ФЗ "О персональных данных" принят в 2006 году, вступил в силу с 1 января 2010 года после привидения нормативных актов в соответствие с ним. До этого он применялся лишь формально.
На самом деле Закон очень кривой. Он связан со всеми нормативными актами, которые так или иначе связаны с персональными данными.
Стимулами к принятию Закона было два фактора:
- желание вступить в ВТО;
- защита граждан в демократических органах
Принятие этого закона стала бичем для кадровых служб. Потому что первыми, кто пострадал стали: а) кадровые службы, осуществляющие подбор персонала и б) непосредственно отделы кадров в компаниях, в которых осуществляется обработка ПД.
В КоАП изменения были внесены позднее 2006 года, когда впервые появилась статья 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Строго регламентирует режим персональных данных и влечет предупреждение или наложение административного штрафа. Сегодня этот штраф составляет от 300 до 500 рублей для граждан РФ (например, за передачу мобильного телефона без согласия).
Исходя из положений ФЗ каждый является оператором персональных данных друзей и коллег. В законе есть положение, что не требуется согласия на обработку персональных данных, если они используются для личного пользования, но требуется согласие на передачу.
Что же такое персональные данные?
В соответствии с Законом Персональные данные - это любая информация относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Под этим понимается не только такая информация о лице, как ФИО, но так же и любые иные данные, такие как:
- информация о любом принадлежащем имуществе;
- информация о родственниках, их ПД;
- информация о месте работы и работодателе;
- информация о доходах;
- обо всех когда-либо заключенных договорах
- и т д.
Все это является ПД лица и требует согласия на из обработку.
Например, МГУ после выдачи нам дипломов теряет право на обработку наших персональных данных, так как согласие мы давали только на обработку ПД для целей обучения. Поэтому мы должны будем дать новое согласие на обработку персональных данных (которое у нас соберут на экзамене).
Кто же может заниматься обработкой ПД, то есть сбором и хранением?
Оператор - это государственный орган или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПД, а также определяющий цели обработки ПД, состав ПД, подлежащих обработке, действия, операции, совершаемые с ПД.
Что такое обработка?
ОбработкаПД - любое действие, операция или совокупность действий, операций, совершаемых с использованием средств автоматизации или без использования таких средств, с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление или доступ), обезличивание, блокирование, удаление и уничтожение ПД.
Это обычная обработка ПД.
Не включение ПД в информационные системы НЕ делает лицо НЕ оператором ПД. Законодатель ориентируется на цель обработки ПД (телефон 1-2х выпускников для личного общения не делает лицо оператором).
Цель обработки ПД (понятие встречается в ст. 5 – «Принципы обработки персональных данных», само понятие законодателем не регламентировано). В данной статье указано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и конкретных целей.
Цель должна отвечать следующим вопросам:
- для чего производится обработка ПД?
- соотносится ли оно с деятельностью организации?
Если обработка ПД никак не коррелирует, то требуется обоснование: почему для этих целей идет сбор ПД.
При даче согласия должно быть предусмотрено, для чего оно дается. Если этого нет в согласии, то оно противоречит Закону и не может применяться, а оператор подлежит административной ответственности.
Помимо целей при получении согласия нужно учитывать, какие ПД мы собираемся обрабатывать. Субъект не может указать, что разрешает обрабатывать все ПД. Нужно обязательно указывать, какие данные можно обрабатывать, например: в связи с моей трудовой деятельностью, в связи с моим обучением и т п.
Так же в согласии должна быть индивидуализация субъекта ПД, то есть должно быть понятно, кто дает согласие. Когда мы говорим о самих ПД, что означает персонализация? Субъект должен указать некоторые данные, которые выделяли бы его из других. Просто указания на ФИО не достаточно, обязательно нужно указывать либо паспортные данные, либо иные данные, которые могут его идентифицировать.
Классификация ПД (этого в законе нет, точнее неясно, можно выделить основания).
· По виду:
1) Анкетные ПД - ФИО, пол, возраст и иные (дата и место рождения, паспорт и серия, национальность и т д);
2) Профессиональная или служебная информация - информация о вашей профессиональной деятельности (кто, когда, где, стаж, данные трудовой книжки и т д);
3) Информация об образовании (где, когда и т. д. - с самого начала - 1й класс, детский сад);
4) Личная или частная информация (дети, родственники, семья, браки, наличие имущества и т. д.) - все что мое - это личная информация;
В гражданском процессе идет судебное дело об ипотеке.
В одном из судов было принято решение, что банк, являющийся оператором ПД, не имел право передавать эти ПД третьему лицу, которому передавал право требования.
*Есть отдельные категории ПД, которые предоставляются в силу обстоятельств.
• [Cледующая классификация – не названа]
1) Анкетные (все классификации по виду);
2) Биометрические - физические или физиологические параметры человека (особенности строения того или иного органа - отпечатки пальцев, фотографии, сетчатка глаза);
• По степени доступности:
1) Общедоступными (например, публичные должностные лица) - информация, которая публикуется в общедоступных источниках - интернете, газетах и т. д. (СМИ мы НЕ ТРОГАЕМ);
2) Ограниченного доступа - например, информация в социальных сетях (только для пользователя, который зарегистрирован, и которому открыт доступ, может видеть эту информацию - кидать ссылку на страницу нельзя);
3) Конфиденциальными
Предоставление ПД при оформлении тех или иных услуг есть вопрос - является ли с точки зрения ФЗ проставление галочки согласием на обработку ПД?
Законодатель говорит, что согласие на обработку ПД является письменным согласием субъекта, удостоверенным его подписью (соответственно, либо личная подпись, либо электронная подпись). Если ни одного, ни другого нет, то законодатель говорит, что это не согласие.
Но существует судебная практика, которая говорит нам о том, что если субъект, зайдя на тот или иной сайт и заполняя анкетную информацию, которую необходимо предоставить оператору, нажимает отправить, а в последующем еще и подписывает с ними договор – такое согласие является законным.
Есть еще один интересный момент, связанный с интернетом: вся информация на серверах в интернете находится за границей. Возможно ли такое предоставление информации?
Есть статья, которая называется «Трансграничная передача ПД». Что под этим понимается?
Трансграничная передача ПД предполагает передачу ПД на территорию иностранных государств, являющихся сторонами Конвенции совета Европы «По защите физических лиц и автоматизированной обработке ПД»: а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД.
Тут встает вопрос: что такое адекватная защита ПД?
Законодатель не дает понимания. Но, трактуя закон, мы говорим о том, что в государстве имеется законодательное регулирование оборота ПД и предусмотрена ответственность (реальная, а не формальная). То есть 3 факта:
- наличие;
- ответственность;
- реальная.
Субъект может предусматривать в согласии, что он допускает передачу ПД только в конкретную страну.
Когда задают вопрос: "Как реализуется защита" [по любому вопросу в билетах ответ приблизительно такой]:
- Предусмотрены виды ответственности (гражданская, уголовная, административная, материальная, дисциплинарная - примирительно ПД есть все виды, уголовная только в сфере обработки компьютерной информации) - правовой механизм;
- Техническая защита;
- Организационная защита.
Нужно самостоятельно прочитать в законе:
- Когда согласия на обработку ПД не требуется:
- Что относится к конфиденциальным ПД;
- Что относится к правам субъектов (особенно право истребовать, получить доступ к ПД - любой оператор ПД должен предусмотреть процедуру доступа к ПД).
Главный информационный центр Москвы - там содержится вся информация о нас с момента рождения.