С приближением НГ над большинством компаний этой страны всё ниже опускается меч правосудия в лице закона номер 152-ФЗ.
Этот закон призван контролировать соблюдение конституционных прав граждан на тайну личной жизни и сохранность личных данных. Если личные данные используются кем то помимо владельца, то имеет место быть факт обработки личных данных. Тот кто обрабатывает личные данные считается оператором обработки и подлежит сертификации, на него накладывается ряд правил которым он должен следовать. В противном случае оператор может быть привлечён как к административной, так и к уголовной ответственности.
Не попадают в сферу действия 152-ФЗ:
- обработка персональных данных физическими лицами исключительно для личных и семейных нужд
- физ.лица со своими адресными книгами
- обработка данных, относящихся к гостайне
- архивный учет
Фактически закон представляет собой набор правил, которым должен следовать оператор персональных данных. Так же он устанавливает дату, к которой информационные системы оператора, созданные до вступления закона в силу, должны быть приведены в соответствие с его требованиями — не позднее 1 января 2010 года. В зависимости от категории персональных данных, оператор обязан направить уведомление в уполномоченный государственный орган.
Личными данными считается любой набор данных, позволяющий однозначно идентифицировать человека.
На пример одно только ФИО не может считаться личными данными, но уже ФИО и адрес однозначно определяют человека и являются личными данными.
Личные данные подлежат классификации.
Самый высший класс — К1 — охраняется почти как государственная тайна. К этой категории относятся данные, разглашение которых может привести к «значительным негативным последствиям» для субъекта. Далее классы идут по убывающей: разглашение данных класса К2 приводит к «негативным последствиям», К3 — к «незначительным последствиям», а К4 вообще не влияет на субъекта. При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, операторы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению оператора — без участия ФСТЭК.
На пример:
ФИО + некоторый id – персональные данные 4 категории.
ФИО + и номер, дата выдачи паспорта или номер ИНН — персональные данные 3 категории.
Карточка Т-2 (унифицированная карточка сотрудника) – персональные данные 2 категории
ФИО + сведения о здоровье (причина заболевания, временные факторы) – персональные данные 1 категории.
Под обработкой персональных данных подразумевается любое действие с этими данными, в том числе и хранение.
Ответственность при невыполнении требований закона весьма серьёзна и включает широкий спектр наказаний. Согласно КоАП РФ и УК РФ, я нашёл несколько статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите персональных данных. Может кто то найдёт и другие, я не юрист.
КоАП Статья 5.39 — отказ в предоставлении гражданину информации. Ответственность — штраф до 1 000 руб.
КоАП статья 3.12 — Административное приостановление деятельности.
КоАП Статья 13.11 — нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Ответственность — штраф до 1 000 руб.
КоАП Статья 13.12 — нарушение правил защиты данных. Ответственность — штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток.
УК Статья 137 — нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев.
УК Статья 140 -отказ в предоставлении гражданину информации. Ответственность — штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью.
УК Статья 171 — незаконное предпринимательство. Ответственность — до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.
В общем список довольно обширен. При чём хитрость и неоднозначность толкования нашего законодательства позволяет применять схожие статьи в одинаковых случаях. Все животные равны, но некторые равнее. Реальность ещё более сурова, рассмотрим простой пример:
В компанию обращается гражданин, данные которого находятся в её базах , с просьбой предоставить ему информацию о том, как ведется обработка его персональных данных. Тут стоит заметить, что такой запрос может подать и совершенно посторонний человек, проверить то вы его никак не сможете. В любом случае он имеет право на такое обращение в соответствии со статьей 14, частью 4 закона N152-ФЗ. Но компания не готова к тому, чтобы дать полный ответ в отведенное время. Она не предоставляет затребованную информацию или предоставляет ее не полностью. Клиент, не получив в указанные в законе сроки ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос о возбуждении уголовного дела в связи с нарушением прав субъекта персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140. И вот у вас под дверью прокурорская проверка. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности мер по защите ПДн. Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК, ФСБ или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК и/или ФСБ по вопросу проведения внеплановой проверки организации с целью выяснения степени выполнения требований по обеспечению защиты ПДн. В ходе проверки выявляется, что данная организация эксплуатирует информационную систему определенного класса и в связи с этим должна была получить лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК. Лицензии данная организация не имеет, и работ по ее получению она не начинала. ФСТЭК направляет отчет о проверке в Роскомнадзор, который, в свою очередь, направляет в органы прокуратуры или другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП ст.13.12 или по УК ст.171.
