Персональные данные: как работать без штрафов
Содержание
Активное развитие информационных технологий и движение информации предъявляют всё новые требования к субъектам предпринимательства в области обработки персональных данных. В современных условиях под влиянием роста рынка электронной коммерции значительная часть реализуемых товаров и продукции, выполняемой работы и оказываемых услуг осуществляется с обработкой персональных данных, в том числе с использованием информационных сетей общего доступа. В статье Фирммейкер расскажет о понятии и категориях персональных данных, современных требованиях к организации их обработки, а также том, как обезопасить свою компанию от ответственности за нарушение законодательства в области персональных данных.
1. Что такое персональные данные и их обработка?
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 ФЗ № 152-ФЗ «О персональных данных»).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Действующее законодательство Российской Федерации, при этом, не предусматривает исчерпывающего перечня сведений, относящихся к персональным данным – законодательно определён только «общий критерий» определения персональных данных - сведения или информация должны достоверно «идентифицировать» личность и указывать на определенное или определяемое физическое лицо – субъекта персональных данных. Если по результатам обработки информации представляется возможным однозначно определить, о ком (конкретном физическом лице) идёт речь – перед Вами сведения, относящиеся к персональным данным.
Различают следующие категории персональных данных (приказ Роскомнадзора от 30 мая 2017 года № 94):
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация);
- специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь);
- биометрические персональные данные - дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Пример персональных данных:
- «Иванов Иван Иванович, паспорт гражданина РФ серия 6600, № 100001» - это персональные данные, прямо указывающие на определенное физическое лицо;
- «Генеральный директор ООО «Созвездие», зарегистрированного по адресу: РФ, 214000, Смоленская обл., г. Смоленск, ул. Ленина, д., офис 1» - это персональные данные, указывающие на определяемое физическое лицо;
- «Руководитель компании Иван» - это не персональные данные, поскольку не указывают на конкретное физическое лицо и не предоставляют возможности определить конкретное лицо.
2. Условия обработки персональных данных
Обработка персональных данных должна осуществляться с соблюдением определенных принципов и правил (ст. 6 ФЗ №152-ФЗ):
- обработка персональных данных осуществляется с согласия физлица;
- обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой
ациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; - обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3. Когда не нужно обрабатывать персональные данные?
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Исходя из предусмотренного законом определения, оператором персональных данных является абсолютно каждый участник гражданских правоотношений, в том числе – субъекты предпринимательства – юридические лица и индивидуальные предприниматели.
Оператор не обязан выполнять требования к обработке персональных данных (ст. 1 ФЗ № 152-ФЗ):
- обработка осуществляется физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
- обработка проводится при работе с документами Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле;
- обработка производится при работе со сведениями, составляющим государственную тайну.
Оператор вправе осуществлять обработку персональных данных без специального уведомления уполномоченного органа (Роскомнадзор) (ст 22 ФЗ № 152-ФЗ):
- Персональные данные обрабатываются исключительно во исполнение требований трудового законодательства;
- Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных и его персональные данные не распространяются третьим лицам;
- Персональные данные о членах общественной или религиозной организации обрабатываются самой этой организацией;
- Разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных законом;
- Персональные данные включают в себя только фамилию, имя и отчество субъектов персональных данных;
- Персональные данные используются для предоставления одноразового пропуска или в других аналогичных ситуациях; (отменено с 1.09.22)
- Обрабатываются персональные данные, включенные в включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- Персональные данные обрабатываются в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
- Персональные данные обрабатываются в целях транспортной безопасности;
- Персональные данные, разрешенные для распространения (с 1.03.21, ст. 10.1 152-ФЗ). Оно введено для ограничения неправомерного доступа и обращения к персональным данным, размещенным в открытых источниках и в свободном доступе в информационной-телекоммуникационной сети «Интернет». По новым правилам в случае распространения оператором персональных данных (к распространению приравнивается, например, размещение фото- и видео материалов, анкеты сотрудника на сайте организации в сети «Интернет») ему предварительно надлежит получить отдельное согласие субъекта персональных данных на их распространение, прежнего же согласия на обработку в данном случае будет недостаточно (примерная форма).
4. Когда нужно обрабатывать персональные данные?
В обязательном порядке необходимо соблюдать требования законодательства об обработке персональных данных, если:
- юридическое лицо/индивидуальный предприниматель на постоянной основе в силу специфики деятельности осуществляет обработку персональных данных (справедливо, для: юридические и бухгалтерские услуги, банковское дело, сфера торговли, сфера услуг, образовательные и медицинские учреждения и организации);
- юридическое лицо/индивидуальный предприниматель на постоянной основе ведёт собственную базу клиентов или реестр обращений, содержащие персональные данные физических лиц (в том числе с использованием CRM и аналогичных программных продуктов);
- официальный сайт юридического лица/индивидуального предпринимателя предусматривают возможность регистрации пользователей, внесения в различные формы (например, форму обратной связи или форму заявки на оказание услуги) персональных данных физического лица;
- во всех остальных случаях, если не могут быть применены исключения из общей обязанности соблюдать требования обработки персональных данных.
Можно ли компании в РФ передавать персональные данные нерезиденту?
При сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ст. 18 ФЗ 152-ФЗ). Это означает, что в случае сбора организацией персональных данных физических лиц, являющихся гражданами РФ, указанные данные должны содержаться в базах данных, расположенных на территории РФ.
Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.), а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с законом (ст. 12 ФЗ 152-ФЗ). По смыслу указанных норм трансграничная передача персональных данных на территорию государств, являющихся членами Совета и Европы или иных государств, перечень которых утвержден Приказом Роскомнадзора №274 от 15.03.2013 г. представляется возможной при соблюдении требований Федерального закона «О персональных данных», а именно: получение предварительного согласия субъекта персональных данных в любой, позволяющей подтвердить факт его получения форме.
Такое согласие может быть получено, в частности путем заполнения специальной формы на сайте, подписания заявления или иным другим способом
5. Обязанности оператора персональных данных
5.1. Разработать документы для работы с персональными данными
Разработайте и утвердите пакет документов, определяющий правила работы с персональными данными в Вашей организации. Это следующие документы:
- Приказ о назначении лиц, ответственных за обработку и защиту персональных данных;
- Положение по обработке персональных данных;
- Политика компании в отношении обработки персональных данных;
- Положение об обеспечении безопасности персональных данных;
- Уведомление об обработке персональных данных;
- Перечень должностей и третьих лиц, допущенных к обработке персональных данных;
- Форма Обязательства о неразглашении персональных данных;
- Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку;
- Перечень обрабатываемых персональных данных;
- Форма Согласия на обработку распространение персональных данных;
- Форма Согласия на распространение персональных данных;
- Перечень информационных систем персональных данных;
- Регламент по допуску сотрудников и третьих лиц к обработке персональных данных;
- Регламент по реагированию на запросы субъектов персональных данных.
5.2. Сообщить публично политику конфиденциальности при работе с персональными данными
Разместите Политику конфиденциальности в области персональных данных и Форму согласия на обработку персональных данных в свободном доступе на сайте Вашей компании.
5.3. Уведомляйте Роскомнадзор о начале, прекращении обработки
Уведомление о начале обработки персональных данных через портал
Оператор персональных данных до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Уполномоченным органом в области обработки персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (постановление № 228), ведомству предоставлены полномочия по контролю за соблюдением законодательства РФ в области обработки персональных данных, ведению реестра операторов персональных данных, а также привлечению к административной ответственности за нарушения в данной области.
Отправьте уведомление:
- через портал Роскомнадзора ;
- в электронном виде на rsoc_in@rkn.gov.ru;
- в виде документа на бумажном носителе заказным с уведомлением.
