ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map     

Снижение рисков бизнеса при отдельных нарушениях законодательства в сфере персональных данных

№4' 2011 г. / Журнал «Защита информации. Инсайд»

Необходимость принятия в России законодательного акта о персональных данных вызвана тем, что современное информационное общество никоим образом не исключает, а напротив, существенно увеличивает угрозу нарушения конституционных прав граждан на неприкосновенность их частной жизни, личную и семейную тайну.

В настоящее время уровень развития общественных отношений в информационной сфере, а также складывающаяся как судебная, так и иная правоприменительная практика, показали формирование в этой области новой категории прав на неприкосновенность частной жизни – права на защиту персональных данных.

Вопросы по обработке персональных данных приобретают все большую актуальность во всех сферах осуществления предпринимательской деятельности в связи с тем, что с 1 июля 2011 года вступают в силу нормы Федерального закона «О персональных данных», касающиеся информационных систем персональных данных. Согласно его положениям, информационные системы персональных данных, созданные до дня вступления в силу этого Федерального закона, должны быть приведены в соответствие с его требованиями не позднее указанной выше даты.

Очередное и на этот раз последнее наступление часа Х (напомним, что ранее вступление в силу этого закона в полном объеме дважды откладывалось) максимально активизирует работу по приведению систем обработки персональных данных (как автоматизированных, так и не автоматизированных) в компаниях в соответствие с заключенными в нем требованиями.

В действующем законодательстве существует норма, согласно которой уполномоченный орган по защите прав субъектов персональных данных наделен правом обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде (п. 3 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон).

При этом указанная выше норма Закона направлена на защиту интересов исключительно граждан, хотя в подобной редакции она не полностью защищает их права и интересы.

Это совершенно оправданная позиция законодателя, основывающаяся на действующих конституционных нормах, которые устанавливают преимущества в защите прав граждан как наиболее незащищенной категории лиц.

В отношении организаций-операторов персональных данных действующее законодательство какой-либо нормы в защиту их прав и интересов вообще не предусмотрело.

В связи с этим в отношении них действует общий, предусмотренный законодательством, порядок разрешения споров и конфликтов как во взаимоотношениях с гражданами, так и с юридическими лицами, и с уполномоченными государственными органами.

В настоящее время регулирование деятельности по обработке персональных данных осуществляют следующие федеральные органы исполнительной власти (каждый в пределах предоставленных им полномочий):

● Роскомнадзор (в части проверки соответствия деятельности организации по обработке персональных данных общим организационным требованиям в сфере осуществления обработки персональных данных);

● ФСБ России (в части проверки соблюдения требований по обеспечению защиты криптографическими и инженерно-техническими методами безопасности информации);

● ФСТЭК России (в части обеспечения защиты (некриптографическими методами) информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней).

В Законе в качестве операторов указаны государственные органы, муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Таким образом, Закон в ст. 3 определил круг лиц, имеющих право на обработку персональных данных.

При этом, исходя из данного в Законе понятия, этот круг лиц настолько широк, что в категорию операторов попадают практически все лица, имеющие прямое или опосредованное отношение к обработке персональных данных на территории Российской Федерации.

Оператор при обработке персональных данных наделен определенными правами и, соответственно, несет определенные обязанности.

При проверке компетентными органами деятельности различного рода организаций по обработке персональных данных существуют как общие, так и специальные вопросы.

К общим относятся, например, наличие уведомления об обработке персональных данных, проверка содержания уведомления, поскольку и Закон, и соответствующие приказы Мининформсвязи России и Роскомнадзора установили требования к содержанию этого документа. В случае выявления противоречий между заявленными и реальными сведениями, указанными в конкретном уведомлении, осуществляется проверка вопроса о внесении изменений либо дополнений к нему.

Статьей 22 Закона установлены случаи, когда оператор вправе осуществлять обработку персональных

данных без соответствующего уведомления. Это касается данных:

● относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

● полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

● относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

● являющихся общедоступными персональными данными, включающих в себя только фамилии, имена и отчества субъектов персональных данных;

● необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

● включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданных в целях защиты безопасности государства и общественного порядка;

● обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Следует отметить, что каких-либо иных оснований, которые позволили бы организации (в том числе и банковской) действовать на рынке товаров и услуг и обрабатывать персональные данные физических лиц без уведомления об обработке персональных данных, действующим законодательством не предусмотрено.

