прайс на все услуги

Персональные данные: как работать без штрафов

Активное развитие информационных технологий и движение информации предъявляют всё новые требования к субъектам предпринимательства в области обработки персональных данных. В современных условиях под влиянием роста рынка электронной коммерции значительная часть реализуемых товаров и продукции, выполняемой работы и оказываемых услуг осуществляется с обработкой персональных данных, в том числе с использованием информационных сетей общего доступа.  В статье Фирммейкер расскажет о понятии и категориях персональных данных, современных требованиях к организации их обработки, а также том, как обезопасить свою компанию от ответственности за нарушение законодательства в области персональных данных.

01. Что такое персональные данные и их обработка?

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 ФЗ № 152-ФЗ «О персональных данных»);Персональные данные как работать без штрафов
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Действующее законодательство Российской Федерации, при этом, не предусматривает исчерпывающего перечня сведений, относящихся к персональным данным – законодательно определён только «общий критерий» определения персональных данных - сведения или информация должны достоверно «идентифицировать» личность и указывать на определенное или определяемое физическое лицо – субъекта персональных данных.

Если по результатам обработки информации представляется возможным однозначно определить, о ком (конкретном физическом лице) идёт речь – перед Вами сведения, относящиеся к персональным данным.

ПРИМЕР:

  • «Иванов Иван Иванович, паспорт гражданина РФ серия 6600, № 100001» - это персональные данные, прямо указывающие на определенное физическое лицо;
  • «Генеральный директор ООО «Созвездие», зарегистрированного по адресу: РФ, 214000, Смоленская обл., г. Смоленск, ул. Ленина, д., офис 1» - это персональные данные, указывающие на определяемое физическое лицо;
  • «Руководитель компании Иван» - это не персональные данные, поскольку не указывают на конкретное физическое лицо и не предоставляют возможности определить конкретное лицо.

Различают следующие категории персональных данных (приказ Роскомнадзора от 30 мая 2017 года № 94):

  1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  2. специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь);
  3. биометрические персональные данные - дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта), и которые используются для установления личности субъекта персональных данных.

02. Когда не нужно обрабатывать персональные данные?

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Исходя из предусмотренного законом определения, оператором персональных данных является абсолютно каждый участник гражданских правоотношений, в том числе – субъекты предпринимательства – юридические лица и индивидуальные предприниматели.

Оператор не обязан выполнять требования к обработке персональных данных (ст. 1 ФЗ № 152-ФЗ):

  1. обработка осуществляется физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  2. обработка проводится при работе с документами Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле;
  3. обработка производится при работе со сведениями, составляющим государственную тайну.

Оператор вправе осуществлять обработку персональных данных без специального уведомления уполномоченного органа (Роскомнадзор) (ст 22 ФЗ № 152-ФЗ):

  1. Персональные данные обрабатываются исключительно во исполнение требований трудового законодательства;
  2. Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных и его персональные данные не распространяются третьим лицам;
  3. Персональные данные о членах общественной или религиозной организации обрабатываются самой этой организацией;
  4. Разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных законом;
  5. Персональные данные включают в себя только фамилию, имя и отчество субъектов персональных данных;
  6. Персональные данные используются для предоставления одноразового пропуска или в других аналогичных ситуациях;
  7. Обрабатываются персональные данные, включенные в государственные автоматизированные информационные системы персональных данных;
  8. Персональные данные обрабатываются без автоматизированной обработки (без использования компьютера, но с соблюдением требований Постановления Правительства РФ от «15» сентября 2008 г. № 687);
  9. Персональные данные обрабатываются в целях транспортной безопасности;
  10. Персональные данные, разрешенные для распространения (с 1.03.21, ст. 10.1 152-ФЗ). Оно введено для ограничения неправомерного доступа и обращения к персональным данным, размещенным в открытых источниках и в свободном доступе в информационной-телекоммуникационной сети «Интернет». По новым правилам в случае распространения оператором персональных данных (к распространению приравнивается, например, размещение фото- и видео материалов, анкеты сотрудника на сайте организации в сети «Интернет») ему предварительно надлежит получить отдельное согласие субъекта персональных данных на их распространение, прежнего же согласия на обработку в данном случае будет недостаточно (примерная форма).

03. Когда нужно обрабатывать персональные данные?

В обязательном порядке необходимо соблюдать требования законодательства об обработке персональных данных, если:

  • юридическое лицо/индивидуальный предприниматель на постоянной основе в силу специфики деятельности осуществляет обработку персональных данных (справедливо, для: юридические и бухгалтерские услуги, банковское дело, сфера торговли, сфера услуг, образовательные и медицинские учреждения и организации);
  • юридическое лицо/индивидуальный предприниматель на постоянной основе ведёт собственную базу клиентов или реестр обращений, содержащие персональные данные физических лиц (в том числе с использованием CRM и аналогичных программных продуктов);
  • официальный сайт юридического лица/индивидуального предпринимателя предусматривают возможность регистрации пользователей, внесения в различные формы (например, форму обратной связи или форму заявки на оказание услуги) персональных данных физического лица;
  • во всех остальных случаях, если не могут быть применены исключения из общей обязанности соблюдать требования обработки персональных данных.

Можно ли компании в РФ передавать персональные данные нерезиденту?

При сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ст. 18 ФЗ 152-ФЗ). Это означает, что в случае сбора организацией персональных данных физических лиц, являющихся гражданами РФ, указанные данные должны содержаться в базах данных, расположенных на территории РФ.

Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.), а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с законом (ст. 12 ФЗ 152-ФЗ). По смыслу указанных норм трансграничная передача персональных данных на территорию государств, являющихся членами Совета и Европы или иных государств, перечень которых утвержден Приказом Роскомнадзора №274 от 15.03.2013 г. представляется возможной при соблюдении требований Федерального закона «О персональных данных», а именно: получение предварительного согласия субъекта персональных данных в любой, позволяющей подтвердить факт его получения форме.

Такое согласие может быть получено, в частности путем заполнения специальной формы на сайте, подписания заявления или иным другим способом

04. Обязанности оператора персональных данных

ШАГ 1. Документы для работы с персональными данными

Разработайте и утвердите пакет документов, определяющий правила работы с персональными данными в Вашей организации. Это следующие документы:

  • Приказ о назначении лиц, ответственных за обработку и защиту персональных данных;
  • Положение по обработке персональных данных;
  • Политика компании в отношении обработки персональных данных;
  • Положение об обеспечении безопасности персональных данных;
  • Уведомление об обработке персональных данных;
  • Перечень должностей и третьих лиц, допущенных к обработке персональных данных;
  • Форма Обязательства о неразглашении персональных данных;
  • Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку;
  • Перечень обрабатываемых персональных данных;
  • Форма Согласия на обработку распространение персональных данных;
  • Форма Согласия на распространение персональных данных;
  • Перечень информационных систем персональных данных;
  • Регламент по допуску сотрудников и третьих лиц к обработке персональных данных;
  • Регламент по реагированию на запросы субъектов персональных данных.

ШАГ 2. Политика конфиденциальности при работе с персональными данными

Разместите Политику конфиденциальности в области персональных данных и Форму согласия на обработку персональных данных в свободном доступе на сайте Вашей компании

ШАГ 3. Уведомление Роскомнадзора

Уведомите уполномоченный орган – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о начале обработки персональных данных. Оператор персональных данных до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Уполномоченным органом в области обработки персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (постановление Правительства РФ от «16» марта 2009 года № 228), ведомству предоставлены полномочия по контролю за соблюдением законодательства РФ в области обработки персональных данных, ведению реестра операторов персональных данных, а также привлечению к административной ответственности за нарушения в данной области.

Уведомление о намерении осуществить обработку персональных данных направляется в Роскомнадзор в виде документа на бумажном носителе или в форме электронного документа, рассматривается уполномоченным органом в течение 30 дней, по результатам компания включается в Реестр операторов, осуществляющих обработку персональных данных.

05. Какие штрафы за персональные данные?

Роскомнадзор наделен полномочиями по проведению плановых и внеплановых, документальных или выездных проверок как среди компаний, внесенных в Реестр операторов персональных данных, так и среди компаний, которых нет в этом реестре.

План проверок Роскомнадзора на год

Подобные проверки продолжают оставаться действенным инструментом негативного воздействия со стороны недобросовестных конкурентов и бывших работников Вашей организации. Основание - постановление от 29.06.2021 № 1046.

Базовые принципы государственного контроля за операторами персональных данных:

  • объекты контроля – это деятельность и результаты деятельности операторов персональных данных по их автоматизированной обработке, а также результаты деятельности по разработке документов и локальных актов;
  • объекты контроля с позиции рисков причинения вреда (ущерба) конфиденциальности персональных данных отнесены к группам высокого, значительного, среднего, умеренного и низкого риска;
  • периодичность проведения контрольных мероприятий (визита, проверка) поставлена в зависимость от группы риска.

Административная ответственность за персональные данные

ст. 5.27 КоАП РФ

Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права - предупреждение или административный штраф:

  • для должностных лиц – от 1 000 до 5 000 руб.;\
  • для индивидуальных предпринимателей – от 1 000 до 5 000 руб.
  • для юридических лиц – от 30 000 до 50 000 руб.

ст. 13.11 КоАП РФ

Несовместимые цели сбора данных - административный штраф:

  • для граждан - от 2 000 до 6 000 руб.;
  • для должностных лиц - от 10 000 до 20 000 руб.;
  • для юридических лиц - от 60 000 до 100 000 руб.

Обработка без согласия либо нарушение - административный штраф:

  • для граждан - от 6 000 до 10 000 руб.;
  • для должностных лиц - от 20 000 до 40 000 руб.;
  • для юридических лиц - от 30 000 до 150 000 руб.

Политика в отношении обработки персональных данных не опубликована - административный штраф:

  • для граждан - от 1 500 до 3 000 руб.;
  • для должностных лиц - от 6 000 до 12 000 руб.;
  • для индивидуальных предпринимателей - от 10 000 до 20 000 руб.;
  • для юридических лиц - от 30 000 до 60 000 руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных - Административный штраф:

  • для граждан - от 2 000 до 4 000 руб.;
  • для должностных лиц - от 8 000 до 12 000 руб.;
  • для индивидуальных предпринимателей - от 20 000 до 30 000 руб.;
  • для юридических лиц - от 40 000 до 80 000 руб.

Невыполнение оператором в установленные сроки требования об уточнении, блокировании или уничтожении персональных данных - Административный штраф:

  • для граждан - от 2 000 до 4 000 руб.;
  • для должностных лиц - от 8 000 до 20 000 руб.;
  • для индивидуальных предпринимателей - от 20 000 до 40 000 руб.;
  • для юридических лиц - от 50 000 до 90 000 руб.

Невыполнение обязанности по обеспечению сохранности персональных данных, если это повлекло неправомерный доступ либо иные неправомерные действия - административный штраф:

  • для граждан - от 1 500 до 4 000 руб;
  • для должностных лиц - от 8 000 до 20 000 руб.;
  • для индивидуальных предпринимателей - от 20 000 до 40 000 руб.;
  • для юридических лиц - от 50 000 до 100 000 руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной обязанности по обезличиванию персональных данных - административный штраф:

  • для должностных лиц - от 6 000 до 12 000 руб.

Невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ - административный штраф:

  • для граждан – от 30 000 руб. до 50 000 руб.; повторно - от 50 000 руб. до 100 000 руб.;
  • для должностных лиц: от 100 000 руб. до 200 000 руб.; повторно - от 500 000 руб. до 800 000 руб.;
  • для юридических лиц: от 1 000 000 руб. до 6 000 000 руб., повторно - от 6 000 000 руб. до 18 000 000 руб.

ст. 13.12 КоАП РФ

Нарушение требований о защите информации, установленных действующим законодательством РФ - административный штраф:

  • для граждан - от 1 000 до 1 500 руб.;
  • для должностных лиц - от 1 500 до 2 500 руб.;
  • для юридических лиц - от 15 000 до 20 000 руб.

ст. 13.14 КоАП РФ

Разглашение информации, доступ к которой ограничен - административный штраф:

  • для граждан - от 5 000 до 10 000 руб.;
  • для должностных лиц - от 40 000 до 50 000 руб. с возможной дисквалификацией до 3 лет;
  • для юридических лиц: от 100 000 до 200 000 руб.

Уголовная ответственность за персональные данные

ст. 137 УК РФ

Незаконный сбор или распространение персональных данных лица:

  • Штраф до 200 000 руб. или иной доход за период за 18 месяцев;
  • Обязательные работы на срок до 360 часов;
  • Исправительные работы на срок до 1 года;
  • Принудительные работы на срок до 2 лет;
  • Арест сроком до 4 месяцев;
  • Лишение свободы сроком до 2-х лет

ст. 140 УК РФ

Неправомерный отказ в предоставлении персональных данных либо предоставление неполных или заведомо ложных сведений о персональных данных:

  • Штраф до 200 000 руб. или иной доход за 18 месяцев;
  • Лишение права занимать определённые должности сроком до 5 лет

ст. 272 УК РФ

Неправомерный доступ к персональным данным, повлекший их уничтожение, блокирование, модификацию или копирование:

  • Штраф до 200 000 руб. или иной доход за 18 месяцев;
  • Исправительные работы сроком до 1 года;
  • Принудительные работы сроком до 2 лет;
  • Ограничение, лишение свободы сроком до 2 лет

06. Итоги

Правоприменительная практика свидетельствуют об усилении контроля государства за движением персональных сведений и повышении рисков клиентоориентированного бизнеса. Фирммейкер рекомендует объективно оценивать степень вовлеченности своей компании в обработку персональных данных, учитывать сферу собственного предпринимательского интереса и правильно организовать работу с персональными данными как собственных работников, так и клиентов, минимизировав тем самым возможные риски привлечения к ответственности. 


Фирммейкер, ноябрь 2017 (следим за актуальностью)
Максим Житников
При использовании материала ссылка обязательна

Требуется комплект документов?

от 3 000 руб за документ

Оставьте заявку
Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter
Категории

смотрите также