"Современный предприниматель", 2011, N 12
Защита персональных данных
Правовую основу регулирования отношений в сфере персональных данных составляет Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) и принятые в соответствии с ним иные нормативные правовые акты. Действие законодательства о персональных данных распространяется на все государственные и муниципальные органы, юридические и физические лица, включая индивидуальных предпринимателей.
Персональные данные - любая информация, относящаяся прямо или косвенно к физлицу (субъекту персональных данных). Сюда, в частности, относятся фамилия, имя, отчество субъекта, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другие данные.
Любые действия или операции с персональными данными называются обработкой персональных данных. К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Все эти действия могут совершаться с помощью средств автоматизации или без использования таковых.
Юридические и физические лица (в том числе предприниматели), государственные и муниципальные ведомства, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, называются операторами персональных данных (ст. 3 Закона N 152-ФЗ).
Нанимая сотрудников, коммерсант получает персональные данные физлиц. Но, помимо сведений о работниках, в ходе деятельности предприниматель получает информацию о партнерах, клиентах. Все эти данные тоже подпадают под действие Закона N 152-ФЗ. В частности, необходимость соблюдения мер по защите персональных данных относится к туроператорам, гостиницам, продавцам, реализующим свои товары дистанционным способом, которые при заключении договора запрашивают у потребителя информацию о его персональных данных (ст. 19 Закона N 152-ФЗ, п. 16 Правил продажи товаров дистанционным способом, утвержденных Постановлением Правительства РФ от 27 сентября 2007 г. N 612), общественным, политическим и религиозным организациям, которые при приеме в свои ряды новых членов запрашивают их персональные данные, к операторам телефонных и интернет-услуг.
Наша справка. Конституцией установлено: каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. ст. 23 и 24).
Обязанности оператора
До начала обработки персональных данных оператор обязан направить уведомление в территориальное отделение Роскомнадзора по месту своего нахождения. Форма бланка и Рекомендации по его заполнению утверждены Приказом Роскомнадзора от 16 июля 2010 г. N 482.
В ст. 22 Закона N 152-ФЗ приведен закрытый перечень случаев, когда направлять уведомление не нужно (таблица 1).
Таблица 1. Случаи, когда оператор вправе осуществлять
обработку персональных данных без уведомления Роскомнадзора
┌─────────────────────────────────────────────────────────────────────────┐
│ N Случай │
│п/п │
├─────────────────────────────────────────────────────────────────────────┤
│ 1 Персональные данные обрабатываются в соответствии с трудовым │
│ законодательством │
├─────────────────────────────────────────────────────────────────────────┤
│ 2 Персональные данные получены оператором в связи с заключением │
│ договора, стороной которого является субъект персональных данных, │
│ если персональные данные не распространяются, а также не │
│ предоставляются третьим лицам без согласия субъекта персональных │
│ данных и используются оператором исключительно для исполнения │
│ указанного договора и заключения договоров с субъектом персональных │
│ данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 3 Субъект персональных данных сделал данные общедоступными │
├─────────────────────────────────────────────────────────────────────────┤
│ 4 Персональные данные включают в себя только фамилии, имена и отчества │
│ субъектов персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 5 Персональные данные необходимы в целях однократного пропуска субъекта│
│ персональных данных на территорию, на которой находится оператор, или│
│ в иных аналогичных целях │
├─────────────────────────────────────────────────────────────────────────┤
│ 6 Персональные данные включены: │
│ - в информационные системы персональных данных, имеющие в │
│ соответствии с федеральными законами статус государственных │
│ автоматизированных информационных систем; │
│ - в государственные информационные системы персональных данных, │
│ созданные в целях защиты безопасности государства и общественного │
│ порядка │
├─────────────────────────────────────────────────────────────────────────┤
│ 7 Персональные данные обрабатываются без использования средств │
│ автоматизации в соответствии с федеральными законами или иными │
│ нормативными правовыми актами, устанавливающими требования к │
│ обеспечению безопасности персональных данных при их обработке и к │
│ соблюдению прав субъектов персональных данных │
├─────────────────────────────────────────────────────────────────────────┤
│ 8 Персональные данные обрабатываются в случаях, предусмотренных │
│ законодательством РФ о транспортной безопасности, в целях обеспечения│
│ устойчивого и безопасного функционирования транспортного комплекса, │
│ защиты интересов личности, общества и государства в сфере │
│ транспортного комплекса от актов незаконного вмешательства │
├─────────────────────────────────────────────────────────────────────────┤
│ 9 Персональные данные относятся к членам (участникам) общественного │
│ объединения или религиозной организации и обрабатываются │
│ соответствующими общественным объединением или религиозной │
│ организацией, действующими в соответствии с законодательством РФ, для│
│ достижения законных целей, предусмотренных их учредительными │
│ документами, при условии, что персональные данные не будут │
│ распространяться или раскрываться третьим лицам без согласия в │
│ письменной форме субъектов персональных данных │
└─────────────────────────────────────────────────────────────────────────┘
Оператор обязан принимать меры по защите персональных данных, но при этом перечень таких мер он вправе определять самостоятельно. К ним, в частности, отнесены следующие меры: назначение ответственного лица, издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением, ознакомление своих работников с действующими нормативами в области защиты персональных данных и своими внутренними правилами. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных (ст. 18.1 Закона N 152-ФЗ).
Оператор персональных данных обязан в течение 30 дней предоставить информацию о наличии у него персональных данных и предоставить возможность ознакомления с ними субъекту персональных данных, а также Роскомнадзору и его территориальным органам по соответствующим запросам (п. п. 1 и 4 ст. 20 Закона N 152-ФЗ).