Что же делать со всем этим и как бороться?
Для начала я бы порекомендовал поторопиться ибо чем дольше вы тянете с решением, тем большему риску подвергается компания. Руководство компании должно понимать всю ответственность и важность проделываемой работы и должно всячески содействовать в её продвижении. Перед началом работ нужно определиться, что мы уже имеем в плане защиты персональных данных. Для этого потребуются нормативные документы ФСТЭК, описывающие технические требования к оператору. Эти документы несут гриф «для служебного пользования», но их не трудно получить, направив заявление в отделение ФСТЭК по месту регистрации оператора. Далее нужно определиться какие из используемых информационных систем имеют сертификаты ФСТЭК. Важно иметь ПО и оборудование, сертифицированное ФСТЭК, про самостоятельную сертификацию я даже молчу — это весьма дорогой и длительный процесс. Используя полученные данные нужно провести аудит использования персональных данных, результатом должен быть список — где, что и в каком размере обрабатывается и хранится.
После проведения аудита наших данных можно приступать к их классификации.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать криптографические средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий – в зависимости от класса информационной системы. Для уменьшения издержек я рекомендую по возможности занизить класс ваших систем. Сделать это можно несколькими способами:
- изоляция системы — вы стараетесь максимально разделить информационную систему с персональными данными и прочие системы.
- разделение — можно попробовать разделить существующую систему на несколько мелких. На пример ФИО+ID хранить в одной базе, а прочие данные — в другой, при условии неявного совпадения.
- обезличивание данных — одна их форм разделения, с использованием сокращения. На пример в полном ФИО можно отчество заменить одной буквой, или хранить отдельно номер паспорта, а серию не хранить вовсе.
- перевод данных в общедоступный вид — часть данных можно оформить как часть общедоступного справочника. На пример у вас в компании есть ПО для ведения большой адресной книги или просто справочник деловых контактов. В нём можно делать ссылки на дополнительную базу в которой будут находиться дополнительные сведения.
Как видите уже на этапе классификации можно нехило экономить деньги.
Дальше больше.
Как вообще должны выглядеть информационные системы с точки зрения закона.
- информационная система отделена от корпоративной сети межсетевым экраном
- в системе используются сертифицированные средства: Разграничения доступа (на уровне ОС, СУБД, прикладных систем), Аудита доступа к ПД (на уровне ОС, СУБД, прикладных систем), Антивирусной защиты.
- Разработан пакет документов по защите персональных данных – паспорт системы, модель угроз, инструкции для персонала и пользователей.
- документированы организационные меры.
Следует определиться — что вы уже имеете.
Во многих организациях используются системы сетевой защщиты серверов, организована зона DMZ. В этом случае первый пункт можно считать выполненым. Если ваше программное обеспечение и железо уже находится в списке сертифицированных ФСТЭК, то вам повезло, если это не так, то самый простой способ это замена существующих систем на аналогичные. Тут следует заметить, что большинство современного софта всё же сертифицировано, на пример Windows 2003 server или MSSQL.
Технические меры неотделимы от мероприятий организационных.
Организационные мероприятия следует очень точно продумать. Тут мало можно дать какие-то точные рекомендации, по тому что во многом это зависит от специфики работы компании. Скажу только, что не стоит недооценивать этот пункт. Многие вещщи можно решить наложив простой организационный запрет, по крайней мере избавить себя от личной отвественности уж точно получится. За основу можно взять уже существующие методические рекомендации ФСТЭК, полученые вами в начале всей суеты. Что должно быть обязательно — паспорт системы (описание того, что вы защищаете), модель угроз (от чего вы защищаетесь), регламенты предоставления доступа и реагирования на инцеденты (описание того, что вы можете делать и каким образом). Как приложение можно оформить пакет инструкций как для пользователей, так и для админов.
Пакет нужных документов зависит от класса сашей системы.
Для систем классов 1, 2 и 3 (болле 1000 субъектов) требуется наличие лицензии на техническую защиту конфиденциальных данных и сертификат об аттестации системы.
Для систем классов 1, 2 и 3 требуется использование сертифицированных ФСТЭК средств защщиты.
Для систем классов 1 и 2 требуется получать письменное согласие на обработку персональных данных от каждого субхекта. Вы должны представить доказательство получения согласия субъекта на обработку его данных. Существуют случаи когда подобная продцедура не требуется. При случае выполнения оператором федерального закона в процессе своей работы (суть работы оператора есть выполнение закона), в случае если персональные данные обрабатываются в рамках исполнения договора, одной из сторон которой является субъект. На пример не нужно такое согласие во время приёма на работу сотрудника, регистрации в пенсионных фондах, подачи налоговой декларации, оформлении страховки.
Для классов 1 и 2 обязательно требуется подавать уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных. Многие компании не обязаны регистрироваться как операторы:
- в случае если оператора и субъекта связывают трудовые отношения.
- в случае заключения договора при условии нераспространения данных оператором.
- в случае если персональные данные получены из открытых источников.
- при обработке обезличенных персональных данных.
- в случае однократного использования данных.
На пример: обычная компания в которой есть отдел кадров, организаторы выдачи одноразовых пропусков на закрытую территорию, продажа билетов. В таких случаях уведомление в Роскомнадзор подавать не нужно.
Резюмируя всё вышесказанное я прихожу к выводу, что не так страшен чёрт…
Допустим если ваша компания не очень большого размера, с обычной бухгалтерией и отделом кадров, штатом сотрудников меньше тысячи чел. Такая компания попадает в третий класс операторов. В этом случае достаточно проверить используемые компоненты систем на сертификацию ФСТЭК, оформить состав данных, оформить список пользователей и закрепить всё это приказом.
Много дополнительной информации можно найти на официальном сайте Уполномоченного органа по защите прав субъектов персональных данных.
В общем примерно так я вижу себе решение этой весьма злободневной проблемы.
На сайте смоленской области можно найти неплохую подборочку документов по теме.
У каждого человека независимо от его возраста и рода занятий, существует информация, относящаяся к личной или семейной тайне. В том или ином виде такую информацию можно считать персональной.
Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации, в правоохранительных органах, страховых агентствах, туристических и гостиничных фирмах, в некоторых подразделениях муниципальных органов самоуправления и т.д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, т.е. в отделе кадров.
Впервые в истории трудового права Российской Федерации на законодательном уровне закреплены положения о защите персональных данных работника. В ТК РФ защите персональных данных работников посвящена глава 14, которая включает понятие персональных данных, порядок их обработки, гарантии их защиты, порядок хранения и использования, а также их передачу. Данная глава также предусматривает права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Помимо трудового законодательства понятие персональных данных прослеживается в ст. 24 Конституции Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, п. 3 ст. 25 Федерального закона от 22.10.04 г. N 125-ФЗ «Об архивном деле в Российской Федерации» (с изм. и доп. от 13.05.08 г.), главе 7 Федерального закона от 27.07.04 г. N 79-ФЗ «О государственной гражданской службе Российской Федерации» (с изм. и доп. от 25.12.08 г.), ст. 15 Федерального закона от 7.05.98 г. N 75-ФЗ «О негосударственных пенсионных фондах» (с изм. и доп. от 23.07.08 г.), п. 8 ст. 6 Федерального закона от 1.04.96 г. N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (с изм. и доп. от 23.07.08 г.), п. 6 ст. 19 Федерального закона от 11.07.01 г. N 95-ФЗ «О политических партиях» (с изм. и доп. от 5.04.09 г.), ст. 29 Федерального закона от 2.03.07 г. N 25-ФЗ «О муниципальной службе в Российской Федерации» (с изм. и доп. от 25.12.08 г.), п. 4 ст. 20 Федерального закона от 11.11.03 г. N 138-ФЗ «О лотереях» (с изм. и доп. от 23.07.08 г.) и, конечно, в Федеральном законе от 27.07.06 г. N 152-ФЗ «О персональных данных».