Уведомление рассматривается уполномоченным органом в течение 30 дней, по результатам компания включается в Реестр операторов, осуществляющих обработку персональных данных. Мы попробовали все варианты. На наш взгляд, через портал отправлять удобнее. Портал также позволяет изменять данные в реестре, сообщать о прекращении обработки, получать выписку.
Уведомление об инциденте с персональными данными
Если выявили факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уведомите уполномоченный орган по защите прав субъектов персональных данных:
- в течение 24 (двадцати четырех) часов - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставьте сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение 72 (семидесяти двух часов) - о результатах внутреннего расследования выявленного инцидента, а также предоставьте сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
5.4. Уничтожать персональные данные по запросу
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором (ст. 21 152 ФЗ).
Электронные акты об уничтожении персональных данных равнозначны документам на бумажном носителе. Их нужно хранить 3 года вместе с выгрузкой из журнала регистрации событий. Акт об уничтожении персональных данных должен содержать - наименование и адрес оператора, ФИО субъекта, ФИО и должность лиц, уничтоживших персональные данные субъекта, а также их подпись, перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных; наименование уничтоженного материального носителя; наименование информационной системы; дата, способ и причина уничтожения персональных данных (Приказ Роскомнадзора от 28.10.2022 N 179).
Когда работодателю нужно уничтожить персональные данные:
- по требованию сотрудника – за 7 дней;
- если выявлена утечка – за 10 дней;
- в остальных случаях – за 30 дней.
Когда есть причины, по которым информацию нельзя удалить, то нужно ее заблокировать, а после уничтожить за полгода.
6. Какие штрафы за персональные данные?
Роскомнадзор наделен полномочиями по проведению плановых и внеплановых, документальных или выездных проверок как среди компаний, внесенных в Реестр операторов персональных данных, так и среди компаний, которых нет в этом реестре.
Подобные проверки продолжают оставаться действенным инструментом негативного воздействия со стороны недобросовестных конкурентов и бывших работников Вашей организации. Основание - постановление от 29.06.2021 № 1046.
Базовые принципы государственного контроля за операторами персональных данных:
- объекты контроля – это деятельность и результаты деятельности операторов персональных данных по их автоматизированной обработке, а также результаты деятельности по разработке документов и локальных актов;
- объекты контроля с позиции рисков причинения вреда (ущерба) конфиденциальности персональных данных отнесены к группам высокого, значительного, среднего, умеренного и низкого риска;
- периодичность проведения контрольных мероприятий (визита, проверка) поставлена в зависимость от группы риска.
6.1. Административная ответственность за персональные данные
ст. 5.27 КоАП РФ Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права - предупреждение или административный штраф:
- для должностных лиц – от 1 000 до 5 000 руб.;
- для индивидуальных предпринимателей – от 1 000 до 5 000 руб;
- для юридических лиц – от 30 000 до 50 000 руб.
ст. 13.11 КоАП РФ. Несовместимые цели сбора данных - административный штраф:
- для граждан - от 2 000 до 6 000 руб.;
- для должностных лиц - от 10 000 до 20 000 руб.;
- для юридических лиц - от 60 000 до 100 000 руб.
Обработка без согласия либо нарушение - административный штраф:
- для граждан - от 10 000 до 15 000 руб.;
- для должностных лиц - от 100 000 до 300 000 руб.;
- для юридических лиц - от 300 000 до 700 000 руб.
Политика в отношении обработки персональных данных не опубликована - административный штраф:
- для граждан - от 1 500 до 3 000 руб.;
- для должностных лиц - от 6 000 до 12 000 руб.;
- для индивидуальных предпринимателей - от 10 000 до 20 000 руб.;
- для юридических лиц - от 30 000 до 60 000 руб.
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных - Административный штраф:
- для граждан - от 2 000 до 4 000 руб.;
- для должностных лиц - от 8 000 до 12 000 руб.;
- для индивидуальных предпринимателей - от 20 000 до 30 000 руб.;
- для юридических лиц - от 40 000 до 80 000 руб.
