит к нарушению требований закона. Согласно статье 24 Закона «О персональных данных», лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации ответственность. Поэтому для обеспечения защиты конституционных прав и свобод граждан, соблюдения российского законодательства операторам выгоднее действовать в рамках Закона «О персональных данных» и своевременно подать уведомление об обработке персональных данных.

Зачастую управляющие компании или ТСЖ, борясь со злостными должниками жилищно-коммунальных услуг, передают информацию о них, например, имена граждан, их адреса и суммы долга в различные инстанции, а также вывешивают их списки в подъездах, печатают в СМИ. Законно ли это?

Д.Л. Нет. Все, кто имеет дело с персональными данными, обязаны соблюдать конфиденциальность, то есть соблюдать требование не распространять без согласия гражданина или иного законного основания личные данные. В ином случае ответственность могут понести как главные редакторы газет, напечатавшие эти списки, так и директора управляющих компаний, передавшие им персональные данные граждан. Также работодатели не вправе передавать информацию о своих работниках по запросам других организаций при отсутствии у них согласия субъекта персональных данных.

Роскомнадзор сам не может организовать проверку – обязательно нужно получить заявление со стороны. Как гражданину понять, что права его персональных данных нарушены и как проводятся проверки операторов?

Д.Л. Приказом Роскомнадзора от 1 декабря 2009 г. № 630 руководителем Службы утвержден Административный регламент проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства, устанавливающий порядок и основания проведения проверок в области персональных данных.

Регламент закрепил условия и порядок проведения проверок в области персональных данных, в том числе положения, согласно которым: плановые проверки Роскомнадзора проводятся в отношении операторов, осуществляющих обработку персональных данных, вне зависимости от факта включения в реестр операторов; срок проведения проверок для всех операторов установлен в течение 20 дней; внеплановые проверки могут проводиться по фактам нарушения прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных. Нарушение оператором требований законодательства Российской Федерации в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности, при этом внеплановые проверки могут проводиться не только при наличии обращений и заявлений граждан, но также и юридических лиц, индивидуальных предпринимателей, получением Управлением информации от органов государственной власти, из средств массовой информации.

В случае выявления нарушений требований законодательства в области обработки персональных данных оператору выдается предписание об устранении выявленных нарушений, составляется протокол об административном правонарушении, материалы проверки направляются в органы прокуратуры, другие правоохранительные органы, для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

Куда может обратиться гражданин, если считает, что его права нарушены?

Д.Л. Письменные обращения необходимо отправлять на имя руководителя Управления Роскомнадзора по Астраханской области по адресу: 414004, г. Астрахань, ул. Студенческая, д. 3. Для получения более подробной информации можно зайти на наш официальный сайт: 30.rsoc.ru или позвонить по телефону 47-63-75.

Газета "Волга" выпуск № 135 от 14.09.2010

Адрес статьи: http://30.rkn.gov.ru/public/news15954.htm