Таким образом, персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Недостаток такой формулировки правовой нормы заключается в том, что она позволяет относить практически любую запрашиваемую работодателем информацию о работнике или даже о кандидате на вакантное место к персональным данным.
Персональные данные о работнике по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.
Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных.
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования (ст. 86 ТК РФ):
обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами;
все персональные данные работника следует получать у него самого или у третьих лиц, но только с согласия работника;
работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
работники не должны отказываться от своих прав на сохранение и защиту тайны;
работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Законодатель обязывает работодателя соблюдать все перечисленные положения, однако механизма, который определял бы стандартный пакет документов и процедурные вопросы, позволяющего безболезненно работать с персональными данными работника, не предусмотрел. Как правило, работодатели определяют порядок хранения и использования персональных данных положением об их защите. По сложившейся практике порядок хранения и использования персональных данных работников предприятия определяет положение о защите персональных данных, введенное в действие приказом руководителя. Форма данного локального акта законодательно не установлена.
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Персональные данные о работнике работодателю следует получать у самого гражданина. В условиях приема на работу некоторые сведения работодатель может получить не только непосредственно у самого работника, но и от третьих лиц, например бывших работодателей.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Законодателем предусмотрены права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя.
Так, в соответствии со ст. 89 ТК РФ в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, о всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
В связи с тем что законодатель обязывает работодателя соблюдать все перечисленные положения, рекомендуем отразить во внутреннем локальном акте следующее:
понятие и состав персональных данных;
порядок хранения данных в структурных подразделениях предприятия (при их наличии);
организацию учета данных: в бумажном виде или на электронных носителях, порядок архивирования;
процедуру сбора персональных данных;
порядок обработки и использования данных;
перечень должностных лиц, имеющих право доступа к персональным данным работников;
способы защиты бумажных носителей (отдельные кабинеты для работников, непосредственно работающих с персональными данными, закрывающиеся шкафы, сейфы и т.д.), способы защиты электронных носителей (персональные компьютеры с паролями);
право работника на защиту своих персональных данных;
ответственность должностных лиц за разглашение конфиденциальной информации, связанной с персональными данными работников.
Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к положению (как правило, это руководитель предприятия, работники кадровой и бухгалтерской службы, службы подбора персонала, руководители структурных подразделений).
Статьей 90 ТК РФ предусмотрена ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника. Согласно данной статье лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Что касается административной ответственности, ст. 13.11 КоАП РФ предусмотрена ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб., на должностных лиц — от 500 до 1000 руб., на юридических лиц — от 5000 до 10 000 руб.
Уголовное законодательство трактует данные нарушения как нарушение неприкосновенности частной жизни (ст. 137 УК РФ). Согласно указанной статье незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Если эти деяния совершены лицом с использованием своего служебного положения, то ответственность гораздо серьезнее — данные деяния наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Кто же на предприятии будет нести ответственность за нарушение конституционного права работника в отношении его персональных данных — только руководитель или любое должностное лицо предприятия, допущенное к такой информации?
Ответ на данный вопрос представлен в ст. 2.4 КоАП РФ, в соответствии с которой административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей.
Под должностным лицом следует понимать лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, т.е. наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах Российской Федерации, других войсках и воинских формированиях Российской Федерации. Совершившие административные правонарушения в связи с выполнением организационно-распорядительных или административно-хозяйственных функций руководители и другие работники иных организаций, а также лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как должностные лица, если законом не установлено иное.
Таким образом, ответственностью наделены все должностные лица предприятий, которые непосредственно допущены к информации, являющейся персональными данными конкретного работника.
А. Цыганов,
генеральный директор аудиторской фирмы «Ларика»
«Финансовая газета», N 21, май 2009 г.
Этот закон призван контролировать соблюдение конституционных прав граждан на тайну личной жизни и сохранность личных данных. Если личные данные используются кем то помимо владельца, то имеет место быть факт обработки личных данных. Тот кто обрабатывает личные данные считается оператором обработки и подлежит сертификации, на него накладывается ряд правил которым он должен следовать. В противном случае оператор может быть привлечён как к административной, так и к уголовной ответственности.
Не попадают в сферу действия 152-ФЗ:
- обработка персональных данных физическими лицами исключительно для личных и семейных нужд
- физ.лица со своими адресными книгами
- обработка данных, относящихся к гостайне
- архивный учет
Фактически закон представляет собой набор правил, которым должен следовать оператор персональных данных. Так же он устанавливает дату, к которой информационные системы оператора, созданные до вступления закона в силу, должны быть приведены в соответствие с его требованиями — не позднее 1 января 2010 года. В зависимости от категории персональных данных, оператор обязан направить уведомление в уполномоченный государственный орган.
Личными данными считается любой набор данных, позволяющий однозначно идентифицировать человека.
На пример одно только ФИО не может считаться личными данными, но уже ФИО и адрес однозначно определяют человека и являются личными данными.
Личные данные подлежат классификации.
Самый высший класс — К1 — охраняется почти как государственная тайна. К этой категории относятся данные, разглашение которых может привести к «значительным негативным последствиям» для субъекта. Далее классы идут по убывающей: разглашение данных класса К2 приводит к «негативным последствиям», К3 — к «незначительным последствиям», а К4 вообще не влияет на субъекта. При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, операторы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению оператора — без участия ФСТЭК.
На пример:
ФИО + некоторый id – персональные данные 4 категории.
ФИО + и номер, дата выдачи паспорта или номер ИНН — персональные данные 3 категории.
Карточка Т-2 (унифицированная карточка сотрудника) – персональные данные 2 категории
ФИО + сведения о здоровье (причина заболевания, временные факторы) – персональные данные 1 категории.
Под обработкой персональных данных подразумевается любое действие с этими данными, в том числе и хранение.
Ответственность при невыполнении требований закона весьма серьёзна и включает широкий спектр наказаний. Согласно КоАП РФ и УК РФ, я нашёл несколько статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите персональных данных. Может кто то найдёт и другие, я не юрист.
КоАП Статья 5.39 — отказ в предоставлении гражданину информации. Ответственность — штраф до 1 000 руб.
КоАП статья 3.12 — Административное приостановление деятельности.
КоАП Статья 13.11 — нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Ответственность — штраф до 1 000 руб.
КоАП Статья 13.12 — нарушение правил защиты данных. Ответственность — штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток.
УК Статья 137 — нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев.
УК Статья 140 -отказ в предоставлении гражданину информации. Ответственность — штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью.
УК Статья 171 — незаконное предпринимательство. Ответственность — до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.
В общем список довольно обширен. При чём хитрость и неоднозначность толкования нашего законодательства позволяет применять схожие статьи в одинаковых случаях. Все животные равны, но некторые равнее. Реальность ещё более сурова, рассмотрим простой пример:
В компанию обращается гражданин, данные которого находятся в её базах , с просьбой предоставить ему информацию о том, как ведется обработка его персональных данных. Тут стоит заметить, что такой запрос может подать и совершенно посторонний человек, проверить то вы его никак не сможете. В любом случае он имеет право на такое обращение в соответствии со статьей 14, частью 4 закона N152-ФЗ. Но компания не готова к тому, чтобы дать полный ответ в отведенное время. Она не предоставляет затребованную информацию или предоставляет ее не полностью. Клиент, не получив в указанные в законе сроки ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос о возбуждении уголовного дела в связи с нарушением прав субъекта персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140. И вот у вас под дверью прокурорская проверка. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности мер по защите ПДн. Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК, ФСБ или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК и/или ФСБ по вопросу проведения внеплановой проверки организации с целью выяснения степени выполнения требований по обеспечению защиты ПДн. В ходе проверки выявляется, что данная организация эксплуатирует информационную систему определенного класса и в связи с этим должна была получить лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК. Лицензии данная организация не имеет, и работ по ее получению она не начинала. ФСТЭК направляет отчет о проверке в Роскомнадзор, который, в свою очередь, направляет в органы прокуратуры или другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП ст.13.12 или по УК ст.171.