Все перечисленные выше исключения касаются любых организаций независимо от сферы их деятельности и организационно-правовой формы. В настоящее время большинством банковских и иных кредитных организаций высказывается мнение о том, что ими персональные данные клиентов обрабатываются в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. В связи с этим обработка персональных данных этими организациями якобы может осуществляться без уведомления. При этом свою позицию организации подкрепляют положениями действующего законодательства, касающимися противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, где в качестве основной обязанности банковской или иной кредитной организации предусмотрена проверка клиентов, осуществляющих операции с денежными средствами или иным имуществом, на возможную легализацию денежных средств, полученных преступным путем, и участие в террористической и экстремистской деятельности. Данная позиция подкрепляется и другим доводом: для банковских организаций установлена обязанность представлять информацию, в том числе и о своих клиентах, в бюро кредитных историй.

Однако следует отметить, что все перечисленные основания не предоставляют банковским организациям возможности осуществлять обработку персональных без уведомления, в частности, на том основании, что банковские организации в ходе оказания услуг своим клиентам осуществляют в том числе переводы денежных средств в адрес иных банковских организаций, причем находящихся как в России, так и за ее пределами. В данном случае на них не распространяются вышеуказанные законодательные акты, и их деятельность не попадает под исключения.

Банковские и иные кредитные организации не являются исключением в вопросе необходимости подачи уведомлений об обработке персональных данных. В силу специфики своей деятельности они осуществляют бизнес-процесс в непосредственном взаимодействии с клиентами. Поэтому подача уведомления для них – процедура необходимая и обоснованная. Подобная необходимость имеет своей задачей не только защиту персональных данных клиента банка. Не менее значимым факт подачи уведомления является и для самой банковской организации: это позволяет партнерам банка, в том числе и зарубежным, убедиться в добросовестном отношении банка к персональным данным своих клиентов, в его стабильном и уверенном положении на рынке, в том, что он поддерживает общие принципы работы в соответствующей сфере деятельности.

Кроме того, в большинстве сфер предпринимательской деятельности особое внимание при проверках уделяется наличию в договорах с клиентами их согласия на обработку персональных данных. Конечно, можно было бы говорить о том, что получаемые при заключении договоров персональные данные обрабатываются только в целях исполнения конкретного договора, а потому согласия субъекта персональных данных в этом случае не требуется. Но, например, банки обязаны предоставлять информацию, составляющую банковскую тайну, определенным третьим лицам в соответствии с требованиями банковского законодательства, при этом такая информация может содержать персональные данные. Поскольку законодательством не предусмотрено положений об обработке персональных данных без согласия субъекта, получение такого согласия является необходимым. При этом гражданин может отказать банку в передаче персональных данных третьим лицам. Таким образом, существует противоречие между двумя законодательными актами: с одной стороны, банк обязан предоставлять информацию уполномоченным лицам, а с другой – он не имеет права делать это без согласия субъекта персональных данных.

Аналогичная проблема возникает и при применении законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Соответствующий Закон запрещает информировать клиентов о принимаемых мерах противодействия легализации доходов, полученных преступным путем. Получение согласия клиента в данном случае может носить признаки его информирования о принятии таких мер.

Существует широкий перечень вопросов, подлежащих проверке контролирующими и надзорными органами в сфере обработки персональных данных. Они определены подзаконными нормативными актами. Среди них, например, вопросы, связанные с обработкой биометрических персональных данных, передачей персональных данных, наличием круга лиц, имеющих доступ к персональным данным, и т. д.

Большое внимание при проверке юридических лиц уделяется проверке их филиалов и представительств. Все актуальнее становится вопрос проверки выполнения Закона при реорганизации юридических лиц. В случае, когда в состав проверяемой организации в результате реорганизации в форме слияния, присоединения организаций влились иные организации, осуществляется проверка того, как ведется обработка персональных данных по этим организациям после реорганизации. При наличии организаций, которые выделились из состава проверяемой организации в результате реорганизации в форме разделения, выделения организаций, осуществляется проверка соблюдения законодательства о персональных данных при передаче персональных данных во вновь созданные организации после реорганизации. При наличии факта реорганизации организации в форме преобразования, осуществляется проверка, имели ли место изменения в порядке обработки персональных данных после реорганизации.

К нарушителям законодательства о персональных данных могут применяться меры воздействия разного уровня строгости. Прежде всего, всеми тремя указанными выше контролирующими и надзорными органами могут применяться меры административного воздействия в виде выдачи предписания об устранении выявленных нарушений. В этом документе указываются выявленные нарушения в сфере обработки персональных данных, а также предусматривается строго определенный срок для их устранения.

