С 2007 г. действует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», и все организации при обработке персональных данных работников или иных физлиц (например, контрагентов) должны действовать в строгом соответствии с ним. До 1 июля 2011 г. компании должны привести свои информационные системы данных в соответствие с требованиями закона. Это, в частности, означает, что нужно получить лицензию на осуществление деятельности по технической защите данных либо возложить эти функции на специализированную организацию, имеющую такую лицензию. В противном случае могут привлечь к ответственности.
Чем объясняется необходимость лицензии
Персональные данные гражданина на основании Указа Президента РФ от 06.03.97 № 188 включены в перечень сведений конфиденциального характера. Обеспечение же защиты прав и свобод человека и гражданина при обработке его персональных данных декларировано как цель Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
В Законе № 152-ФЗ не говорится, что для работы с персональными данными необходима лицензия. В отношении лицензии в нем лишь упоминается, что орган по защите прав субъектов персональных данных (физических лиц) имеет право инициировать приостановление действия или аннулирование лицензии (п. 6 ч. 3 ст. 23).
О том, что лицензия при работе с персональными данными действительно нужна, свидетельствуют положения Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности». Согласно подп. 11 п. 1 ст. 17 данного закона подлежит лицензированию деятельность по технической защите конфиденциальной информации.
С 1 июля начинает действовать новый Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», который также содержит требование о необходимости лицензировать техническую защиту информации (п. 5 ч. 1 ст. 12 вступает в силу с 3 ноября 2011г.)
Техническая защита данных
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе по техническим каналам, а также от специальных воздействий на такую информацию в целях уничтожения, искажения или блокирования доступа к ней. Об этом говорится в Положении о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства РФ от 15.08.2006 № 504.
Требованиями и одновременно условиями осуществления деятельности по технической защите являются:
наличие:
- специалистов в области технической защиты информации;
- помещений для данной линцензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации;
- производственного, испытательного и контрольно-измерительного оборудования, прошедшего метрологическую поверку (калибровку), маркирование и сертификацию;
- нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации (перечень установлен Федеральной службой по техническому и экспортному контролю);
использование:
- автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, аттестованных и (или) сертифицированных по требованиям безопасности информации;
- предназначенных для данной лицензируемой деятельности программ для ЭВМ и баз данных на основании договора с их правообладателем.
Лицензирование указанной деятельности осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
Использование персональных данных с учетом требований Закона № 152-ФЗ о конфиденциальности обязывает принимать названные меры по их технической защите.
Итак, лицензия нужна. Но есть альтернатива.
Привлечение сторонней организации
В данной ситуации есть выход: не получать лицензию, а заключить договор на обработку персональных данных с организацией, у которой лицензия уже имеется. Такую возможность предоставляет п. 1.3 Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 05.02.2010 № 58. Для выбора и реализации методов и способов защиты данных в информационной системе можно привлечь организацию, имеющую оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Подобное положение содержится в ч. 4 ст. 6 Закона № 152-ФЗ, где предусмотрено, что лицо, занимающееся обработкой персональных данных, вправе на основании договора поручить это другому лицу. Существенным условием такого договора будет обязанность соответствующей организации обеспечить конфиденциальность персональных данных и их безопасность при обработке.
Ответственность за отсутствие лицензии
За осуществление деятельности без лицензии компанию и ее должностных лиц могут привлечь к ответственности, причем не только к административной, но и к уголовной.
Право привлекать к административной ответственности за нарушение Закона № 152‑ФЗ принадлежит Роскомнадзору (уполномоченный орган по защите прав субъектов персональных данных). Кроме того, он уполномочен направлять в правоохранительные органы, в том числе прокуратуру, другие материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью (п. 7, 9 ч. 3 ст. 23 Закона № 152-ФЗ).
Административная ответственность по ст. 13.11 КоАП РФ предусматривает штраф для должностных лиц от 500 до 1000 руб., юридических — от 5000 до 10 000 руб.
К уголовной ответственности за работу с персональными данными без лицензии могут привлечь должностных лиц организации, если в результате работы причинен существенный вред правам и законным интересам владельца этих данных. В этой ситуации применяется ст. 171 «Незаконное предпринимательство» УК РФ.
Данной нормой предусмотрена ответственность, в частности, за осуществление предпринимательской деятельности без лицензии в случаях, когда она обязательна, если деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере. В качестве наказания налагается штраф в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательные работы на срок от 180 до 240 часов, либо арест на срок до шести месяцев.
Порядок проведения проверок
Проверки соответствия обработки персональных данных требованиям законодательства в области персональных данных проводятся согласно
Административному регламенту, утвержденному приказом Роскомнадзора от 01.12.2009 № 630. Назовем его основные положения.
Роскомнадзор и его территориальные органы проводят плановые и внеплановые проверки. Плановые проводятся согласно графику на текущий календарный год. Основанием для их проведения является госрегистрация в качестве юридического лица или индивидуального предпринимателя.
О плановой проверке организацию должны уведомить не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Роскомнадзора или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом.
Внеплановые проверки, например, проводятся:
- по истечении срока исполнения ранее выданного по итогам плановой проверки предписания об устранении выявленного нарушения;
- при поступлении в органы Роскомнадзора заявлений о фактах возникновения вреда или угрозы жизни, здоровью граждан, о каком-либо нарушении прав и законных интересов граждан при обработке их персональных данных.
О внеплановой выездной проверке организацию должны уведомить не менее чем за 24 часа до начала ее проведения любым доступным способом. Исключение составляет случай, когда причинен или причиняется вред жизни, здоровью граждан. Тогда компанию предварительно не уведомляют.
График плановых проверок вместе с информацией о порядке их проведения размещается на официальном сайте Роскомнадзора www.rsoc.ru.
Концепция концепцией, а лицензию никто не отменял
У представителей бизнеса появилась дополнительная проблема. Заметим, что это не вполне согласуется с проводимой в России уже не первый год административной реформой, в рамках которой правительство декларирует сокращение административных барьеров для развития предпринимательства. О стремлении к этой цели свидетельствует замена лицензирования для отдельных видов деятельности обязательным страхованием ответственности. Об этом, в частности, говорится в Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 г. (утверждена распоряжением Правительства РФ от 17.11.2008 № 1662-р).
Не исключено, что проблему с помощью подобных механизмов решат на законодательном уровне. Но пока направленных на это законопроектов в Госдуму не поступало.