Защита данных банковских карт
Узнать большеПонятие оператора персональных данных закреплено в 152-ФЗ от 27.07.2006. Перечень широк, включает физических лиц, организации. При работе с информацией личного характера налагаются жесткие требования по хранению, обработке вверенных данных. Нельзя просто так использовать личные сведения или рассматривать их в качестве собственности. Должны быть соблюдены правила обращения и присутствовать согласие владельца.
Кто является оператором персональных данных согласно 152-ФЗ от 27.07.2006?
Если обратиться к 152-ФЗ от 27.07.2006 как к первоисточнику и акту, регулирующему отношения между владельцем информации и операторами, то в число последних относятся государственные и муниципальные органы, юридические и физические лица, занимающиеся организацией работ по обработке информации, а также определяющие цели, содержание обработки сведений персонального характера. По факту, оператором является практически любая организация или физическое лицо, которые добровольно получают от граждан личные данные и используют их в любых целях, отличных от процесса обработки сведений о персонале. Типичными примерами операторов можно считать:
-
Поставщиков сотовой связи;
-
Интернет-магазины;
-
Муниципальные организации;
-
Государственные органы;
-
Физических лиц, оказывающих услуги на основе договора найма.
Чтобы использовать персональную информацию, оператор в обязательном порядке должен получить письменное согласие на это со стороны владельца и четко указать цели, в которых предполагается обработка данных. Самовольное использование чужих данных или их нецелевая обработка караются штрафами и даже уголовной ответственностью.
Какие обязанности закреплены за операторами?
-
Уведомить Роскомнадзор о том, что оператор занимается обработкой персональных данных, не позднее трех лет с начала ведения такой деятельности. Выполняется на сайте регулятора через специальную форму и заверяется электронной подписью. Также рекомендуется продублировать извещение в бумажной форме, отправив его по почте.
-
Подписать согласие на использование персональных сведений с его владельцем.
-
Известить субъекта персональной информации о целях, методах работы с вверенными данными.
-
Обеспечить комплекс защитных и превентивных мер, направленных на сохранение конфиденциальности персональных сведений, их целостности. Это могут быть организационные, правовые меры, дополненные технической составляющей в виде DLP-систем или другого ПО.
В каких случаях оператору дозволено заниматься обработкой персональной информации без согласия владельца?
-
Когда обработка ведётся в рамках международного соглашения РФ с другими странами.
-
В ситуациях, связанных с обработкой информации в статистических, научных целях и обезличенных данных субъекта.
-
Когда затронуты защита и поддержание здоровья, жизни владельца информации.
-
Субъект информации входит в число участников судебного разбирательства или исполнения решения суда.
-
Обработка связана с исполнением случаев, предусмотренных федеральным законодательством.
-
При обращении в государственные органы за предоставлением услуги.
Ответственность оператора за нецелевое использование персональных данных и их раскрытие
На основании законодательства РФ оператору персональных данных грозит административная, гражданско-правовая, уголовная ответственности за нарушение конфиденциальности вверенных сведений, их утечку, использование и передачу третьей стороне без согласия владельца. На момент написания статьи в Госдуму РФ внесены поправки в 152-ФЗ о введении оборотных штрафов за утечку персональных данных в размере 1% от годового оборота компании, допустившей такую утечку. Более того, размер штрафа может вырасти до 3% в случае, если компания не уведомит Роскомнадзор об инциденте в течение суток.
На текущий момент предусмотрены следующие виды наказания:
-
Возмещение оператором владельцу персональных данных возникшего имущественного и морального вреда;
-
Выговор, замечание или увольнение виновного сотрудника;
-
Назначение принудительных или исправительных работ сроком 1-3 года;
-
Лишение виновных лиц права занимать отдельные должности на период времени 2-5 лет;
-
Вынесение штрафов в зависимости от характера правонарушения и его тяжести. Например, согласно ст. 13.11. КоАП первая утечка персональных данных обойдется оператору в сумму от 60 тыс. руб. до 100 тыс. руб. Штрафы за вторую и последующие утечки могут достигать 500 тыс. руб.;
-
Ограничение свободы и тюремное заключение на срок до двух лет.
Конкретные штрафы, формы наказания, сроки для операторов персональных сведений указаны в КоАП РФ (статьи 13.11, 19.7), ТК РФ (статьи 81, 90, 192), ГК РФ (статья 15), УК РФ (статьи 137, 140, 272). Законодательная база РФ разносторонне охватывает различные виды нарушений в сфере обработки и защиты персональной информации, и выносит по ним наказания разной степени тяжести.
Оператор защиты персональных данных должен позаботиться о сохранности, целостности вверенных ему персональных данных. Принять комплекс защитных мер организационного, правового, технического характера. Использовать информацию исключительно по целевому назначению. В противных случаях контролирующие органы выносят наказание по всей строгости закона.