Бюллетень для руководителей от МКПЦН-Консультант
Москва, улица Обручева, д. 23, корпус 3, бизнес-центр Gas Field, этаж 11

nalogov.net

Материалы

Авторские статьи

Все самое актуальное из мира финансов
За какие нарушения при работе с персональными данными может грозить большой штраф?

За какие нарушения при работе с персональными данными может грозить большой штраф?

Ведущий юрисконсульт

В последнее время законодатель ужесточает ответственность за нарушения при обработке персональных данных (ПД), тем самым побуждая операторов охранять личные данные граждан. Очередные поправки, увеличивающие размер административных штрафов за нарушения в области обработки персональных данных, начнут действовать с 30 мая текущего года.

Во избежание ответственности операторы должны в полном объеме следовать букве закона. Так какие же нарушения могут привести не только к уплате значительных штрафов, но и к потере репутации оператора?

 


Отсутствие обязательных документов 

Каждый оператор в обязательном порядке должен утвердить:

1. Документ (комплект документов), определяющий политику обработки персональных данных оператора (далее – Политика). При этом называться этот документ может Политикой, Положением, Порядком и т. д.

Роскомнадзор разработал рекомендации по составлению такой Политики. Ведомство рекомендует включать в Политику:

  • цели сбора данных
  • правовые основания обработки
  • объем, категории обрабатываемых данных
  • категории субъектов персональных данных
  • порядок и условия обработки данных
  • информацию о процедурах, осуществляемых для предотвращения и выявления нарушений законодательства о персональных данных
  • требования к защите персональных данных, которые реализуются оператором
2. Положение о порядке обработки персональных данных работников. Такое положение может быть оформлено как в виде отдельного документа, так и входить отдельной главой в Политику.

Указанные обязательные документы представители Роскомнадзора прежде всего потребуют при проверке.

   

Отсутствие должностного лица, отвечающего за обработку персональных данных 


Каждый оператор, являющийся юридическим лицом, обязан назначить должностное лицо, ответственное за обработку персональных данных. Такое требование содержится в статье 22.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Как правило, такое лицо назначается приказом по организации.

На ответственное лицо возлагаются следующие обязанности:

  • внутренний контроль за соблюдением законодательства о персональных данных как в целом организацией, так и персоналом организации
  • обеспечение и контроль работы с обращениями (запросами) субъектов ПД либо их представителей, включая контроль приема и обработки таких обращений (запросов)
  • ознакомление работников с законодательством, локальными актами в области обработки персональных данных, требованиями к их защите



Отсутствие утвержденного перечня лиц, имеющих доступ к персональным данных работников, и мест хранения материальных носителей с персональными данными

Если у оператора есть данные, которые хранятся в виде бумажных носителей, то обязательно должен быть издан приказ об утверждении перечня лиц, имеющих доступ к персональным данным, а также мест хранения материальных носителей с соответствующими данными. Такое требование установлено Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 № 687.

 


Политика и сведения о реализуемых требованиях по защите персональных данных не были опубликованы

Оператор должен предоставить неограниченный доступ к Политике и сведениям к защите персональных данных. Самый простой способ – разместить указанные документы на официальном сайте оператора.

Если оператор собирает персональные данные в интернете или другой информационно-телекоммуникационной сети, эти документы априори нужно опубликовать на странице сайта, осуществляющего их сбор.

 

   

Неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных или об изменениях в ранее поданных сведениях 

Прежде чем приступить к обработке ПД, оператор должен направить уведомление в Роскомнадзор, который, в свою очередь, внесет эти данные в реестр операторов.

Кроме того, операторы должны в обязательном порядке направлять в ведомство уведомления в случаях, если у них произошли изменения в деятельности по обработке данных либо если они обработку ПД прекратили.

 


Сбор персональных данных без привязки к цели обработки 

Допустимо обрабатывать только те персональные данные, которые отвечают установленным целям обработки.

Таким образом, цели должны быть ясны и определены оператором четко и заранее. Для каждой из определенных целей в локальном акте по вопросам обработки персональных данных необходимо закрепить точный перечень персональных данных.

Если цели обработки сформулированы слишком общими фразами, размыто, без соотнесения с перечнями ПД, соответствующими установленным целям, Роскомнадзор обязательно обратит на это внимание и накажет штрафом. Размер штрафа за данное нарушение может достигать 100 тыс. рублей.

    

Оформление единого согласия субъекта персональных данных «на все случаи жизни»

Правовой основой для возможности вообще обрабатывать чьи-то персональные данные является согласие соответствующего субъекта ПД на такую обработку.

Соответственно, очень важным моментом является корректное оформление указанного согласия. При этом особо стоит подчеркнуть, что такие согласия субъектов ПД должны быть разных видов в зависимости от ситуации.

В общем случае может быть стандартная форма.

Но составление отдельных дополнительных документов потребуется:

  • при обработке биометрических персональных данных
  • при обработке персональных данных специальных категорий
  • для распространения персональных данных (например, размещения на сайте в интернете)
  • при передаче персональных данных третьим лицам (при привлечении сторонних организаций, например аудитора).


Включение всех видов согласий в один документ не допускается.

Указанные выше нарушения наиболее типичны. Если в вашей организации их нет, не стоит успокаиваться и обделять вниманием рабочие процессы, касающиеся работы с персональными данными. В данной сфере правоотношений существует множество иных обязательных требований, выполнение которых нужно постоянно отслеживать, в противном случае неизбежны претензии представителей контролирующего органа.

Стоит помнить, что Роскомнадзор может осуществлять превентивный контроль. Несмотря на то что такой контроль по большей части имеет информационную функцию, в случае выявления факта прямой и определенной угрозы нанесению вреда охраняемым законом ценностям ведомство с высокой долей вероятности организует выездную проверку, которая не подпадает под действующий мораторий.

 


Юлия Бахматова 
Ведущий юрисконсульт
Компания ООО «МКПЦН-Консультант»