Сегодня, наверное, трудно найти офисное здание, предприятие, где нет системы контроля доступа. Везде сидят охранники или сотрудники службы reception. Они требуют от посетителя указать его фамилию, имя, отчество, нередко просят указать номер, серию паспорта и т.д. Насколько это законно? Какую ответственность несут сотрудники частного охранного предприятия (ЧОП) за некорректный сбор и обработку персональных данных (ПД)? Как правильно управлять доступом на территорию заказчика? На эти и другие вопросы мы постараемся ответить в нашей статье. 

ЧОП – не оператор персональных данных 

Закон «О частной детективной и охранной деятельности в Российской Федерации» (статья 12.1) позволяет ЧОПам требовать от персонала и посетителей объектов охраны соблюдения внутриобъектового и пропускного режимов. Однако правила соблюдения внутриобъектового и пропускного режимов, устанавливаемые клиентом или заказчиком, не должны противоречить законодательству Российской Федерации. 

Напомним, что персональные данные, согласно Закону № 152 «О Персональных данных», - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Такими данными могут быть: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес прописки, семейное, социальное, имущественное положение, образование, доходы и другая информация.  

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе, передачу), обезличивание, блокирование, уничтожение персональных данных.  

Таким образом, работа по управлению доступом на территорию объекта подпадает под действия закона «О персональных данных». Другой вопрос, что сам ЧОП не является оператором персональных данных. Оператор персональных данных – заказчик. ЧОП выполняет эту работу по требованию своего клиента, осуществляет обработку персональных данных в рамках заключенного соглашения, договора. Но это не означает, что ЧОП вообще ничем не рискует, если «на проходной» нарушается ФЗ-152.  

При появлении тех или иных проблем с законом, в частности, наложения штрафа, оператор персональных данных может подать в суд на ЧОП. Компания – заказчик охранных услуг может потребовать компенсировать ей финансовый ущерб, ущерб деловой репутации. Именно поэтому для руководителя ЧОПа важно прописать в договоре (дополнительном соглашении), какую информацию нужно собирать, как и т.д. Заказчик должен определить цели и содержание обработки персональных данных. Чем более подробным будет этот документ, тем лучше. При составлении дополнительного соглашения нужно учитывать несколько моментов. 

Неавтоматизированная обработка ПД 

Обработка персональных данных может быть как автоматизированная, так и неавтоматизированная. Неавтоматизированная обработка регламентирована Постановлением Правительства РФ № 687. 

Согласно этому постановлению, обработка персональных данных, содержащихся в информационной системе персональных данных (ИСПДн), либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. В качестве примера такого вида обработки можно привести распространенную практику, заполнение журнала от руки, выписывание пропуска и т.д. При этом следует помнить, что по закону обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. 

Персональные данные при неавтоматизированной обработке должны храниться отдельно от другой информации. Для такой информации должны быть предусмотрены специальные журналы, разделы и т.д.  

Сотрудник, имеющий доступ к персональным данным, должен быть уведомлен о том, с какой информацией он работает. Кроме того, на предприятии должен быть разработан пакет административно-распорядительных нормативных документов, регламентирующих обработку персональных данных. Опытные юристы рекомендуют как можно более тщательно и детально прописывать в этих документах требования и обязанности сотрудников, допущенных к обработке персональных данных. 

При заполнении типовых документов субъект персональных данных не должен видеть персональные данные других посетителей. Поэтому, когда вам на проходной предлагают написать свою фамилию, имя, отчество в журнале, где вы можете прочитать данные других посетителей, это нарушение требований законодательства. 

Законодательство требует: «При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором». 

Автоматизированная обработка 

Есть другой вид обработки – автоматизированный. Он регулируется Постановлением Правительства № 781. Под средствами автоматизации, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. 

Согласно этому нормативному акту, методы и способы защиты информации в информационных системах персональных данных устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности Российской Федерации (ФСБ) в пределах их полномочий. 

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.  

Отметим, что безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе. 

Оператору необходимо определить угрозы безопасности персональных данных при их обработке, сформировать на их основе модель угроз. Он должен разработать на основе модели угроз систему защиты персональных данных, обеспечивающую нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем. Всего ФСБ и ФСТЭК предусмотрено 4 класса ИСПДн.  

