Начальник департаменту розвитку інформаційних систем компанії ЕОС Іван Ськородумов: «АИС МФЦ ДЕЛО готова до підтримки будь-яких державних ініціатив в частині надання електронних держпослуг населенню»
Визначення понять «оператор» і «обробка персональних даних» містяться в ст. 3 ФЗ «Про персональних даних»:
обробка персональних даних - це «дії (операції) з персональними даними, включаючи збір, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, поширення (в тому числі передачу), знеособлення, блокування, знищення персональних даних» (п . 3 ст. 3 ФЗ «Про персональних даних»).
З викладених визначень слід, що оператором персональних даних може бути абсолютно будь-який суб'єкт, що виробляє дії з персональними даними, починаючи від простого фізичної особи, закінчуючи державним або муніципальним органом. Якщо говорити про юридичних осіб, то операторами можуть виступати будь-які комерційні і некомерційні організації незалежно від їх організаційно-правової форми. Поняття «обробка персональних даних» також є досить широким і охоплює коло всіх дій, які можна здійснювати з персональними даними: збір, зберігання, систематизація, накопичення, поширення та ін.
Таким чином, ФЗ «Про персональних даних» має практично всеохопне дію, оскільки обробкою персональних даних займається переважна кількість організацій в різних сферах життя: банки, страхові компанії, медичні і освітні установи, товариства власників житла, житлово-будівельні кооперативи та ін. Відповідно, всі ці організації та будь-які інші юридичні особи, які мають справу з персональними даними фізичних осіб, повинні дотримуватися ті вимоги до обробки персональних даних, які утримуючи ться в законі.
Можна виділити кілька основних вимог, що пред'являються Законом про персональні дані до операторів, які здійснюють обробку таких даних.
По-перше, відповідно до ч. 1 ст. 6 ФЗ «Про персональних даних», обробка персональних даних може здійснюватися оператором тільки за згодою суб'єкта персональних даних.
Це правило поширюється на всі випадки обробки персональних даних, за винятком деяких ситуацій. Винятки із загального правила встановлені ч. 2 ст. 6 Закону про персональні дані. Оператор має право не запитувати згоди суб'єкта на обробку його персональних даних, зокрема, в наступних випадках:
1) обробка персональних даних здійснюється на підставі федерального закону, який встановлює її мета, умови отримання персональних даних і коло суб'єктів, персональні дані яких підлягають обробці, а також визначає повноваження оператора;
2). обробка персональних даних здійснюється з метою виконання договору, однією зі сторін якого є суб'єкт персональних даних;
3). обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливо;
4). обробка персональних даних здійснюється з метою професійної діяльності журналіста або в цілях наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права і свободи суб'єкта персональних даних та ін.
З огляду на це, юридичні особи, які є операторами персональних даних, в деяких випадках можуть уникнути необхідності отримання згоди осіб на обробку їх даних, наприклад, шляхом укладення з суб'єктами персональних даних якогось договору, виконання якого буде передбачати збір і обробку персональних даних.
Закон про персональні дані закріплює деякі вимоги до форми отримання згоди на обробку персональних даних.
Проте, в силу ч. 3 ст. 9 ФЗ «Про персональних даних» обов'язок надати доказ отримання згоди суб'єкта персональних даних на обробку його персональних даних покладається на оператора. Це означає, що в разі наявності будь-яких претензій з боку громадянина і виникнення судового спору юридична особа - оператор повинен буде підтвердити факт отримання згоди на обробку персональних даних. З цієї точки зору найкращим доказом отримання згоди на обробку персональних даних для суду буде саме письмова згода.
Таким чином, хоч закон і не зобов'язує в кожному випадку отримувати згоду на обробку персональних даних в письмовому вигляді, очевидно, що операторам це робити все ж доведеться.
Друга вимога, що пред'являється Законом про персональні дані до операторів, зводиться до того, що оператори і інші особи, які отримують доступ до персональних даних, повинні дотримуватися конфіденційності таких даних (ч. 1 ст. 7 ФЗ «Про персональних даних»).
В силу п. 10 ст. 3 ФЗ «Про персональних даних», конфіденційність має на увазі під собою обов'язкове для дотримання оператором або іншим отримав доступ до персональних даних особою вимога не допускати їх поширення без згоди суб'єкта персональних даних або наявності іншого законного підстави.
Під поширенням персональних даних закон розуміє дії, спрямовані на передачу персональних даних певному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, в тому числі оприлюднення персональних даних в засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних будь-яким іншим способом (п. 4 ст. 3 ФЗ «Про персональних даних»).
Таким чином, Закон передбачає, що оператори зобов'язані отримувати згоду суб'єктів персональних даних на надання цих даних третім особам і на їх поширення іншими способами.
В цілому дії з розповсюдження персональних даних входять в поняття «обробка персональних даних» (п. 3 ст. 3 ФЗ «Про персональних даних»). Тому, даючи згоду на обробку персональних даних, суб'єкт дає згоду в тому числі і на поширення цих даних. Для цього необхідно, щоб в письмовій згоді суб'єкта на обробку його персональних даних було окремо зазначено право оператора на вчинення дій щодо поширення персональних даних про особу.
