Президентом России 27 июля 2006 года подписан Федеральный закон № 152-ФЗ «О персональных данных», которым регулируются отношения, связанные с обработкой персональных данных, осуществляемой органами государственной власти, юридическими и физическими лицами.
В соответствии со ст. 3 вышеуказанного закона под персональными данными понимается любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту персональных данных).
Обработка персональных данных – это любое действие, совершаемое с использованием средств автоматизации либо без использования таких средств с персональными данными (сбор, запись, систематизация, накопление, использование, обезличивание, удаление и уничтожение).
Обработку персональных данных человека осуществляют операторы, к которым относятся государственные, муниципальные органы, юридические и физические лица.
В повседневной жизни каждый человек (субъект персональных данных) сталкивается с ситуациями, когда от него требуется предоставление сведений о себе для совершения каких-либо действий. Например, при устройстве на работу, зачислении ребенка в дошкольные и учебные заведения, открытии счета в банке, получении кредита, страховании жизни и имущества и др.
Законодатель устанавливает общие правила обработки персональных данных, к которым относятся:
1. согласие субъекта, на совершение таких действий, которое может быть отозвано. Для отзыва согласия на обработку персональных данных достаточно направить лично либо по электронным каналам связи оператору соответствующее заявление, составленное в свободной форме. После получения заявления о запрете использования личных сведений оператор в срок, не превышающий 30 дней обязан прекратить работы с данными и, если это возможно, обеспечить их уничтожение. Однако законодатель накладывает определенные ограничения на отзыв разрешения на обработку информации. Например, оператор, невзирая на получение отзыва согласия, может обрабатывать и передавать данные, если это необходимо для осуществления правосудия или защиты жизни и здоровья субъекта;
2. обработка персональных данных необходима для достижения определенных целей, после чего оператор обязан незамедлительно прекратить обработку и уничтожить соответствующие персональные данные в срок, не превышающий 3-х рабочих дней с даты достижения цели обработки.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. При этом операторы должны обеспечить защиту персональных данных от неправомерного использования или утраты за свой счет.
Хранение персональных данных осуществляется как в физической форме (личные дела, анкеты), так и в электронном виде с использованием базы персональных данных и информационных систем. Часто на практике данные способы сочетаются.
Нарушения, связанные с обработкой, хранением персональных данных выявляются уполномоченным органом по защите прав субъектов персональных данных – Роскомнадзором, правоохранительными органами, прокуратурой.
Законодатель определяет виды ответственности за невыполнение требований об обработке персональных данных. Лица, виновные в нарушение закона, в зависимости от тяжести последствий, несут гражданскую, дисциплинарную, административную и уголовную ответственность.
Кодекс Российской Федерации об административных правонарушениях предусматривает административную ответственность за отказ в предоставлении информации и нарушения законодательства Российской Федерации в области персональных данных. Совершение указанных правонарушений влечет за собой наказание от предупреждения до наложения административного штрафа на граждан в размере до 5 тысяч рублей, на должностных лиц – до 20 тысяч рублей, на юридических лиц – до 70 тысяч рублей.
Уголовный кодекс Российской Федерации предусматривает наказание до 5 лет лишения свободы за нарушение неприкосновенности частной жизни (ст. 137), отказ в предоставлении информации гражданину, если эти деяния причинили вред правам и законным интересам гражданина (ст. 140), неправомерный доступ к компьютерной информации (ст. 272).