Уровень защиты каждого класса зависит, в том числе, и от категорий ПДн, обрабатываемых в ИСПДн. Чем выше система (самый высокий уровень – первый класс), тем сложнее и сильнее должна быть защита, тем дороже будет обходиться эта система. Закон требует от оператора персональных данных точно определять круг лиц, допущенных к работе с персональными данными в информационной системе. 

Самая распространенная ошибка – сбор избыточной информации 

Одна из самых распространенных ошибок при сборе и обработке персональных данных – сбор избыточной информации. В ФЗ-152 (статья 5, пункт 4) написано, что недопустима обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных. Для идентификации личности достаточно фамилии, имени и отчества при условии предъявления лицом документа, удостоверяющего личность. Если говорить об управлении доступа на территорию, то сбор информации о серии и номере паспорта, годе рождения, о поле и т.д. представляется избыточным. И, конечно, копирование страниц паспорта также порождает дополнительные риски для организации.  

Основной регулятор – Федеральная служба по надзору в сфере связи и массовых коммуникаций (Роскомнадзор). Это ведомство назначено Уполномоченным органом по защите прав субъектов персональных, и осуществляет надзор за соблюдением операторами требований законодательства при обработке персональных данных. Роскомнадзор активно проводит проверки как плановые, так и внеплановые. Перечень плановых проверок публикуется на официальном сайте Роскомнадзора на год.  

Порядок проведения плановых и внеплановых проверок определен в административном регламенте проведения проверок за соответствием обработки персональных данных (утв. приказом Роскомнадзора от 01.12.2009 № 630). Проверки также ведут ФСТЭК и ФСБ, хотя, и не так активно. Эти службы осуществляют надзор за техническими методами и способами защиты информации в ИСПДн. 

Ответственность 

За нарушения установленного законодательством Российской Федерации порядка обработки ПД статьей 24 Федерального закона от 27 июля 2006 г. № 152 «О персональных данных» может наступить гражданская, уголовная, административная, дисциплинарная и другая ответственность.  

Уголовная ответственность предусмотрена, в первую очередь, статьей 137 Уголовного Кодекса РФ и предусматривает нарушения неприкосновенности частной жизни. Статья 272 УК РФ предусматривает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. 

Самые распространенные нарушения подпадают под действия Кодекса об административных правонарушениях (КоАП). Статья 13.11 КоАП - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Части 1, 2, 5 ст. 13.12 КоАП РФ - нарушение правил защиты информации. Здесь нужно оговориться, что штрафы очень незначительные, максимум – 10 тысяч рублей. 

Но следует помнить, что назначение административного наказания не освобождает лицо от исполнения обязанности, за неисполнение которой административное наказание было назначено. Предположим, оператор был привлечен судом к административной ответственности по ст. 19.5 КоАП РФ за неисполнение предписания Роскомнадзора. Оператор проигнорировал решение суда. Тогда оператор будет повторно привлечен к административной ответственности, но уже по ст. 19.6 КоАП РФ «Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения». И если компания на это раз также не будет принимать никаких действий, то это может трактоваться как злостное неисполнение судебного акта. 

В таком случае, виновное в этом должностное лицо оператора будет подлежать уголовной ответственности по ст. 315 УК РФ «Неисполнение приговора суда, решения суда или иного судебного акта». 

Выводы 

Итак, если ЧОП не собирает информацию для себя, работает с персональными данными исключительно в интересах заказчика, он не является оператором персональных данных. Но в случае нарушения закона ФЗ-152, он может столкнуться с иском со стороны своего клиента. Так его могут оштрафовать, у него может сорваться контракт и.д. Он может предъявить регрессный иск к ЧОПу.  

Чтобы снизить риски, нужно заключить с заказчиком охранных услуг дополнительное соглашение. В нем необходимо прописать, какие персональные данные необходимо обрабатывать ЧОПу во исполнение договора с оператором персональных данных. Также необходимо определить порядок обработки и защиты персональных данных ЧОПом. В документе нужно прописать, как и когда должна прекращаться обработка (происходить уничтожение) персональных данных.  

В целом, нужно создать всесторонний, подробный документ, которые сделает невозможным в случае нарушения закона со стороны оператора предъявлять судебные иски к исполнителю – ЧОПу. 

 

Автор - редактор журнала "Персональные данные".