В прошлом году законодатели ужесточили меры, направленные на защиту персональных данных и ответственность за их неисполнение. За нарушение требований Закона о персональных данных ответственные могут поплатиться не только репутацией (работодатели) и местом работы (должностные лица, отвечающие за сбор, обработку и хранение таких данных), но понести гражданскую, административную и даже уголовную ответственность. Автор рассказывает, какие проблемы могут возникнуть при нарушениях закона и как их предотвратить.
Прошлым летом законодатели внесли значительные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных). Так, ужесточены меры, направленные на защиту персональных данных (ПДн), и ответственность за их неисполнение, уточнен перечень отношений, попадающих под действие закона, и круг лиц, на которых он распространяется. Кроме того, все документы организаций-операторов должны быть не только приведены в соответствие с новой редакцией Закона о персональных данных, но до 1 января 2013 года организации-операторы должны направить в территориальный орган Роскомнадзора РФ уведомление в установленной форме с приложением необходимого пакета документов (п. 2.1 ст. 25).
Практика показывает, что, несмотря на грозное предупреждение, а также то, что указанный срок с 1 января 2008 года продлевался официально не один раз, до сих пор не многие работодатели относятся к Закону о персональных данных с должной серьезностью. Некоторые руководители считают, что он к их деятельности вообще не имеет отношения, другие толком и не понимают, что надо делать (закон действительно написан так, что неспециалисту разобраться в нем довольно сложно). Третьи не спешат что-либо делать, надеясь, что «авось пронесет», или полагая, что у контролирующих органов руки до них дойдут нескоро (если вообще дойдут).
Есть также распространенное заблуждение, что если в организации не ведется автоматическая обработка персональных данных, все по старинке – горы пыльных стеллажей и тонны папок – то и делать ничего не надо. Но это не так. В ст. 1 Закона о персональных данных в новой редакции прямо указано, что он распространяется на отношения, связанные с обработкой персональных данных как с использованием средств автоматизации, так и без использования средств, если обработка персональных данных без использования этих средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Проще говоря, если в организации есть хоть одно личное дело (а оно есть у всех: генеральный директор – тоже работник, и на него распространяются все правила Трудового кодекса по оформлению кадровой документации), это считается сбором, хранением и обработкой персональных данных в целях Закона о персональных данных.
В некоторых крупных совместных предприятиях, филиалах и представительствах зарубежных компаний информация, содержащая персональные данные, размещена на компьютерах, находящихся за рубежом, и руководители считают, что и претензий к ним быть не может. Но вот контролирующие органы с ними не согласны – обработка персональных данных без автоматизации также должна вестись определенным образом, и абсолютно не важно, где физически находятся эти персональные данные, важно, кто их обрабатывает.
Отметим также, что многие полагают, что «просто так» их проверять не придут – нужно, чтобы кто-то пожаловался, и лишь тогда государственные органы начнут что-то предпринимать. А раз пока никого вокруг не трогают, никто ни на кого не жалуется, можно жить спокойно. Определенная логика в этом есть: предприятий, которые должны зарегистрироваться в качестве операторов персональных данных, оказалось много, и за всеми сразу не уследить. Да и граждане даже меньше, чем руководители предприятий, знают, на что конкретно и куда именно можно жаловаться.
Однако есть одно «но»: если госорганы и могут что-то не успеть, то всегда найдутся «доброжелатели» и конкуренты, которые готовы помочь властям, а самому предпринимателю, соответственно, навредить. Сделать-то это совсем несложно: нужно просто найти гражданина, чьи персональные данные обрабатывались организацией, и предложить ему обратиться в Роскомнадзор России (орган, уполномоченный Законом о персональных данных осуществлять контроль за соблюдением этого закона) с жалобой на нарушение порядка обработки его персональных данных. Таким гражданином может стать, например, бывший работник предприятия, оставшийся чем-то недовольным после увольнения. А уж с персональными данными сотрудников практически всегда не все идеально. Само собой, ему не только подскажут, куда обратиться, но и все напишут за него…
Попробуем разобраться, на кого действительно распространяется действие данного закона и чем могут грозить предпринимателям и работникам, имеющим отношение к сбору, обработке, хранению и утилизации ПДн (в основном это работники кадровых подразделений и бухгалтерии), подобные заблуждения.
Под прицелом
Согласно ст. 1 Закона о персональных данных его действие не распространяется только на отношения, возникающие при:
- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в России;
- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
- предоставлении уполномоченными органами информации о деятельности судов в РФ в соответствии с Федеральным законом от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
Как видим, этот закон касается практически всех организаций всех форм собственности, а также филиалов и представительств, зарегистрированных на территории Российской Федерации. Более того, распространяет он свое действие на физических лиц и индивидуальных предпринимателей, которые работают с ПДн (а это, например, данные наемных работников и клиентов).
Паранойя на страже?
Следует отметить, что с момента внесения поправок (Федеральным законом от 25.07.2011 № 261-ФЗ) прошло уже полгода, но, как показывают проверки, проведенные Роскомнадзором РФ, практически во всех проверенных организациях имеются те или иные нарушения требований Закона о персональных данных.
В частности, согласно статистическим данным Роскомнадзора, опубликованным на официальном сайте ведомства www.rsoc.ru, операторы чаще всего допускают следующие нарушения рассматриваемого закона:
- обработка персональных данных оператором без согласия субъектов персональных данных (п. 1 ч. 1 ст. 6);
- несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям законодательства (ч. 4 ст. 9);
- избыточность обрабатываемых персональных данных субъекта применительно к целям обработки (п. 2, 4, 5 ст. 5).
Кроме того, предприятий, где есть в наличии весь комплект локальных нормативных актов, необходимый для защиты ПДн в соответствии с законом, назначены ответственные за неразглашение ПДн и подписаны соответствующие обязательства, ничтожно мало. Практически во всех организациях отсутствует текущий контроль за соблюдением мероприятий по защите ПДн.
Во многих компаниях (особенно небольших) отсутствуют специальные сейфы или хотя бы закрывающиеся ящики для личных дел сотрудников, дела стоят на открытых стеллажах, доступ к которым имеет любой вошедший. Нет достаточной защиты на компьютерах, где установлены автоматизированные системы учета ПДн работников (например, «Кадры-1С» и т.п.), к сетевым версиям при желании доступ может получить кто угодно.
Это может показаться неважным только на первый взгляд. На самом деле, кроме проблем, связанных с плановыми и внеплановыми проверками контролеров, из-за такой халатности у работников могут возникнуть серьезные проблемы. Приведем пример из практики.
Сотрудница «положила глаз» на ничего не подозревавшего коллегу, пару раз неосторожно ей подмигнувшего, но счастливо женатого. В обеденный перерыв она зашла в отдел кадров (сейф, как всегда, был открыт, а все работники ушли обедать) и выписала из личного дела домашний адрес и телефон, имя супруги и ребенка, кое-какие данные из автобиографии. После этого она начала забрасывать бедную женщину анонимными письмами и звонками, причем и ее, и ребенка называла по имени, как хорошая знакомая, рассказывала о прошлых местах работы, адресах, якобы «клубничных» похождениях мужа…
Хорошо, что все раскрылось до того, как несчастные супруги успели развестись. Но сколько было потеряно нервов, в семье начались скандалы, ребенок получил тяжелую моральную травму. Кроме того, получилось как в том анекдоте: «Ложки-то мы нашли, а впечатление, знаете ли, осталось…». Любвеобильную даму уволили, ловелас уволился сам, сотрудницам отдела кадров объявили выговор, сейф и кабинет закрыли для посторонних. Но это было задолго до принятия Закона о персональных данных, иначе потерпевшие муж и жена могли взыскать с предприятия значительную сумму морального ущерба, а наказание виновных было бы гораздо жестче. Прошло много лет, но с тех пор руководитель этой компании всегда принимает строгие меры (вплоть до выговора виновным), когда замечает нарушения, которые могут привести к разглашению персональных данных сотрудников.
У знакомого начальника отдела кадров все бумаги на столе лежат или в папках, или под каким-нибудь журналом. Если кто-то неожиданно входит в кабинет, она быстро переворачивает рабочие документы, сворачивая окошко кадровой программы на мониторе… Скажете – паранойя? А знаете ли вы, что некоторые хорошо умеют читать «вверх ногами»? Или имеют дурную привычку подходить с документами на подпись сзади или сбоку и вставать, с любопытством разглядывая экран и документы на столе? В какой фирме вам было бы комфортнее работать: где ваше личное дело может прочитать кто угодно, вплоть до клиентов и случайно зашедших «не в ту дверь» посетителей, или там, где все под надежной охраной таких «параноиков»?
Как аукнется...
Увольнение – далеко не самое страшное наказание за нарушение требований Закона о персональных данных. В соответствии со ст. 24 названного закона нарушители несут уголовную, гражданскую, дисциплинарную и другую, оговоренную законодательством РФ ответственность. В Таблице перечислено, какие проблемы могут возникнуть у операторов ПДн, а также ответственных лиц.
К нам едет ревизор
Основным контролирующим ведомством в сфере защиты ПДн, который мы уже упоминали, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор РФ). В ст. 23 Закона о персональных данных установлены права и обязанности контролера. В целом служба отвечает за организацию защиты и обработки ПДн.
Технические аспекты защиты информационных систем обработки ПДн контролирует Федеральная служба по техническому и экспортному контролю (ФСТЭК РФ). Она проверяет технические средства защиты ПДн, работающие с помощью некриптографических способов защиты информации.
ФСБ России осуществляет надзор над разработкой, изготовлением, реализацией и использованием криптографических (шифровальных) средств защиты ПДн, а также над предоставлением услуг по шифрованию ПДн при обработке их в информационных системах.
Федеральная инспекция труда России также имеет полномочия на проведение государственного контроля и надзора за соблюдением норм ТК РФ и других нормативных актов, содержащих нормы трудового права, включая защиту персональных данных (ст. 354 ТК РФ).
Не так страшен черт…
Очень хочется закончить статью на позитиве. В новой редакции Закон о персональных данных такой позитив есть – это ч. 2 ст. 22. По сути, он является спасательным кругом для большинства организаций, которые занимаются обработкой персональных данных.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, обрабатываемых в соответствии с трудовым законодательством, а также необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.
Это огромное преимущество. Во-первых, организациям, которые обрабатывают ПДн исключительно в рамках трудового законодательства, не надо регистрироваться в органах Роскомнадзора РФ в качестве операторов ПДн и составлять уведомление с перечнем мер и действий по защите персональных данных и еще довольно большого объема сведений, перечисленных в п. 3 упомянутой статьи (например, о том, как обеспечивается безопасность персональных данных в компании). То есть операторами ПДн они являются, Закон о персональных данных должны соблюдать и всю документацию по защите ПДн привести в соответствие с законом, но уведомления до 1 января 2013 года в Роскомнадзор России им подавать не нужно. Во всяком случае – согласно редакции закона, действующей на данный момент.
Во-вторых, чтобы соблюсти требование Закона о защите персональных данных и привести все документы в соответствие с летними изменениями, им необходимо лишь наладить внутреннюю систему защиты информации, содержащей ПДн, и принять ряд локальных нормативных актов. К слову, в организациях, которые строго соблюдают закон и отслеживают все изменения, такие локальные нормативные акты уже давно есть, они оговорены в гл. 14 ТК РФ. Поэтому компаниям лишь необходимо внести в эти акты соответствующие изменения.
В-третьих, основной источник проверок Роскомнадзора – ошибки и нарушения в уведомлениях у тех операторов ПДн, для которых подача уведомлений обязательна. А значит, у организаций, обрабатывающих ПДн только в рамках трудового законодательства, есть время спокойно привести все в соответствие, пока у проверяющих действительно до них «руки дойдут».
В следующих номерах читайте о том, как привести документы в соответствие с Законом о персональных данных.