Ще одне, що викликало, мабуть, найбільший інтерес вимога Закону про персональні дані - це вимога про прийняття оператором необхідних заходів для захисту персональних даних від неправомірного доступу до них і від інших неправомірних дій (ч. 1 ст. 19 ФЗ «Про персональних даних») .
Згідно ч. 1 ст. 19 ФЗ «Про персональних даних», оператор при обробці персональних даних зобов'язаний приймати необхідні організаційні та технічні заходи для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, поширення персональних даних, а також від інших неправомірних дій .
Зазначена вимога викликало найбільшу кількість складнощів у юридичних осіб в процесі приведення їх інформаційних систем у відповідність до Закону про персональні дані. Справа в тому, що на виконання цієї норми на рівні підзаконних актів були встановлені досить жорсткі вимоги до того, як повинна забезпечуватися технічний захист персональних даних, що містяться в автоматизованих інформаційних системах.
І, нарешті, в якості ще однієї вимоги до операторів персональних Закон про персональні дані встановлює обов'язок оператора до початку обробки персональних даних повідомити уповноважений державний орган про свій намір здійснювати обробку персональних даних (ч. 1 ст. 22 ФЗ «Про персональних даних»).
Після отримання повідомлення уповноважений орган вносить відомості про оператора до реєстру операторів, які здійснюють обробку персональних даних.
Треба відзначити, що Закон про персональні дані встановлює певні винятки із загального правила про необхідність повідомляти уповноважений орган. Згідно ч. 2 ст. 22 ФЗ «Про персональних даних», повідомляти уповноважений орган не потрібно, зокрема, при обробці персональних даних:
1). що відносяться до суб'єктів персональних даних, яких пов'язують з оператором трудові відносини;
2). отриманих оператором у зв'язку з укладенням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних і використовуються оператором виключно для виконання зазначеного договору та укладення договорів з суб'єктом персональних даних;
3). є загальнодоступними персональними даними;
4). включають в себе тільки прізвища, імена та по батькові суб'єктів персональних даних;
5). оброблюваних без використання засобів автоматизації відповідно до федеральними законами або іншими нормативно-правовими актами РФ, що встановлюють вимоги до забезпечення безпеки персональних даних при їх обробці і до дотримання прав суб'єктів персональних даних та ін.
Таким чином, щоб уникнути необхідності подання відповідного повідомлення про обробку персональних даних в Роскомнадзор і включення себе до реєстру операторів, юридичні особи можуть робити певні організаційні заходи. Наприклад, можна укладати з суб'єктами персональних даних якийсь договір, який повинен відповідати всім зазначеним в п. 2 ч. 2 ст. 22 ФЗ «Про персональних даних» умов: предметом договору повинно бути зобов'язання організації здійснювати обробку персональних даних; в договорі має бути зазначено, що суб'єкт дає згоду на вчинення організацією в рамках обробки персональних даних всіх дій, зазначених у п. 3 ст. 3 ФЗ «Про персональних даних»: збір, систематизація, накопичення, зберігання, уточнення (оновлення, зміну), використання, знеособлення, блокування, знищення персональних даних, а також поширення (в тому числі передачу третім особам).
За недотримання вимог до обробки персональних даних винні особи можуть бути притягнуті до цивільної, кримінальної, адміністративної, дисциплінарної та іншої передбаченої законодавством відповідальності, на що вказано в ст. 24 ФЗ «Про персональних даних».
Кримінальна відповідальність за порушення законодавства про персональні дані встановлена в ст. 137 Кримінального кодексу Російської Федерації. Дана норма передбачає покарання у вигляді штрафу, обов'язкових робіт, виправних робіт або арешту за незаконне збирання або розповсюдження відомостей про приватне життя особи, що складають його особисту або сімейну таємницю, без його згоди або поширення цих відомостей у публічному виступі, публічно демонструються твори або засобах масової інформації.
Також за порушення законодавства про персональні дані може наступити дисциплінарна відповідальність у вигляді різних санкцій, які може застосувати роботодавець до свого працівника, який не виконує або виконує неналежним чином свої трудові обов'язки: зауваження, догана, звільнення (нормативними правовими актами або внутрішніми актами організації можуть бути передбачені та інші види дисциплінарних стягнень).
Громадянська відповідальність за порушення законодавства про персональні дані може виражатися в таких формах: відшкодування збитків громадянину, завданих йому у зв'язку з порушенням законодавства про персональні дані (ст. 15 Цивільного кодексу Російської Федерації (далі - ГК РФ) (), ч. 2 ст. 17 ФЗ «Про персональних даних»); компенсація моральної шкоди, якщо діями, що порушують законодавство про персональні дані, громадянину завдано моральної шкоди (фізичні або моральні страждання) (ст. 151 ЦК України, ч. 2 ст. 17 ФЗ «Про персональних даних»).
Підводячи підсумок всього викладеного в цій статті, варто сказати, що всім організаціям необхідно звернути пильну увагу на Федеральний закон «Про персональні дані», оскільки практично будь-яка юридична особа так чи інакше стикається в своїй діяльності з обробкою персональних даних громадян і, відповідно, несе обов'язок щодо приведення своєї діяльності у відповідність до вимог закону.