Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года
.
Читали ли вы федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных"?
Внимательно ли?
Вы спросите — почему я об этом спрашиваю. А вот почему.
У вас, наверное, есть партнеры. И вы собираете их визитные карточки. Эта деятельность не подпадает под регулирование 152-ФЗ — если вы:
1) собираете эту информацию исключительно для личных и семейных нужд;
2) не нарушаете при этом права субъектов персональных данных,
или же
3) обработка вами персональных данных (с визиток) производится без использования средств автоматизации, и при этом не соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Все это перечислено в статье 1 закона.
А теперь внимание.
Предположим, вы вносите данные с визиток в электронную записную книжку на своем компьютере (Outlook или что-то вроде этого). Как вы думаете, подпадает ли такое действие под закон о персональных данных?
Правильный ответ: не подпадает, до тех пор, пока вы выполняете условия 1) и 2), перечисленные выше.
А теперь представим себе, что вы держите компьютер, на котором установлена электронная записная книжка, на работе. И к этому компьютеру имеют доступ ваши сослуживцы, которые пользуются электронной записной книжкой, чтобы связываться с партнерами в рабочих целях.
Так вот, формально в этом случае вы — оператор по обработке персональных данных, так как условия 1) и 2) не выполняются. Прочих исключений закон не предусматривает.
Соответственно, из этого следует:
а) вы обязаны получить согласие субъектов персональных данных на их обработку (статья 6 п. 1);
б) вы обязаны обеспечить конфиденциальность персональных данных (статья 7) с использованием криптографических средств (статья 19 п.1);
в) вы обязаны, при необходимости, доказать, что субъект персональных данных дал вам разрешение на их обработку (статья 9 п. 3);
г) если электронная записная книжка находится на вашем ноутбуке, и вы едете за границу -- вы обязаны убедиться, что на территории той страны, куда вы едете, обеспечивается адекватная защита прав субъектов персональных данных (статья 12 п. 1);
д) вы обязаны предоставить каждому из тех, кто записан в вашу электронную записную книжку, возможность получить сведения о вас, о вашем местонахождении, о том, есть ли его данные в вашей электронной записной книжке, а также обеспечить уничтожение его данных по первому его требованию (статья 14 п. 1);
е) вы обязаны до начала обработки персональных данных уведомить об этом уполномоченный орган по защите прав субъектов персональных данных — это сейчас Россвязьнадзор (статья 22 п. 1).
Практически всё то же самое требуется (по букве закона), если вы храните соответствующие записи в памяти своего мобильного телефона — в случае, когда этот телефон корпоративный.
А уж если данные о клиентах-контрагентах хранятся у вас на фирме в общей базе данных...
Учтите, что до 1 января 2008 года вы обязаны уведомить Россвязьнадзор по форме, приведенной в статье 22 п. 3, о том, что вы обрабатываете персональные данные. После 1 января, если при проверке или каким-либо другим способом будет установлено, что вы обрабатываете персональные данные, вас могут за это наказать.
Иными словами, любой представитель власти, придя к вам на фирму, может открыть Outlook на любом компьютере, и если найдет там записи с данными хотя бы нескольких людей — имеет право на вас наехать.
Вот к чему приводит обычное для России пренебрежение законодателем тщательной проработкой нормативного правового акта.
Короче: вы храните данные ваших контрагентов?
Тогда государство идет к вам!
http://evt-av.livejournal.com/11587.html