Газета деловой интерес
Достаточно ли, по вашему мнению, мер по поддержке бизнеса, предоставляемых государством?

Календарь публикаций
«    Август 2019    »
ПнВтСрЧтПтСбВс
 1234
567891011
12131415161718
19202122232425
262728293031 

Закон на страже личности


Закон на страже личности

В Перми обсудили практику применения Закона «О персональных данных».

В Арбитражном суде Пермского края прошел семинар «Практика применения Федерального закона от 27.07.2006 №152–ФЗ «О персональных данных», вопросы защиты персональных данных. Ответственность за нарушения требований законодательства».

Семинар собрал 250 слушателей – юристов, бухгалтеров, специалистов кадровых служб, представителей СМИ, предпринимателей, специалистов общественных организаций – не только из Перми, но и из ряда территорий Пермского края. Мероприятие было подготовлено при поддержке управления Рос­комнадзора по Пермскому краю, Арбитражного суда Пермского края, Уполномоченного по защите прав предпринимателей в Пермском крае, компании «ТелекомПлюс» и Пермского профессионального клуба юристов.

АКТУАЛЬНО

Приветствуя участников семинара, заместитель председателя Арбитражного суда Пермского края Татьяна Мещерякова отметила, что тема является актуальной и, безусловно, интересной. Практически в каждой сфере нашей жизни мы так или иначе сталкиваемся с информационными потоками. И, конечно, хочется, чтобы эти информационные потоки, в том числе и персональные данные, были надежно защищены. Существует много способов защиты персональных данных. Каждый, защищая свои права, может обратиться и к оператору, распространяющему персональные данные, и в суд. Но наибольшее количество обращений по защите персональных данных приходится на долю Роскомнадзора, поэтому разъяснения специалистов этого органа являются наиболее интересными и актуальными.

Татьяна Мещерякова обратила внимание присутствовавших в зале на Положение о порядке размещения текстов судебных актов на официальных сайтах Верховного суда Российской Федерации, судов общей юрисдикции и арбитражных судов в информационно–телекоммуникационной сети «Интернет», утвержденное Постановлением Президиума Верховного Суда Российской Федерации от 14 июня 2017 года.

Положение дает ответ на часто задаваемые вопросы о выгрузке судебных актов судами общей юрисдикции и арбитражными судами. Президиум Верховного Суда РФ еще раз подтвердил, что судебные акты арбитражных судов выгружаются в том виде, в котором подписываются судьей, то есть без каких–либо исключений. Также в Постановлении перечислена та информация, которая подлежит исключению из судебных актов судов общей юрисдикции.

Ведущий семинара Алексей Юшков, заместитель руководителя управления Роскомнадзора по Пермскому краю, начал свое выступление с разъяснения государственной политики в области контроля и надзора. По его словам, акценты смещены в сторону профилактики и предупреждения нарушений.

ИЗУЧАЕМ МАТЧАСТЬ

Что такое персональные данные? Это любая информация, которую можно прямо или косвенно отнести к определенному или определяемому субъекту персональных данных. Любые фамилия, имя и отчество не всегда будут являться персональными данными, если за ними нельзя видеть конкретного человека.

Оператор, обрабатывающий персональные данные, – это государственный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее или осуществляющее обработку персональных данных, определяющее цели и состав подлежащих обработке персональных данных и перечень действий, которые будут с ними выполняться.

Обработка персональных данных – любое действие или совокупность действий с персональными данными, совершаемых как с использованием средств автоматизации, так и без них: сбор, запись, систематизация, хранение, использование, обезличивание и так далее.

Строго говоря, каждый из нас обрабатывает персональные данные в списке контактов своего телефона. Но Федеральный закон «О персональных данных» не распространяется на действия физических лиц, связанных исключительно с личными нуждами, если при этом не нарушаются права субъектов персональных данных. Впрочем, прозвучала история и о том, как руководитель некой компании передал руководителю другой компании список контактов со своего телефона. Последний организовал рассылку писем по полученным адресам, и был оштрафован – за использование персональных данных в целях, не соответствующих целям сбора.

ОЖИДАНИЯ VS РЕАЛЬНОСТЬ

Статья 22 Федерального закона «О персональных данных» обязывает оператора уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки. И хотя фактически обработка могла уже осуществляться на момент выхода закона, это не освобождает оператора от ответственности направить такое уведомление. Какие же шаги должен предпринять оператор, чтобы правильно составить такое уведомление?

Шаг первый. Назначить ответственного за организацию обработки персональных данных, который будет осуществлять внутренний контроль над соблюдением оператором норм законодательства, доводить до сведения работников основные требования положений нормативных правовых актов и локальных актов оператора, организовывать прием и обработку обращений и запросов субъектов персональных данных и контролировать эти процессы.

Шаг второй. Разработать порядок и документы, касающиеся обработки персональных данных, и уведомление территориальных органов Роскомнадзора о намерении обрабатывать персональные данные.

– Это идеальный порядок, – подчеркивает Алексей Юшков. – В настоящее время ситуация складывается как раз наоборот: операторы уведомляют Рос­комнадзор о уже ведущейся обработке персональных данных и только потом начинают формировать комплект документов, назначать ответственных лиц и так далее. Хотя, следуя логике вещей, все должно быть наоборот, потому что уведомление должно содержать все эти данные и отражать реальную деятельность организации: если предприятие обрабатывает персональные данные своих сотрудников, а также контрагентов по договорам, то в уведомлении должны быть отражены все эти категории.

Кроме наименования оператора, его адреса, цели обработки персональных данных, уведомление должно содержать перечень действий с персональными данными, описание используемых способов обработки, сведения о наличии шифровальных, криптографических средств и наименование этих средств, сведения об ответственном за обработку персональных данных лице и номера контактных телефонов. А также дату начала обработки персональных данных и срок или условия прекращения их обработки. В общем случае – это прекращение деятельности юридического лица, но есть и исключения, например, истечение сроков хранения документов или уничтожение за ненадобностью резюме соискателей в отделе кадров.

БЕЗОПАСНОСТЬ ПРЕВЫШЕ ВСЕГО

Закон регламентирует и основные меры, направленные на обеспечение безопасности персональных данных. В случае использования информационных систем необходимо определить угрозы безопасности персональных данных при обработке, применить организационные и технические меры по их защите – антивирусную и криптозащиту и так далее. Необходимо проводить оценку эффективности принимаемых мер, вести учет машинных носителей персональных данных и деятельность по обнаружению фактов несанкционированного доступа, обеспечить регистрацию и учет действий, совершаемых с персональными данными в информационной системе.

Особое внимание слушателей Алексей Юшков обратил на Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», которое предусматривает раздельную обработку, хранение и доступ к разным категориям персональных данных. Это означает, что доступ к персональным данным сотрудников в отделе кадров и персональным данным контрагентов в договорах должны иметь разные лица.

ПО СОГЛАСИЮ ИЛИ БЕЗ

Согласие субъекта персональных данных на их обработку должно быть получено в любой доступной форме, позволяющей подтвердить факт его получения. Такой формой может быть, например, чекбокс на сайте, удостоверяющий, что пользователь ознакомился с политикой обработки персональных данных. Обязательная письменная форма согласия регламентирована законом только для четырех случаев: трансграничной передачи персональных данных, биометрических персональных данных, специальных категорий персональных данных и данных для общедоступных источников: справочников, адресных книг и так далее.

Кроме того, закон допускает обработку персональных данных без согласия субъекта для достижения целей, предусмотренных международным договором, законом или для осуществления выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей. Этот пункт касается государственных органов, деятельность которых предполагает обработку персональных данных, например, при рассмотрении обращений граждан, для осуществления правосудия, исполнения судебного акта.

Не требуется согласие на обработку персональных данных при заключении договора, стороной которого, или выгодоприобретателем, или поручителем является субъект персональных данных. То есть при заключении договора подряда, договора на выполнение каких–либо работ есть основания обрабатывать персональные данные на основании этого договора. То же самое касается ситуаций, связанных с необходимостью защиты жизни, здоровья или иных жизненных важных интересов субъекта персональных данных, а также в том случае, если доступ к персональным данным предоставлен самим субъектом или по его просьбе.

Кроме того, обработка персональных данных без согласия субъекта допускается для осуществления профессиональной деятельности журналиста и законной деятельности СМИ, при условии, что не нарушены права и законные интересы субъекта персональных данных.

В соответствии со статьей 7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

НАИБОЛЕЕ ХАРАКТЕРНЫЕ НАРУШЕНИЯ

Рассказал Алексей Юшков и о наиболее характерных нарушениях операторов. Наряду с обработкой персональных данных без уведомления уполномоченного органа и без согласия субъекта персональных данных, нарушений требований конфиденциальности, были названы отсутствие у оператора места хранения персональных данных, перечня лиц, осуществляющих их обработку либо имеющих к ним доступ, отсутствие в поручении лицу, ответственному за обработку персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а также требований к защите обрабатываемых персональных данных.

Кроме того, и это стало неожиданностью для слушателей, в числе нарушений были названы наличие в анкете, представляемой при приеме на работу, требований по внесению информации сверх необходимой: сведений о судимости, о персональных данных близких родственников, о специальных категориях персональных данных – расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, а также избыточные персональные данные в личных делах работников и учащихся образовательных учреждений.

Валерия Аргаляева


IN-календарь
INосказательно
Анастасия ПЕТРОВА, главный редактор газеты Dеловой INтерес

Сегодня, пожалуй, один из самых актуальных вопросов – вопрос административного давления на бизнес.

Анастасия ПЕТРОВА, главный редактор газеты Dеловой INтерес

1 июля – переломный момент года, с которого в силу вступает целый ряд законодательных ограничений 

Геннадий САНДЫРЕВ, член регионального штаба ОНФ, руководитель группы компаний «Налоги и право»

Особого внимания заслуживает отмена возможности двусмысленного трактования законов