Лично право на данните е тежка
Rechkin Роман Valerevich
старши партньор
Ако се прави бизнес в България, ще трябва да постоянно да следите промените в законодателството. Фактът, че вчера беше нормално и приемливо днес може вече да е извън рамките на закона. Типичен пример за новите строги изисквания за бизнес - правилата на Закона за личните данни.
Значението на този закон е безусловна: докосва всеки предприемач. Ако вашата организация има поне един служител или клиент - физическо лице, на закона за личните данни налага на вас сериозен ангажимент.
Tishkovskiy Андрей Александрович
Началник на отдел
Ако вашата организация е събрала, съхранявани, или по някакъв начин се използва в лични данни, независимо дали ви харесва или не, от гледна точка на закона, ти призная, процесор на личните данни.
1. Лицето, в обработката на лични данни
Законът за личните данни въведе нова и много строго правило, че обработването на лични данни (в действителност, всички операции с тях: получаване, съхраняване, бази данни и т.н.), е разрешено само със съгласието на субекта на личните данни (лицето, чиито данни преработени).
Изключения от това правило е предвидено само седем. От тях само един приложим за хода на обичайната дейност: обработка на лични данни е възможно без съгласието на субекта на личните данни, ако тази обработка се извършва, за да се изпълни договора, страната, която е предмет на лични данни (например, договорът с клиента).
Законодателят привидно преследвана добра цел - да се подобри защитата на данни за личния живот, за да донесе на правилата на бизнес оборот в съответствие с европейските стандарти (федерален закон приет в изпълнение на Конвенцията на Съвета на Европа "за защита на лицата при автоматизираната обработка на лични данни").
Но за съжаление, въвеждането на такъв твърд правило веднъж, без да се отчита спецификата на различните отрасли, което значително усложни живота на предприемачите. Например, това е тежък удар за набиране на бизнеса: агенции за подбор, сега официално имат право да използват отворени бази данни в Интернет като потенциален служител не даде своето съгласие за обработването на лични данни.
Като общо правило, съгласието на дадено лице при обработването на лични данни, не трябва да бъдат написани. (Но има и няколко изключения, които ще бъдат обсъдени по-долу). Въпреки това, в случай на проверка на държавната агенция или съдебен спор с предмет на личните данни на предприемача трябва да е готов да докаже съществуването на това споразумение. Ето защо, за да се избегнат оплаквания от контролните органи или лицата, които се обработват информация, се препоръчва да се получи такова съгласие е в писмена форма. За тази цел можете да използвате специална форма на документи, подписани от субектите на личните данни, както и да включва подходящи условия в трудовите договори с работниците и служителите и на договори с клиенти.
Задължително писмено съгласие от физическо лице се изисква да се справят с така наречените специални лични данни, свързани с расов или етнически произход, политически възгледи, религиозни или философски убеждения, здравето, сексуалния живот.
Друг основен принцип е, че операторът е длъжен да използва личните данни, само в съответствие с целите, за които ги е получил, използването на информацията за други цели е незаконно.
2. Охрана на лични данни
Всички лични данни на оператора сега трябва да предприемат "необходимите организационни и технически мерки за защита на личните данни срещу неразрешен или случайно достъп, унищожаване, промяна, блокиране, копиране, разпространение на личните данни, както и други незаконни действия" (клауза 1, член. 19 от Федералния закон "за личните данни"). Това изискване е още по-трудно от организационна и финансова гледна точка, отколкото по-горе.
Правителството на Република България, приета Наредбата за защита на сигурността на личните данни при обработването им в рамките на информационните системи на лични данни [4]. По силата на този документ е разработен като Наредбата за методите и средствата за защита на информацията в информационните системи на лични данни [5], с която се създава организационни и технически мерки за защита на информацията в информационните системи.
Изборът и прилагането на специфични техники и методи за защита на информация в информационната система на дадена организация се извършват въз основа на идентифицираните заплахи за сигурността на личните данни от страна на оператора (рискове от модела) и, в зависимост от класа на информационната система [6].
Тези разпоредби предвиждат следните организационни и технически мерки за защита на личните данни:
- Известие оторизиран орган за защита на личните данни на субектите (Roscomnadzor [7]) за намерението да се извърши обработка на лични данни. Въз основа на такова уведомление на лицето, включени в регистъра на операторите на лични данни, която се намира в публичното пространство на мястото на Roskomnadzor.
- Разработване на документи, регламентиращи обработването на лични данни в организацията: позицията на обработката на лични данни, наредби, разпоредби за защита на личните данни. Тези документи трябва да бъдат насочени към създаване на условия за прилагане на технически мерки за защита на поверителна информация.
- Контрол на действията на персонала в защитените информационни системи.
- Определяне на реда на финансиране, за да гарантира, че дейностите по сигурността на информацията.
- Създаване на система за защита на личните данни, включително и изпълнението на изискванията за проектиране и техническа защита на помещенията.
- Развитие на персонала в областта на защитата на личните данни.
- Използването на технически, програма, криптографския хардуер и за защита на информацията от неоторизиран достъп, копиране, промяна или унищожаване.
Дори на пръв поглед, така описаната система е толкова тромава и прекалено сложно. А някои от неговите разпоредби са откровено не се нуждаят от една държава, нито дори на физически лица (в зависимост от личните данни). Например, като се има предвид фактът, че обработването на лични данни, извършва почти всяка организация, не е ясно значението на думата "писмено предизвестие на упълномощения орган за намерението си да извършва обработка на лични данни" и "лични данни, включени в регистъра на операторите". В този случай, за неспособността да уведомява упълномощения орган, отговарящ законодателство не е установена.
Още по-абсурдно, предвидени претенции 4, 5, член 21 от Федералния закон "За личните данни" задължение на оператора ", за да уведоми предмет на личните им данни, прекратяване на обработката на лични данни и унищожение."
Малко вероятно е, че такава тромава и прекалено бюрократизирана система за защита на личните данни в своята цялост дори да работи на големи държавни предприятия. В същото време, в допълнение към многобройните административни бариери и данъчната тежест върху бизнеса и сложи по-голяма отговорност за прилагането на тази система. За да го изпълни, явно имате нужда от специални ресурси и допълнителни финансови инвестиции. Показателно е, че пазарът е "консултанти в областта на защитата на личните данни" вече е пълен с предложения ", за да се гарантира защитата на личните данни в съответствие с всички изисквания на закона." Разбира се - за съответното възнаграждение.
3. Отговорност за нарушаване на закона за личните данни
Създаване на изискванията за защита на личните данни, които държавата е предвидено и отговорност за неизпълнение. Все пак, въпреки клаузата в закона за възможността за участие на "граждански, наказателни, административни, дисциплинарни и друга отговорност съгласно законите на България" (член 24 от Федералния закон "За личните данни"), в действителност са законно установени само административна отговорност.
Такова малко количество от отговорност, от една страна, и организационна сложност на системата за защита на личните данни, от друга страна, позволява да се предскаже, че ситуацията ще се развива в съответствие със стария националната традиция: ". Тежестта на законите на Република България е омекотена като не се налага тяхното изпълнение"
Административна отговорност за нарушение на законодателството в областта на личните данни (st.13.11 Административнопроцесуалния кодекс)
Атака: нарушение на законоустановения ред за събиране, съхранение, употреба или разпространение на информация за граждани (лични данни).
Наказание: предупреждение или административна глоба в размер от 500 до 1000 рубли (за служителите на организацията), от 5 000 до 10 000 рубли (за юридически лица).
[7] Пълното име - Федерална служба за надзор на съобщенията, информация В технологии и масовите комуникации.
интелектуална собственост, търговско право, медии