Что считать персональными данными
Персональные данные (ПД) — это абсолютно любая информация, которая имеет отношение к конкретному лицу, как прямо, так и опосредованно (ст. 3 закона о персональных данных). Это не только пол, возраст, ФИО, паспортные данные, ИНН, СНИЛС и т.п., но и:
номер телефона;
данные о полученном образовании, повышении квалификации;
биографические факты (в том числе судимость, служба в армии и т.п.);
предыдущая трудовая деятельность;
деловые качества;
личные качества оценочного характера;
сведения о зарплате и, вообще, финансовом положении (ст. 3 закона о персональных данных, разъяснения Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059);
фото, аудио- и видеозаписи, и, разумеется, пальцевые отпечатки (письмо Роскомнадзора от 10.02.2020 № 08АП-6782);
другие данные, которые позволяют установить личность.
Если вы впервые сталкиваетесь с обязанностями законодательства о персональных данных и не уверены, как правильно организовать всю систему работы с ПД, включая подготовку и регулярное обновление документов и политики в соответствии с законом №152-ФЗ, обращайтесь к специалистам сервиса «Роском Онлайн».
Что нужно сделать перед подачей уведомления в Роскомнадзор
Перед тем, как оформить и отправить уведомление на официальном сайте Роскомнадзора, необходимо предпринять несколько шагов:
разработать политику в области ПД;
сформировать политику их обработки;
утвердить оба документа специальным приказом;
этим же приказом определить перечень лиц, которые должны быть ознакомлены с документами;
подписать с этими лицами обязательства о неразглашении ПД.
В положении следует закрепить следующие пункты:
категории субъектов ПД;
категории и перечень обрабатываемых ПД, цели их обработки;
лица, ответственные за обработку ПД;
способы обработки и хранения ПД;
передача ПД;
уничтожение документов, содержащих ПД;
права, обязанности и ответственность лиц, представляющих ПД.
Особым приказом определяют лицо, ответственное за обработку ПД, а также перечень лиц, имеющих к ним доступ. Также нужно утвердить формы согласий на обработку (это один документ), на передачу ПД (это второй документ) плюс заявление на отзыв такового согласия.
Причем мало утвердить локальные нормативные акты, следует провести публикацию положения об обработке персональных данных или каким-то методом обеспечить доступ к этому документу.
Пренебрежение этой обязанностью может повлечь за собой штрафы по ст. 4.1.2, 13.11 КоАП:
от 150 тыс. до 350 тыс. руб. — за распространение, передачу или другую работу с персональными данными без разрешения субъекта (для малых и микропредприятий);
от 300 тыс. руб. до 700 тыс. руб. — для прочих фирм;
от 100 тыс. до 300 тыс. руб. — для должностных лиц.
Политику обработки персональных данных нужно опубликовать на сайте или, если веб-страницы у вас нет, то на инфостенде в офисе, месте приема граждан, клиентуры и т.п.
Все вышеописанное — рамочные требования. Полный комплект документов, который соответствует Закону о защите персональных данных — это почти 60 позиций. Причем «рыбы» тут не применяются, для каждого оператора пакет индивидуален, зависит от того, какие именно данные обрабатываются, целей их обработки.
Скачать полный чек-лист процедур и документов, обязательных при работе с персональными данными (более 60)
Заполните форму, вышлем чек-лист нам на e-mail:
Заполните форму, вышлем чек-лист нам на e-mail:
Как уведомить Роскомнадзор
Важно провести эту операцию до того, как начать обрабатывать персональные данные (ст. 22 закона о персональных данных).
Информирование ведомства обязательно вне зависимости от статуса лица — организация или ИП (если он выступает оператором ПД). Форма уведомления утверждена в Приложении № 1 к приказу Роскомнадзора от 28.10.22 № 180. Прописывается:
наименование, ФИО оператора, адрес;
цель обработки;
дата начала обработки;
срок (или же условие) прекращения обработки;
сведения о том, как обеспечивается безопасность ПД, само уведомление подписывается уполномоченным лицом (ч. 3 ст. 3, 22 закона о персональных данных).
В течение 30 суток с момента получения уведомления Роскомнадзор вносит организацию или ИП в реестр операторов (ч. 4 ст. 22 закона о персональных данных).
Если какие-то сведения из предоставленных изменились, об этом тоже нужно сообщить РКН — до 15 числа месяца, следующего за тем, в котором произошли новации.
О том, что личные данные больше не будут обрабатываться, сообщается не позднее 10 дней с момента такового прекращения (ч. 7 ст. 22 закона о персональных данных). Формы уведомления утверждены в Приложении № 2 и 3 (соответственно) к приказу Роскомнадзора от 28.10.22 № 180. Для трансграничной передачи требуется направление особого уведомления, которое представляется отдельно от вышеописанных (ч. 3 ст. 12 закона о защите персональных данных).
Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными
Штрафы за нарушения в работе с персональными данными
Какая санкция грозит за несоблюдение правил обработки личной информации? Самая серьезная.
Если не будут исполнены требования законодательства о ПД, в том числе представление Роскомнадзору неполных, устаревших, неточных данных, штраф может составить (ч. 2, 3 ст. 13.11 КоАП):
при первичном нарушении — до 90 000 руб.;
при повторном правонарушении — 500 000 руб.
Если не обеспечить условия для хранения ПД (например, за применение для этого иностранных серверов), грозит штраф (ч. 8, 9 ст. 13.11 КоАП):
при первичном нарушении — до 6 млн руб.;
при повторном нарушении — 18 млн руб.
В ситуации, когда следственные органы увидят в действиях обязанного лица признаки правонарушения, то может последовать ответственность по УК. В частности, неполучение согласия может повлечь ответственность по УК. Согласно ст. 137 УК, за допущение неправомерного доступа к цифровой информации, в результате чего она была уничтожена (заблокирована, изменена, скопирована) — по ч. 1 ст. 272 УК и т.п.
Чтобы не давать поводов для предписаний Роскомнадзора, прокуратуры и не рисковать «налететь» на штраф от 300 000 до 18 000 000 руб. получите бесплатную консультацию на сайте сервиса «Роском Онлайн».
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KWAgJ
Начать дискуссию