Неисполнение таких предписаний организациями, в отношении которых они выдаются, влечет за собой административную ответственность. Кроме предписаний об устранении выявленных нарушений контролирующие и надзорные органы могут направлять заявления в органы, осуществляющие лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действий или аннулированию соответствующей лицензии на основании пп. 6 п. 2 ст. 23 Закона. Данное требование Закона может быть применено только в том случае, если условием лицензии на осуществление конкретного вида деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных, а соответствующая лицензия предусматривает требование по обеспечению защиты персональных данных.

Следующая мера, в настоящее время все чаще и чаще применяемая, – направление в органы прокуратуры и другие правоохранительные органы материалов для решения вопроса либо о возбуждении уголовных дел по признакам преступлений, либо о привлечении компании-нарушителя к административной ответственности в связи с нарушением прав субъектов персональных данных.

Банковские организации в настоящее время достаточно часто привлекаются к ответственности как на основании решения суда, так и через органы прокуратуры за нарушения прав своих клиентов в части того, что персональные данные последних передаются третьим лицам без получения соответствующего согласия на такую передачу. Также часто банковские организации привлекаются к административной ответственности за невнесение изменений и дополнений в ранее поданные уведомления об обработке персональных данных.

Таким образом, организации, осуществляющие обработку персональных данных, не застрахованы от возможной подачи иска в суд со стороны как граждан, которые считают, что их права в сфере обработки персональных данных нарушены, так и со стороны иных организаций, а также контролирующих и надзорных органов.

И главное, что следует понимать руководителям организаций, в том числе и банковских, что нарушения в сфере обработки персональных данных клиентов компании наносит ей ущерб. А это уже может привести к серьезным финансовым потерям и нанести серьезный вред ее репутации на рынке соответствующих услуг, как в России, так и за ее пределами, и понижает рейтинг организации по сравнению с аналогичными организациями.

Таким образом, у операторов персональных данных (и у банковских организаций в большей степени, чем у любых других операторов) в настоящее время существует потребность обезопасить себя от возможных нарушений в сфере персональных данных. При этом основной задачей является в данном случае не устранение уже имеющихся недостатков, выявленных в ходе контрольно надзорных мероприятий, а предупреждение возможных нарушений.

Как правило, организациям недостает собственного потенциала для разработки полного пакета документа, необходимого для минимизации рисков в сфере защиты персональных данных, и для представления и защиты своих интересов в судах и контрольных органах. Так, качественная отработка вопроса технической защиты персональных данных требует наличия у организации, осуществляющей такую защиту, соответствующей лицензии ФСТЭК России.

Следует учесть, что на сегодняшний день существует сравнительно мало организаций, которые могут предоставить своим клиентам полный перечень услуг по технической защите информации, содержащей в себе персональные данные, и обладающих для этих целей соответствующей лицензией, но при этом имеющих возможность предоставить полный комплекс услуг по разработке пакета документов в сфере защиты персональных данных, как клиентов организации, так и ее работников, а также при необходимости обеспечить представление интересов организации в судебных органах и органах исполнительной власти для защиты от претензий в сфере обработки персональных данных.

В качестве одной из таких компаний можно назвать ООО «Антивирусные решения» (торговая марка ARinteg), которая может предоставить организациям банковской сферы как операторам персональных данных следующий спектр услуг:

● разработка «с нуля» комплекта документов, позволяющих осуществлять организации обработку персональных данных на законных основаниях;

● приведение организационно-распорядительной и нормативно-методической документации в соответствие требованиям нормативных правовых актов и технических стандартов, регламентирующих обработку и защиту персональных данных;

● проектирование и внедрение системы защиты персональных данных в соответствии с требованиями законодательства Российской Федерации и стандартов по защите персональных данных;

● правовая экспертиза заключаемых банковской организацией договоров и иных регулирующих документов на предмет их соответствия действующему законодательству в сфере обработки персональных данных;

● представление и защита интересов операторов в сфере обработки персональных данных, как в отношении федеральных органов

исполнительной власти, так и в отношении иных органов и организаций;

● подготовка разъяснений по применению нормативно-правовых актов в сфере обработки персональных данных;

● подготовка соответствующих документов, а также консультирование и организация защиты интересов операторов персональных данных в судебных органах.

Следует особо подчеркнуть, что, осуществляя оказание набора услуг организациям и гражданам, исполнитель таковых несет ответственность, в том числе, и материальную, которая может наступать в случае неисполнения либо некачественного исполнения компанией услуг. Кроме того, он отвечает своим именем и своей репутацией на рынке, а потому является гарантом качества и своевременности исполнения работ.


Д. О. Слободенюк, коммерческий директор

О. М. Михеева, юрисконсульт по защите персональных данных

Arinteg (торговая марка компании «Антивирусные решения»)

Теги:

Перейти к списку статей
qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram