Активное развитие информационных технологий и движение информации предъявляют всё новые требования к субъектам предпринимательства в области обработки персональных данных. В современных условиях под влиянием роста рынка электронной коммерции значительная часть реализуемых товаров и продукции, выполняемой работы и оказываемых услуг осуществляется с обработкой персональных данных, в том числе с использованием информационных сетей общего доступа.  В статье Фирммейкер расскажет о понятии и категориях персональных данных, современных требованиях к организации их обработки, а также том, как обезопасить свою компанию от ответственности за нарушение законодательства в области персональных данных.

1. Что такое персональные данные и их обработка?штрафы за персональные данные

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (статья 3 ФЗ № 152-ФЗ «О персональных данных»);
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Действующее законодательство Российской Федерации, при этом, не предусматривает исчерпывающего перечня сведений, относящихся к персональным данным – законодательно определён только «общий критерий» определения персональных данных - сведения или информация должны достоверно «идентифицировать» личность и указывать на определенное или определяемое физическое лицо – субъекта персональных данных.

Если по результатам обработки информации представляется возможным однозначно определить, о ком (конкретном физическом лице) идёт речь – перед Вами сведения, относящиеся к персональным данным.

ПРИМЕР:
а) «Иванов Иван Иванович, паспорт гражданина РФ серия 6600, № 100001» - это персональные данные, прямо указывающие на определенное физическое лицо;
б) «Генеральный директор ООО «Созвездие», зарегистрированного по адресу: РФ, 214000, Смоленская обл., г. Смоленск, ул. Ленина, д., офис 1» - это персональные данные, указывающие на определяемое физическое лицо;
в) «Руководитель компании Иван» - это не персональные данные, поскольку не указывают на конкретное физическое лицо и не предоставляют возможности определить конкретное лицо.

Различают следующие категории персональных данных (согласно приказу Роскомнадзора от «30» мая 2017 года № 94):

  • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь);
  • биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных).

2. Когда не требуется обрабатывать персональные данные?

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Исходя из предусмотренного законом определения, оператором персональных данных является абсолютно каждый участник гражданских правоотношений, в том числе – субъекты предпринимательства – юридические лица и индивидуальные предприниматели.

Оператором персональных данных является абсолютно каждый участник гражданских правоотношений - юридические лица и индивидуальные предприниматели

Оператор не обязан выполнять требования к обработке персональных данных (статья 1 ФЗ № 152-ФЗ «О персональных данных»):
1) обработка осуществляется физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) обработка проводится при работе с документами Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле;
3) обработка производится при работе со сведениями, составляющим государственную тайну.

Оператор вправе осуществлять обработку персональных данных без специального уведомления уполномоченного органа (Роскомнадзор) (статья 22 ФЗ № 152-ФЗ «О персональных данных»):
1)Персональные данные обрабатываются исключительно во исполнение требований трудового законодательства;
2)Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных;
3)Персональные данные о членах общественной или религиозной организации обрабатываются самой этой организацией;
4)Персональные данные являются общедоступными в связи с официальным обнародованием субъектом персональных данных;
5)Персональные данные включают в себя только фамилию, имя и отчество субъектов персональных данных;
6)Персональные данные используются для предоставления одноразового пропуска или в других аналогичных ситуациях;
7)Обрабатываются персональные данные, включенные в государственные автоматизированные информационные системы персональных данных;
8)Персональные данные обрабатываются без автоматизированной обработки (без использования компьютера, но с соблюдением требований Постановления Правительства РФ от «15» сентября 2008 г. № 687);
9)Персональные данные обрабатываются в целях транспортной безопасности.

3. Когда необходимо обрабатывать персональные данные?

В обязательном порядке необходимо соблюдать требования законодательства об обработке персональных данных, если:

  • юридическое лицо/индивидуальный предприниматель на постоянной основе в силу специфики деятельности осуществляет обработку персональных данных (справедливо, для: юридические и бухгалтерские услуги, банковское дело, сфера торговли, сфера услуг, образовательные и медицинские учреждения и организации);
  • юридическое лицо/индивидуальный предприниматель на постоянной основе ведёт собственную базу клиентов или реестр обращений, содержащие персональные данные физических лиц (в том числе с использованием CRM и аналогичных программных продуктов);
  • официальный сайт юридического лица/индивидуального предпринимателя предусматривают возможность регистрации пользователей, внесения в различные формы (например, форму обратной связи или форму заявки на оказание услуги) персональных данных физического лица;
  • во всех остальных случаях, если не могут быть применены исключения из общей обязанности соблюдать требования обработки персональных данных.

4. Что делать, если Ваша организация  – оператор персональных данных?

ШАГ 1. Пакет документов

Разработайте и утвердите пакет документов, определяющий правила работы с персональными данными в Вашей организации. Это следующие документы:

  • Приказ о назначении лиц, ответственных за обработку и защиту персональных данных;
  • Положение по обработке персональных данных;
  • Политика компании в отношении обработки персональных данных;
  • Положение об обеспечении безопасности персональных данных;
  • Уведомление об обработке персональных данных;
  • Перечень должностей и третьих лиц, допущенных к обработке персональных данных;
  • Форма Обязательства о неразглашении персональных данных;
  • Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку;
  • Перечень обрабатываемых персональных данных;
  • Форма Согласия на обработку персональных данных;
  • Форма Согласия на обработку персональных данных для сайта;
  • Перечень информационных систем персональных данных;
  • Регламент по допуску сотрудников и третьих лиц к обработке персональных данных;
  • Регламент по реагированию на запросы субъектов персональных данных.

ШАГ 2. Политика конфиденциальности

Разместите Политику конфиденциальности в области персональных данных и Форму согласия на обработку персональных данных в свободном доступе на сайте Вашей компании

ШАГ 3.Уведомление Роскомнадзора

Уведомите уполномоченный орган – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о начале обработки персональных данных. Оператор персональных данных до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Уполномоченным органом в области обработки персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (постановление Правительства РФ от «16» марта 2009 года № 228), ведомству предоставлены полномочия по контролю за соблюдением законодательства РФ в области обработки персональных данных, ведению реестра операторов персональных данных, а также привлечению к административной ответственности за нарушения в данной области.

Уведомление о намерении осуществить обработку персональных данных направляется в Роскомнадзор в виде документа на бумажном носителе или в форме электронного документа, рассматривается уполномоченным органом в течение 30 дней, по результатам компания включается в Реестр операторов, осуществляющих обработку персональных данных.

5. Какие штрафы за персональные данные?

Роскомнадзор наделен полномочиями по проведению плановых и внеплановых, документальных или выездных проверок как среди компаний, внесенных в Реестр операторов персональных данных, так и среди компаний, которых нет в этом реестре.

План проверок Роскомнадзора на год

Подобные проверки продолжают оставаться действенным инструментом негативного воздействия со стороны недобросовестных конкурентов и бывших работников Вашей организации. По состоянию на дату публикации настоящей статьи действующее законодательство Российской Федерации предусматривает возможность привлечения нарушителя к гражданско-правовой, административной и уголовной ответственности, составы правонарушений и ответственность представлены в таблице 1.

Таблица 1. Штрафы за нарушение законодательства о персональных данных

Статья Состав административного правонарушения Ответственность Нарушение нормы законодательства
АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ
ст. 5.27 КоАП РФ Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права

Предупреждение или административный штраф:

- для должностных лиц – от 1 000 до 5 000 руб.

- для индивидуальных предпринимателей – от 1 000 до 5 000 руб.

- для юридических лиц – от 30 000 до 50 000 руб.

п. 3 ст. 86, ст. 88 Трудового кодекса РФ

ст. 13.11 КоАП РФ

Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора таких данных

Предупреждение или административный штраф:

- для граждан - от 100 до 3 000 руб.

- для должностных лиц - от 5 000 до 10 000 руб.

- для юридических лиц - от 30 000 до 50 000 руб.

ст. 5, ст. ст. 10, 11 ФЗ 152-ФЗ «О персональных данных»

ст. 13.11 КоАП РФ

Обработка персональных данных без согласия субъекта ПД на обработку, либо обработка с нарушением

Административный штраф:

- для граждан - от 300 до 5 000 руб.

- для должностных лиц - от 10 000 до 20 000 руб.

- для юридических лиц - от 15 000 до 75 000 руб.

ст. 6-9 ФЗ № 152-ФЗ «О персональных данных»

ст. 86, ст. 88 ТК РФ

ст. 13.11 КоАП РФ

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных

Предупреждение или административный штраф:

- для граждан - от 70 до 1 500 руб.

- для должностных лиц - от 300 до 6 000 руб.

- для индивидуальных предпринимателей - от 5 000 до 10 000 руб.

- для юридических лиц - от 15 000 до 30 000 руб.

ст. 18.1 ФЗ № 152-ФЗ «О персональных данных»

ст. 13.11 КоАП РФ

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

- для граждан - от 100 до 2 000 руб.

- для должностных лиц - от 400 до 6 000 руб.

- для индивидуальных предпринимателей - от 10 000 до 15 000 руб.

- для юридических лиц - от 20 000 до 40 000 руб.

ст. 14,20 ФЗ № 152-ФЗ «О персональных данных»
ст. 13.11 КоАП РФ Невыполнение оператором в установленные сроки требования об уточнении, блокировании или уничтожении персональных данных

Предупреждение или административный штраф:

- для граждан - от 100 до 2 000 руб.

- для должностных лиц - от 4 000 до 10 000 руб.

- для индивидуальных предпринимателей - от 10 000 до 20 000 руб.

- для юридических лиц - от 25 000 до 45 000 руб.

ст. 21 ФЗ № 152-ФЗ «О персональных данных»
ч. 6             ст. 13.11 КоАП РФ Невыполнение оператором при обработке персональных данных обязанности по обеспечению сохранности персональных данных, если это повлекло неправомерный доступ либо иные неправомерные действия

Административный штраф:

- для граждан - от 70 до 2 000 руб.

- для должностных лиц - от 4 000 до 10 000 руб.

- для индивидуальных предпринимателей - от 10 000 до 20 000 руб.

- для юридических лиц - от 25 000 до 50 000 руб.

Пункт 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
ст. 13.11 КоАП РФ Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной обязанности по обезличиванию персональных данных

Предупреждение или административный штраф:

- для должностных лиц - от 300 до 6 000 руб.

Приказ Роскомнадзора от «05» сентября 2013 года «Об утверждении требований и методов по обезличиванию персональных данных»
ст. 13.12 КоАП РФ Нарушение требований о защите информации, установленных действующим законодательством РФ

Административный штраф:

- для граждан - от 500 до 1 000 руб.

- для должностных лиц - от 1 000 до 2 000 руб.

- для юридических лиц - от 10 000 до 15 000 руб.

 

ст. 9 ФЗ № 152-ФЗ «О персональных данных»

ст. 13.14 КоАП РФ Разглашение информации, доступ к которой ограничен

Административный штраф:

- для граждан - от 500 до 1 000 руб.

- для должностных лиц - от 4 000 до 5 000 руб.

ст. 9 ФЗ № 152-ФЗ «О персональных данных»

УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ
ст. 137 УК РФ Незаконный сбор или распространение персональных данных лица

Штраф до 2 000 руб. или иной доход за период за 18 месяцев

Обязательные работы на срок до 360 часов

Исправительные работы на срок до 1 года

Принудительные работы на срок до2 лет

Арест сроком до 4 месяцев

Лишение свободы сроком до 2-х лет

Нормы ФЗ № 152-ФЗ «О персональных данных»

ст. 140 УК РФ Неправомерный отказ в предоставлении персональных данных либо предоставление неполных или заведомо ложных сведений о персональных данных

Штраф до 200 000 руб. или иной доход за 18 месяцев

Лишение права занимать определённые должности сроком до 5 лет

ст. 272 УК РФ Неправомерный доступ к персональным данным, повлекший их уничтожение, блокирование, модификацию или копирование

Штраф до 200 000 руб. или иной доход за 18 месяцев

Исправительные работы сроком до 1 года

Принудительные работы сроком до 2 лет

Ограничение, лишение свободы сроком до2 лет

6. Рекомендации

Правоприменительная практика, а также изменения законодательства Российской Федерации о персональных данных в 2017 году свидетельствуют об усилении контроля государства за движением персональных сведений и повышении рисков клиентоориентированного бизнеса. Фирммейкер рекомендует объективно оценивать степень вовлеченности своей компании в обработку персональных данных, учитывать сферу собственного предпринимательского интереса и правильно организовать работу с персональными данными как собственных работников, так и клиентов, минимизировав тем самым возможные риски привлечения к ответственности. 

 

Фирммейкер, ноябрь 2017
Максим Житников
При использовании материала ссылка обязательна

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter