Одной из ключевых обязанностей оператора, которой посвящена отдельная ст. 7 Закона N 152-ФЗ, является обязанность обеспечить конфиденциальность персональных данных - запрет раскрывать персональные данные третьим лицам без согласия субъекта. Однако в целом обязанности оператора можно условно разделить на юридические (то есть выражающиеся в совершении юридически значимых действий, принятии документов и т.д.) и на организационно-технические меры, которые имеют своей целью защиту персональных данных гражданина от разглашения.
К юридическим мерам относятся:
1. О получении согласия субъекта персональных данных (когда иные условия их обработки отсутствуют) в форме, обеспечивающей возможность доказать факт получения согласия (п. 1 ст. 9 Закона N 152-ФЗ), либо в определенных законом случаях в письменной форме. Когда речь идет о передаче данных в страну, не обеспечивающую адекватной защиты персональных данных (подп. 1 п. 4 ст. 12 Закона N 152-ФЗ), когда обрабатываются биометрические данные для целей установления личности (п. 1 ст. 11 Закона N 152-ФЗ) или когда имеет место обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (подп. 1 п. 2 ст. 10 Закона N 152-ФЗ). Согласно вступающей в силу с 01.07.2017 ч. 2 ст. 13.11 КоАП РФ неполучение письменного согласия является самостоятельным составом правонарушения, за которое предусмотрен штраф до 75 тыс. руб. для юридических лиц.
2. Опубликование политики конфиденциальности или иного документа, определяющего его политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также обеспечивание возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (п. 2 ст. 18.1 Закона N 152-ФЗ). С 01.07.2017 нарушение такой обязанности повлечет штраф в размере 30 тыс. руб. (ч. 3 ст. 13.11 КоАП РФ).
3. Издание локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (подп. 2 п. 1 ст. 18.1 Закона N 152-ФЗ).
4. Уведомление Роскомнадзора до начала обработки персональных данных (ч. 1 ст. 22 Закона N 152-ФЗ). Такое уведомление не требуется в определенных случаях, предусмотренных ч. 2 ст. 22, к числу одних из самых распространенных среди которых относятся: обработка в соответствии с трудовым законодательством; обработка в связи с исполнением договора; обработка общедоступных персональных данных или персональных данных; а также обработка только Ф.И.О. субъектов; обработка для целей однократного пропуска субъекта на охраняемую территорию.
Неисполнение обязанности по уведомлению Роскомнадзора образует административное правонарушение, предусмотренное ст. 19.7 КоАП РФ (непредставление сведений в государственный орган). К ответственности по данной статье привлекаются, в частности, интернет-магазины с функцией регистрации личного кабинета покупателя (Постановление Нижегородского областного суда от 25.07.2014 по делу N 7 п-371/2014).
К организационно-техническим мерам относятся:
1. Обеспечение безопасности информационных систем и необходимого уровня защищенности персональных данных (ст. 19 Закона N 152-ФЗ; Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также принятые в соответствии с ним Приказы ФСБ России от 10.07.2014 N 378, ФСТЭК России от 18.02.2013 N 21).
2. Назначение лица, ответственного за обработку персональных данных (для операторов, являющихся юридическими лицами) (ст. 22.1 Закона N 152-ФЗ).
3. Обеспечение невозможности несанкционированного доступа к материальному носителю (кроме бумажных носителей и носителей внутри информационной системы оператора) биометрических персональных данных, а также иных требований, установленных Постановлением Правительства РФ от 06.07.2008 N 512. С 01.07.2017 нарушение такой обязанности будет признаваться самостоятельным нарушением, за которое предусмотрен штраф в размере до 50 тыс. руб. (ч. 6 ст. 13.11 КоАП РФ).
4. Обеспечение сохранения персональных данных граждан РФ на территории России (ч. 5 ст. 18 Закона N 152-ФЗ). Согласно разъяснениям Минкомсвязи России у оператора нет необходимости удалять аналогичные данные из зарубежных баз, содержащих данные россиян.
Рассматривая ответственность за нарушение законодательства в области персональных данных, надо, помимо административной, помнить и про иные виды ответственности.
Так, субъект персональных данных, права которого нарушены, вправе претендовать в суде на возмещение убытков и (или) компенсацию морального вреда. Иными словами, оператор находится под риском гражданско-правовой ответственности, которая может повлечь определенные денежные потери, связанные с нарушением.
Не следует забывать и о том, что нарушение норм Закона N 152-ФЗ может в определенных случаях быть признано составом преступления: нарушением неприкосновенности частной жизни (ст. 137 УК РФ) и/или неправомерным доступом к компьютерной информации (ст. 272 УК РФ).
Источник: Консультант Плюс
