Что такое персональные данные
Персональные данные — это термин, закрепленный в ст. 3 закона от 27.07.2006 № 152-ФЗ. К ним относится информация любого характера о физическом лице, которая позволяет такое лицо идентифицировать. Эти данные могут не только прямо, но и косвенно касаться физлица.
К ПД относятся не только документы (паспорт, ИНН, СНИЛС), но и, например, фотография, изображение человека в интернете, номер телефона, адрес электронной почты и т. д.
Выражение персональных данных возможно в любых формах: видео, изображение, аудиозапись, публичных высказываниях.
Что содержится в законе о персональных данных
Физическому лицу приходится сообщать свои конфиденциальные данные в разных жизненных ситуациях: когда он оформляет кредит в банке, устраивает ребенка в садик, заполняет анкету в интернете для заказа услуги и др.
Закон 152-ФЗ в первую очередь разработан для защиты людей от незаконных манипуляций с их персональными данными. Ими могут воспользоваться мошенники, которые, например, получат доступ к базе клиентов компании.
Организации и ИП, которые собирают данные о своих клиентах, обязаны обеспечить безопасность этих данных и не допустить их утечки в широкое информационное поле.
Как организациям и ИП работать с персональными данными
Организации должны не только знать закон 152-ФЗ, но и следить за изменениями в правовой базе, чтобы надлежащим образом использовать и хранить персональные данные физических лиц.
Не только организации, но и ИП, которые работают с персональными данными физических лиц (включая своих сотрудников), должны зарегистрироваться в Роскомнадзоре как оператор персональных данных.
Что должна сделать каждая организация:
сформировать систему обработки, записи и хранения ПД с учетом актуальных требований законодательства;
разработать и соблюдать политику работы с персональными данными;
составить иную локальную документацию, регулирующую процесс использования ПД, которая включает в себя обработку, запись и хранение с учетом требований Роскомнадзора и 152-ФЗ;
регулярно направлять отчеты в Роскомнадзор.
Любая организация несет ответственность за действия, совершаемые с персональными данными своих субъектов (клиентов, пациентов, посетителей, участников собраний, контрагентов). Это распространяется не только на внутреннюю работу юрлиц, но и взаимоотношения за ее пределами.
Разберем поэтапно, как организовать работу с ПД.
Этап 1. Разработать политику обработки персональных данных
Например, при приеме на работу сотрудника организация должна действовать в соответствии с политикой обработки персональных данных. За отсутствие данного регламента предусмотрен штраф по ст. 5.27 КоАП: от 30 до 50 тыс. рублей.
Регламент работы с персональными данными должен включать в себя положения о том, как они обрабатываются, хранятся и используются.
В регламенте нужно указать, какие документы, содержащие персональные данные, требуют особой защиты.
Организации вправе передавать конфиденциальную информацию внутри своего юрлица, если такая процедура указана в политике.
Нужно составить перечень лиц, которые имеют доступ к персональным данным.
За несоблюдение правил политики нарушителя могут привлечь к ответственности: дисциплинарной, административной или уголовной.
Этап 2. Издать приказ о назначении ответственного лица
Ответственное лицо — это сотрудник, которого руководство наделяет правами по работе с персональными данными и управлению ими внутри организации (ч. 1 ст. 18.1, ч. 1 ст. 22.1 закона 152-ФЗ).
Обычно такого сотрудника назначают из руководящего состава, например, заместителя директора или начальника службы безопасности. Выбрать могут также руководителя отдела IT, потому что он напрямую взаимодействует с конфиденциальной информацией в цифровом пространстве (автоматизированных системах).
Этап 3. Составить список лиц с правом доступа
В организациях есть сотрудники, которые по своей должности имеют дело с персональными данными. Например, специалисты HR, которые собирают резюме и контактные данные для собеседования с кандидатами. Или сотрудники бухгалтерии, которые получают копии паспорта, ИНН, СНИЛС и других документов для оформления нового сотрудника.
Такие лица должны быть наделены правом доступа, а также для них нужно прописать конкретные действия, которые они вправе совершать с персональными данными в рамках своей зоны ответственности (п. 6 ст. 88 ТК).