Невыполнение оператором в установленные сроки требования об уточнении, блокировании или уничтожении персональных данных - Административный штраф:
- для граждан - от 2 000 до 4 000 руб.;
- для должностных лиц - от 8 000 до 20 000 руб.;
- для индивидуальных предпринимателей - от 20 000 до 40 000 руб.;
- для юридических лиц - от 50 000 до 90 000 руб.
Невыполнение обязанности по обеспечению сохранности персональных данных, если это повлекло неправомерный доступ либо иные неправомерные действия - административный штраф:
- для граждан - от 1 500 до 4 000 руб;
- для должностных лиц - от 8 000 до 20 000 руб.;
- для индивидуальных предпринимателей - от 20 000 до 40 000 руб.;
- для юридических лиц - от 50 000 до 100 000 руб.
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной обязанности по обезличиванию персональных данных - административный штраф:
- для должностных лиц - от 6 000 до 12 000 руб.
Невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ - административный штраф:
- для граждан – от 30 000 руб. до 50 000 руб.; повторно - от 50 000 руб. до 100 000 руб.;
- для должностных лиц: от 100 000 руб. до 200 000 руб.; повторно - от 500 000 руб. до 800 000 руб.;
- для юридических лиц: от 1 000 000 руб. до 6 000 000 руб., повторно - от 6 000 000 руб. до 18 000 000 руб.
ст. 13.12 КоАП РФ Нарушение требований о защите информации, установленных действующим законодательством РФ - административный штраф:
- для граждан - от 1 000 до 1 500 руб.;
- для должностных лиц - от 1 500 до 2 500 руб.;
- для юридических лиц - от 15 000 до 20 000 руб.
ст. 13.14 КоАП РФ Разглашение информации, доступ к которой ограничен - административный штраф:
- для граждан - от 5 000 до 10 000 руб.;
- для должностных лиц - от 40 000 до 50 000 руб. с возможной дисквалификацией до 3 лет;
- для юридических лиц: от 100 000 до 200 000 руб.
ст. 19.7 КоАП РФ Непредставление сведений (уведомлений):
- предупреждение или наложение административного штрафа на граждан от 100 до 300 рублей, на должностных лиц - от 300 до 500 рублей, на юридических лиц - от 3 000 до 5 000 рублей.
6.2. Уголовная ответственность за персональные данные
Незаконный сбор или распространение персональных данных лица:
- Штраф до 200 000 руб. или иной доход за период за 18 месяцев;
- Обязательные работы на срок до 360 часов;
- Исправительные работы на срок до 1 года;
- Принудительные работы на срок до 2 лет;
- Арест сроком до 4 месяцев;
- Лишение свободы сроком до 2-х лет
Неправомерный отказ в предоставлении персональных данных либо предоставление неполных или заведомо ложных сведений о персональных данных:
- Штраф до 200 000 руб. или иной доход за 18 месяцев;
- Лишение права занимать определённые должности сроком до 5 лет
Неправомерный доступ к персональным данным, повлекший их уничтожение, блокирование, модификацию или копирование:
- Штраф до 200 000 руб. или иной доход за 18 месяцев;
- Исправительные работы сроком до 1 года;
- Принудительные работы сроком до 2 лет;
- Ограничение, лишение свободы сроком до 2 лет
7. Итоги
Правоприменительная практика свидетельствуют об усилении контроля государства за движением персональных сведений и повышении рисков клиентоориентированного бизнеса. Фирммейкер рекомендует объективно оценивать степень вовлеченности своей компании в обработку персональных данных, учитывать сферу собственного предпринимательского интереса и правильно организовать работу с персональными данными как собственных работников, так и клиентов, минимизировав тем самым возможные риски привлечения к ответственности.
Фирммейкер, ноябрь 2017 (следим за актуальностью)
Максим Житников
При использовании материала ссылка обязательна
Уведомим Роскомнадзор
поможем подготовить остальные документы - от 3000 руб за час работы
Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter