Права оператора персональных данных обеспечивают качественное выполнение его функций вытекают из его обязанностей. Необходимо опираться на ст. закона № 152-ФЗ чтобы определить позицию законодателя по объему возможной самостоятельности организации или индивидуального предпринимателя. Отдельного раздела, посвященного регулированию этого вопроса ни в законе, ни в подзаконных нормативных актах не содержится. Они описаны в нормах, посвященных задачам и обязанностям компании, обрабатывающей ПД.

ПД и обеспечение конфиденциальности

Российское законодательство не дает исчерпывающего понятия персональных данных. Под ними понимается любая информация о гражданине, которая позволяет его идентифицировать. 

К таким сведениям относятся:

• ФИО;
• данные о районе проживания (особенно актуально требование скрывать место учебы или проживания детей);
• телефон, адрес e-mail;
• номера банковских карт и счетов;
• биометрическая информация, включая фотографии на пропуска;
• сведения о личной жизни, семейном положении, детях;
• информация о составе имущества.

По логике законодателя любые необезличенные сведения о человеке, предоставляемые им организации, считаются персональными данными и подлежат защите на основании норм Конституции, международных соглашений, национального законодательства. 
Клиенты или работники, предоставляющие персональные данные для обработки в коммерческих или служебных целях организациям или ИП, обладают широким спектром возможностей, среди них:

• отозвать согласие на использование информации;
• внести изменения в личные сведения, потребовать их уничтожения или блокировки;
• направить жалобу на действия компании регулятору, который обязан отреагировать.

Несмотря на то, что права субъектов персональных данных утверждены законодательно при их использовании есть ограничения. Например, оператор, являющийся государственным органом или частной компанией, зачастую обрабатывает огромные объемы ПД и не всегда сможет отреагировать оперативно на обращение заявителя без ущерба для бизнес-процессов. В связи с этим законом ему предоставлены ограниченные права, непосредственно связанные с выполнением им обязанностей по обеспечению конфиденциальности.

Функции организации

Необходимость защиты персональных данных как неотъемлемых прав личности, побудила определить в законодательстве специального субъекта – оператора персональных данных. Это организации, государственные органы, индивидуальные предприниматели, которым приходится работать с персональными данными и обеспечивать конфиденциальность, вне зависимости от способа и цели обработки сведений.

Среди основных функций организаций, обрабатывающих ПД:

• сбор сведений в соответствии с требованиями законодательства, с обязательным оформлением согласий;
• обработка ПД с учетом разрешенных законодательством целей;
• хранение данных в информационных системах, таким образом, чтобы обеспечить их защиту от утечек;
• безопасное хранение материальных носителей ПД при ручной обработке сведений в соответствие с нормами Постановления Правительства №687;
• обеспечение проведения проверки регуляторов на соответствие деятельности компании законодательству, выполнение предписаний.

Большой объем обязанностей и необходимость использования сертифицированного программного обеспечения часто приводят к избыточной нагрузке на небольшие коммерческие структуры, учреждения медицины и образования. Требования по обеспечению безопасности бывают непосильными и часто приводят к привлечению к ответственности фактически невиновных лиц, например, главных врачей больниц, бюджет которых не рассчитан на установку сертифицированного программного обеспечения. Анализ практики указывает на необходимость установления таких требований для организаций, которые помогут им снизить риски для персональных данных без излишней нагрузки на производственные процессы.

Нормативное регулирование

Глава 4 Закона «О персональных данных» (статьи 18-22.1) описывает обязанности оператора. Анализируя каждую из статей, можно увидеть права организации, помогающие ей наилучшим образом выполнять поставленную государством задачу по защите персональных данных. Они вытекают из обязанностей, иного решения законодатель для регулирования этой сферы не предложил. 

Например, из статьи 18 упомянутого закона описывающую обязанности организации при сборе информации, вытекают следующие права:

• собирать ПД граждан для решения государственных, уставных и коммерческих задач при условии соблюдения требований законодательства;
• требовать от стороны трудовых или гражданских взаимоотношений предоставления ПД если это напрямую разрешает закон (например, в образовании, медицине, сфере ЖКХ);
• получать ПД не только от их субъекта, но и от третьих лиц, иногда не разъясняя ему источник получения. Эта функция реализуется в случаях, когда ПД общедоступные или получены из общедоступного источника, передаются на основе требований законодателя, учитываются в статистике или нужны для организации работа журналиста;
• в случаях, непосредственно названных в ст. 6 закона, хранить ПД российских граждан на серверах, которые расположены не на территории страны, если это связано с действием международного договора или по иным аналогичным причинам.

Любыми правами можно злоупотребить. Чтобы исключить это, за реализацией функций организации при сборе ПД следит регулятор – Роскомнадзор. Обеспечение безопасности персональных данных также гарантируется необходимостью для компании или индивидуального предпринимателя иметь сертифицированные ФСТЭК РФ программные и технические средства, исключающие неправомерный доступ к данным.

В статье 18.1 федерального закона, описывающей меры, которые требуется выполнить организации, также можно найти ряд предоставленных ей прав. Основным из них является право самостоятельно определять состав и перечень технических, организационных и программных мер, необходимых и достаточных для выполнения обязанностей. Регулятор может задать направление построения системы защиты, но конкретную стратегию организация разрабатывает самостоятельно. Если в ходе проверок выявляется, что ряд программ или технических средств она не может использовать из-за бюджетных ограничений, ей могут дать время на их постепенное внедрение. 

Среди норм, которые могут быть рассмотрены в качестве прав организации:

• организация может назначить лицом, ответственным за обработку ПД, любого сотрудника, регулятор не предъявляет специальных требований к его квалификации и компетенции;
• в рамках издания локальных нормативных актов, определяющих политику обработки персональных данных, организация не связана требованиями к их объему и структуре, главное – учесть требования закона;
• компания вправе сама контролировать соблюдение законодательства о защите персональных данных путем организации службы внутреннего контроля;
• компания самостоятельно подбирает комплекс организационных, технических и программных мер для защиты ПД, исходя из своего бюджета. Он вправе выбрать любые из рекомендуемых основных и замещающих средств;
• организация может самостоятельно произвести оценку вреда, связанного с утечками ПД, и, исходя из этой оценки, выбрать меры защиты;
• компания может информировать Роскомнадзор и ФСТЭК о принятых ей мерах по защите персональных данных только по их запросу, регулярного предоставления отчетности не требуется;
• оператор вправе передавать персональные данные граждан для обработки третьим лицам при выполнении требований законодательства по оформлению согласия. При этом он не обязан информировать субъекта ПД о том, каким именно организациям передает сведения;
• компания может хранить данные в облачном хранилище при условии соблюдения провайдером технических и программных требований по защите ПД.

Большая степень самостоятельности компании при выборе мер защиты персональных данных гарантирует выбор им наиболее комфортного и не мешающего бизнесу способа выполнения обязанностей.

Ст. 19 закона говорит о мерах, которые требуется принять организации при организации обработки ПД. 

В ней содержатся следующие ее права:

• самостоятельно создавать модель угроз, служащую основой для принятия системы мер безопасности;
• выбрать любое из рекомендуемых и сертифицированных ФСТЭК РФ программных и технических средств защиты информации;
• оценить эффективность выбранных мер до ввода системы в эксплуатацию (касается государственных информационных систем – ГИС);
• разработать собственную систему учета и хранения машинных носителей информации;
• принять предусмотренные собственной внутренней политикой меры по выявлению и устранению инцидентов, связанных с несанкционированным доступом к персональным данным;
• установить собственную систему разграничения возможностей доступа к ПД, обеспечивающую их защиту от несанкционированного доступа;
• контролировать реализацию принятой системы мер и ее эффективность.

Организация – оператор персональных данных, опираясь на принимаемые Правительством РФ нормы, строит свою систему обработки персональных данных, исходя из принципов целесообразности и достаточности, с учетом экономической эффективности принятых мер безопасности и эквивалентности их стоимости предполагаемому ущербу. В этой же статье определены права союзов и общественных организаций, которые своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при их обработке в ИС.

Статья 20 закона «О персональных данных» говорит об обязанностях оператора ПД, связанных с обращением к нему гражданина или регулятора с вопросом о статусе его персональных данных. 

Среди возможностей организации:

• возможность предоставить персональные данные для ознакомления субъекту или его представителю в течение 30 дней со дня получения запроса. Это позволяет оптимизировать работу с запросами, не торопиться, если для выгрузки информации требуется время;
• возможность отказать в ознакомлении по запросу, если такие права предусмотрены законодательством о персональных данных;
• возможность удалить или откорректировать неточные или неполные данные не на следующий день после получения обращения, а в течение 7 дней.

Определенный срок реагирования на обращения подтверждает возможность организации не прерывать основные бизнес-процессы ради выполнения обязанностей по ознакомлению с ПД или их корректировки. 21-я статья закона говорит об обязанностях организации, возникающих в связи с необходимостью принять меры, связанные с устранением нарушений законодательства, допущенных при обработке персональных данных, по их уточнению, блокированию и уничтожению. 

Ограниченные права организации, занимающейся обработкой персональных данных, вытекают и из этой статьи:

• компания может уничтожить или блокировать персональные данные только после подтверждения их неточности, причем порядок предоставления такого подтверждения в законе не оговорен;
• если обработка персональных данных ведется неправомерно, оператор вправе добиться восстановления законности обработки;
• после достижения цели обработки ПД у оператора есть 30 дней на их уничтожение, он не обязан делать это немедленно, чтобы не подвергать риску бизнес-процессы;
• если оператор не может уничтожить ПД за 30 дней, он вправе их заблокировать (ограничить к ним доступ третьих лиц). В этом случае он получает полгода на их уничтожение.

Лояльная политика законодателя в области сроков реагирования на запросы призвана обеспечить непрерывность работы оператора. 22-я статья закона содержит нормы, связанные с оформлением уведомления об обработке персональных данных. Уведомление направляется в Роскомнадзор в связи с началом организацией деятельности, связанной с обработкой персональных данных. 

Определенные права организации, вытекающие из этой статьи, связаны с возможностью осуществлять обработку ПД без уведомления в тех ситуациях, когда:

• данные обрабатываются на основании трудового законодательства;
• организация получает информацию исключительно из договора, стороной которого является субъект персональных данных;
• данные по решению субъекта являются общедоступными, при этом сведения, размещаемые в социальных сетях, таковыми не считаются;
• информация о гражданах, являющихся участниками общественных или религиозных организаций, обрабатывается в связи с выполнением их уставных целей.

Оператор не ограничен в сроке, в течение которого он обязан направить уведомление. 

У сотрудника, который отвечает за обработку ПД в организации, также есть определенные права. Так, он отчитывается только перед организацией и не обязан направлять какие-то сведения регулятору от своего имени.  

Определенный комплекс прав, предоставленных оператору персональных данных, призван исключить ситуации, когда избыточная регуляторная активность существенно замедляет работу компании. При этом организация может обжаловать действия регулятора в суде, оспаривать незаконно наложенные штрафы и предписания, возмещать причиненный ущерб. Этот блок возможностей организации, обеспечивающей обработку персональных данных, охраняется общими нормами административного и гражданского законодательства.

03.03.2020