Что же делать со всем этим и как бороться?
Для начала я бы порекомендовал поторопиться ибо чем дольше вы тянете с решением, тем большему риску подвергается компания. Руководство компании должно понимать всю ответственность и важность проделываемой работы и должно всячески содействовать в её продвижении. Перед началом работ нужно определиться, что мы уже имеем в плане защиты персональных данных. Для этого потребуются нормативные документы ФСТЭК, описывающие технические требования к оператору. Эти документы несут гриф «для служебного пользования», но их не трудно получить, направив заявление в отделение ФСТЭК по месту регистрации оператора. Далее нужно определиться какие из используемых информационных систем имеют сертификаты ФСТЭК. Важно иметь ПО и оборудование, сертифицированное ФСТЭК, про самостоятельную сертификацию я даже молчу — это весьма дорогой и длительный процесс. Используя полученные данные нужно провести аудит использования персональных данных, результатом должен быть список — где, что и в каком размере обрабатывается и хранится.
После проведения аудита наших данных можно приступать к их классификации.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать криптографические средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий – в зависимости от класса информационной системы. Для уменьшения издержек я рекомендую по возможности занизить класс ваших систем. Сделать это можно несколькими способами:
- изоляция системы — вы стараетесь максимально разделить информационную систему с персональными данными и прочие системы.
- разделение — можно попробовать разделить существующую систему на несколько мелких. На пример ФИО+ID хранить в одной базе, а прочие данные — в другой, при условии неявного совпадения.
- обезличивание данных — одна их форм разделения, с использованием сокращения. На пример в полном ФИО можно отчество заменить одной буквой, или хранить отдельно номер паспорта, а серию не хранить вовсе.
- перевод данных в общедоступный вид — часть данных можно оформить как часть общедоступного справочника. На пример у вас в компании есть ПО для ведения большой адресной книги или просто справочник деловых контактов. В нём можно делать ссылки на дополнительную базу в которой будут находиться дополнительные сведения.
Как видите уже на этапе классификации можно нехило экономить деньги.
Дальше больше.
Как вообще должны выглядеть информационные системы с точки зрения закона.
- информационная система отделена от корпоративной сети межсетевым экраном
- в системе используются сертифицированные средства: Разграничения доступа (на уровне ОС, СУБД, прикладных систем), Аудита доступа к ПД (на уровне ОС, СУБД, прикладных систем), Антивирусной защиты.
- Разработан пакет документов по защите персональных данных – паспорт системы, модель угроз, инструкции для персонала и пользователей.
- документированы организационные меры.
Следует определиться — что вы уже имеете.
Во многих организациях используются системы сетевой защщиты серверов, организована зона DMZ. В этом случае первый пункт можно считать выполненым. Если ваше программное обеспечение и железо уже находится в списке сертифицированных ФСТЭК, то вам повезло, если это не так, то самый простой способ это замена существующих систем на аналогичные. Тут следует заметить, что большинство современного софта всё же сертифицировано, на пример Windows 2003 server или MSSQL.
Технические меры неотделимы от мероприятий организационных.
Организационные мероприятия следует очень точно продумать. Тут мало можно дать какие-то точные рекомендации, по тому что во многом это зависит от специфики работы компании. Скажу только, что не стоит недооценивать этот пункт. Многие вещщи можно решить наложив простой организационный запрет, по крайней мере избавить себя от личной отвественности уж точно получится. За основу можно взять уже существующие методические рекомендации ФСТЭК, полученые вами в начале всей суеты. Что должно быть обязательно — паспорт системы (описание того, что вы защищаете), модель угроз (от чего вы защищаетесь), регламенты предоставления доступа и реагирования на инцеденты (описание того, что вы можете делать и каким образом). Как приложение можно оформить пакет инструкций как для пользователей, так и для админов.
Пакет нужных документов зависит от класса сашей системы.
Для систем классов 1, 2 и 3 (болле 1000 субъектов) требуется наличие лицензии на техническую защиту конфиденциальных данных и сертификат об аттестации системы.
Для систем классов 1, 2 и 3 требуется использование сертифицированных ФСТЭК средств защщиты.
Для систем классов 1 и 2 требуется получать письменное согласие на обработку персональных данных от каждого субхекта. Вы должны представить доказательство получения согласия субъекта на обработку его данных. Существуют случаи когда подобная продцедура не требуется. При случае выполнения оператором федерального закона в процессе своей работы (суть работы оператора есть выполнение закона), в случае если персональные данные обрабатываются в рамках исполнения договора, одной из сторон которой является субъект. На пример не нужно такое согласие во время приёма на работу сотрудника, регистрации в пенсионных фондах, подачи налоговой декларации, оформлении страховки.
Для классов 1 и 2 обязательно требуется подавать уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных. Многие компании не обязаны регистрироваться как операторы:
- в случае если оператора и субъекта связывают трудовые отношения.
- в случае заключения договора при условии нераспространения данных оператором.
- в случае если персональные данные получены из открытых источников.
- при обработке обезличенных персональных данных.
- в случае однократного использования данных.
На пример: обычная компания в которой есть отдел кадров, организаторы выдачи одноразовых пропусков на закрытую территорию, продажа билетов. В таких случаях уведомление в Роскомнадзор подавать не нужно.
Резюмируя всё вышесказанное я прихожу к выводу, что не так страшен чёрт…
Допустим если ваша компания не очень большого размера, с обычной бухгалтерией и отделом кадров, штатом сотрудников меньше тысячи чел. Такая компания попадает в третий класс операторов. В этом случае достаточно проверить используемые компоненты систем на сертификацию ФСТЭК, оформить состав данных, оформить список пользователей и закрепить всё это приказом.
Много дополнительной информации можно найти на официальном сайте Уполномоченного органа по защите прав субъектов персональных данных.
В общем примерно так я вижу себе решение этой весьма злободневной проблемы.
На сайте смоленской области можно найти неплохую подборочку документов по теме.
Метки: безопасность, фстэк
Категория: закон
О персональных данных
Posted Опубликовано: 26 Март 2009 Автор: МышеводОставить комментарий!
Защита персональных данных работника: правовые аспектыУ каждого человека независимо от его возраста и рода занятий, существует информация, относящаяся к личной или семейной тайне. В том или ином виде такую информацию можно считать персональной.
Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации, в правоохранительных органах, страховых агентствах, туристических и гостиничных фирмах, в некоторых подразделениях муниципальных органов самоуправления и т.д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, т.е. в отделе кадров.
Впервые в истории трудового права Российской Федерации на законодательном уровне закреплены положения о защите персональных данных работника. В ТК РФ защите персональных данных работников посвящена глава 14, которая включает понятие персональных данных, порядок их обработки, гарантии их защиты, порядок хранения и использования, а также их передачу. Данная глава также предусматривает права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Помимо трудового законодательства понятие персональных данных прослеживается в ст. 24 Конституции Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, п. 3 ст. 25 Федерального закона от 22.10.04 г. N 125-ФЗ «Об архивном деле в Российской Федерации» (с изм. и доп. от 13.05.08 г.), главе 7 Федерального закона от 27.07.04 г. N 79-ФЗ «О государственной гражданской службе Российской Федерации» (с изм. и доп. от 25.12.08 г.), ст. 15 Федерального закона от 7.05.98 г. N 75-ФЗ «О негосударственных пенсионных фондах» (с изм. и доп. от 23.07.08 г.), п. 8 ст. 6 Федерального закона от 1.04.96 г. N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (с изм. и доп. от 23.07.08 г.), п. 6 ст. 19 Федерального закона от 11.07.01 г. N 95-ФЗ «О политических партиях» (с изм. и доп. от 5.04.09 г.), ст. 29 Федерального закона от 2.03.07 г. N 25-ФЗ «О муниципальной службе в Российской Федерации» (с изм. и доп. от 25.12.08 г.), п. 4 ст. 20 Федерального закона от 11.11.03 г. N 138-ФЗ «О лотереях» (с изм. и доп. от 23.07.08 г.) и, конечно, в Федеральном законе от 27.07.06 г. N 152-ФЗ «О персональных данных».
Таким образом, персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Недостаток такой формулировки правовой нормы заключается в том, что она позволяет относить практически любую запрашиваемую работодателем информацию о работнике или даже о кандидате на вакантное место к персональным данным.
Персональные данные о работнике по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.
Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных.
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования (ст. 86 ТК РФ):
обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами;
все персональные данные работника следует получать у него самого или у третьих лиц, но только с согласия работника;
работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
работники не должны отказываться от своих прав на сохранение и защиту тайны;
работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Законодатель обязывает работодателя соблюдать все перечисленные положения, однако механизма, который определял бы стандартный пакет документов и процедурные вопросы, позволяющего безболезненно работать с персональными данными работника, не предусмотрел. Как правило, работодатели определяют порядок хранения и использования персональных данных положением об их защите. По сложившейся практике порядок хранения и использования персональных данных работников предприятия определяет положение о защите персональных данных, введенное в действие приказом руководителя. Форма данного локального акта законодательно не установлена.
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Персональные данные о работнике работодателю следует получать у самого гражданина. В условиях приема на работу некоторые сведения работодатель может получить не только непосредственно у самого работника, но и от третьих лиц, например бывших работодателей.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Законодателем предусмотрены права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя.
Так, в соответствии со ст. 89 ТК РФ в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, о всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
В связи с тем что законодатель обязывает работодателя соблюдать все перечисленные положения, рекомендуем отразить во внутреннем локальном акте следующее:
понятие и состав персональных данных;
порядок хранения данных в структурных подразделениях предприятия (при их наличии);
организацию учета данных: в бумажном виде или на электронных носителях, порядок архивирования;
процедуру сбора персональных данных;
порядок обработки и использования данных;
перечень должностных лиц, имеющих право доступа к персональным данным работников;
способы защиты бумажных носителей (отдельные кабинеты для работников, непосредственно работающих с персональными данными, закрывающиеся шкафы, сейфы и т.д.), способы защиты электронных носителей (персональные компьютеры с паролями);
право работника на защиту своих персональных данных;
ответственность должностных лиц за разглашение конфиденциальной информации, связанной с персональными данными работников.
Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к положению (как правило, это руководитель предприятия, работники кадровой и бухгалтерской службы, службы подбора персонала, руководители структурных подразделений).
Статьей 90 ТК РФ предусмотрена ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника. Согласно данной статье лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Что касается административной ответственности, ст. 13.11 КоАП РФ предусмотрена ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб., на должностных лиц — от 500 до 1000 руб., на юридических лиц — от 5000 до 10 000 руб.
Уголовное законодательство трактует данные нарушения как нарушение неприкосновенности частной жизни (ст. 137 УК РФ). Согласно указанной статье незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Если эти деяния совершены лицом с использованием своего служебного положения, то ответственность гораздо серьезнее — данные деяния наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Кто же на предприятии будет нести ответственность за нарушение конституционного права работника в отношении его персональных данных — только руководитель или любое должностное лицо предприятия, допущенное к такой информации?
Ответ на данный вопрос представлен в ст. 2.4 КоАП РФ, в соответствии с которой административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей.
Под должностным лицом следует понимать лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, т.е. наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах Российской Федерации, других войсках и воинских формированиях Российской Федерации. Совершившие административные правонарушения в связи с выполнением организационно-распорядительных или административно-хозяйственных функций руководители и другие работники иных организаций, а также лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как должностные лица, если законом не установлено иное.
Таким образом, ответственностью наделены все должностные лица предприятий, которые непосредственно допущены к информации, являющейся персональными данными конкретного работника.
А. Цыганов,
генеральный директор аудиторской фирмы «Ларика»
«Финансовая газета», N 21, май 2009 г.
Комментариев нет:
Отправить комментарий