Вопрос: В здании, в котором предприятие арендует помещение пропускная система. Вход посетителей возможен по предъявлению паспорта, сведения которых вносятся в журнал сотрудником ЧОП. Кто является оператором персональных данных, несет ответственность за их сохранность и какие документы должны быть оформлены у такого оператора?
Ответ:
1) В соответствии с п.п. 1, 2, 3 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» соответственно:
-Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
-Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
-Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно п. 1 ст. 1.1. Закона РФ от 11.03.1992 N 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»:
-Частная охранная организация – организация, специально учрежденная для оказания охранных услуг, зарегистрированная в установленном законом порядке и имеющая лицензию на осуществление частной охранной деятельности.
Таким образом, действия сотрудников Вашего ЧОПа при внесении паспортных данных в журнал представляют собой обработку персональных данных, а ЧОП в рассматриваемом случае является оператором персональных данных.
2) В соответствии со ст. 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» обработка персональных данных допускается в частности в случае, когда обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Порядок обработки персональных данных при организации пропускного режима определен в п. 8 Постановления Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Сотрудники ЧОПа вправе вести журнал, содержащий персональные данные, необходимые для однократного пропуска посетителя на территорию, при этом паспортные данные могут заноситься в такой журнал не более одного раза в каждом случае пропуска на территорию. Копирование любой информации из журнала недопустимо. В случае несоблюдения оператором установленных требований при ведении журналов, содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных Управлением Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзором) оператор может быть привлечен к ответственности, также может быть вынесено предписание об устранении нарушений закона (см. например Постановление ФАС Московского округа от 09.08.2011 N КА-А40/8289-11 по делу N А40-129855/10-94-794)
Основываясь на системном толковании норм Закона «О персональных данных», можно установить, что для обработки персональных данных Оператору необходимо:
– принять локальный нормативный акт, устанавливающий цель обработки персональных данных (например, обеспечение безопасности, профилактика правонарушений, охрана имущества, обеспечения сохранности имущества), связанный с этим порядок, круг лиц (сотрудников ЧОП), имеющих доступ к персональным данным, а также права субъектов персональных данных;
– определить ответственного за обработку персональных данных, и утвердить приказом;
– обеспечить надлежащую охрану полученных данных;
– кроме того, оператор, обрабатывающий персональные данные, должен быть зарегистрирован в Роскомнадзоре (ст. 22, ч.4 ст. 25 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»).
3) Говоря о мерах ответственности в рассматриваемом случае, мы главным образом подразумеваем административную и гражданско-правовую ответственность.
Кодекс об административных правонарушениях устанавливает ответственность за нарушение порядка обработки персональных данных в ст. 13.11 – штраф для граждан в размере от 300 до 500 руб.; должностных лиц – от 500 до 1000 руб.; юридических лиц – от 5 до 10 тыс. руб., который может быть наложен по итогам проверки Роскомнадзором соблюдения законодательства о персональных данных.
В свою очередь, ч. 2 ст. 24 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» налагает обязанность возместить причиненный ущерб (включая моральный вред) лицу, пострадавшему в результате разглашения персональных данных, в нарушение положений данного Закона по иску такого лица. Доказыванию в данном случае подлежат обстоятельства, установленные ст. 151 Гражданского кодекса РФ (физические или нравственные страдания лица).
Кроме того, за нарушение неприкосновенности частной жизни устанавливается уголовная ответственность (ст. 137 Уголовного кодекса Российской Федерации от 13.06.1996 N 63-ФЗ).
Обобщая изложенное выше, по существу Вашего вопроса, можно заключить:
в рассматриваемом случае оператором персональных данных является ЧОП, у которого помимо журналов регистрации персональных данных должны быть следующие документы: локальный нормативный акт по обработке персональных данных, приказ о назначении ответственного за обработку персональных данных. Оператор должен быть зарегистрирован в Роскомнадзоре. Кроме этого, ЧОП обязан обеспечить надлежащую охрану полученных данных. Ответственность за нарушение порядка обработки персональных данных несет ЧОП.
Подскажите, а уголовная ответственность за распространение персональных данных предусмотрена?
А прочитать статью тяжело полностью?
Кроме того, за нарушение неприкосновенности частной жизни устанавливается уголовная ответственность (ст. 137 Уголовного кодекса Российской Федерации от 13.06.1996 N 63-ФЗ).
Разумный аргумент!
Добрый день! При этом ЧОП должен запрашивать письменное согласие посетителя? Если письменного согласия нет, то на каком основании он обрабатывает переданные?