Например:
бухгалтер, который оформляет больничный лист сотруднику;
секретарь, который покупает билет для работника по его паспорту, чтобы отправить в командировку.
Если лицо в организации наделено правом использовать персональные данные, то с ним подписывается документ о неразглашении конфиденциальных сведений. ПД нельзя передавать третьим лицам и использовать в личных целях.
Регистрация в реестре Роскомнадзора для работы с персональными данными
На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации
Этап 4. Обеспечить хранение данных
Один из способов хранения персональных данных — автоматизированные системы, которые должны защищать данные от утечки и обеспечивать их безопасность (приказ ФСТЭК от 18.02.2013 № 21).
Как автоматизированные системы защищают ПД:
предоставляют индивидуальный доступ отдельным сотрудникам организации только к той части цифровой базы, которая касается их функций;
применяют двухуровневый вход в систему по паролям;
регулярно обновляют пароли, например, один раз в месяц.
Как обеспечить безопасность ПД при неавтоматизированной обработке:
доступ к хранилищу физических носителей выдавать только уполномоченным сотрудникам, которые указаны в специальном списке;
место хранения должно находиться под сигнализацией и видеонаблюдением (при необходимости).
Под защитой должна находиться любая информация о физлице: анкета, трудовая книжка, диплом, копии удостоверений, паспорта, ИНН.
Этап 5. Получить согласие на использование данных
Согласие от человека, чьи данные организация планирует обрабатывать и использовать, помогает избежать штрафов.
Например, если данные физлица будут указаны на сайте компании, в социальных сетях, на визитных карточках, то лучше соблюдать осторожность и брать с человека согласие на распространение ПД.
Этап 6. Уведомить Роскомнадзор
Компании должны отчитываться перед Роскомнадзором еще до начала сбора и обработки персональных данных физлиц (ст. 22 закона 152-ФЗ). Уведомление в РКН направляется после подготовки необходимых документов.
Направить уведомление в Роскомнадзор можно одним из четырех способов:
отправить по почте бланк, предварительно его распечатав и заполнив;
принести лично уведомление в территориальное отделение РКН;
воспользоваться формой отправки на сайте Роскомнадзора;
отправить через «Госуслуги» — для подтвержденных на портале организаций.
Роскомнадзор в течение 30 дней с даты направления уведомления добавит информацию о компании или ИП в реестр операторов (ч. 4 ст. 22 закона 152-ФЗ).
Если в предоставленной информации произошли изменения, нужно сообщить об этом в Роскомнадзор не позднее 15 числа месяца, следующего за тем, в котором эти изменения произошли.
Какие документы нужны для работы с ПД
Для работы с персональными данными компаниям нужен стандартный комплект документов, о котором частично рассказали выше. К этим документам относятся:
1. Положение об обработке персональных данных. Это основной документ, который определяет порядок работы с ПД для конкретных бизнесов и организаций с учетом их вида деятельности.
2. Политика обработки персональных данных. В законе 152-ФЗ с 1 марта 2024 года произошли изменения в части этого регламента: теперь компаниям стоит предусматривать новый вид обработки личных данных — распространение.
Примечание: распространение не стоит путать с передачей данных. Передача — это предоставление права использовать ПД конкретным лицам из списка сотрудников компании. А распространение — это предоставление информации широкой аудитории, и на такое распространение физлицо должно дать разрешение.
3. Приказ о назначении ответственного за обработку персональных данных. Документ необходим, чтобы наделить конкретного сотрудника правом работать с ПД других лиц. Например, когда компания расширяется и нанимает новых сотрудников в штат.
4. Обязательство о неразглашении персональных данных. Сотрудники, которые работают с информацией о других лицах, должны быть под подпись уведомлены о том, что они не имеют права распространять чужие данные.
5. Регламент доступа сотрудников организации к персональным данным. Это локальный документ, который фиксирует правила работы с ПД внутри компании и регулирует доступ сотрудников к личной информации.
Это обязательные документы для компаний, чьи процессы связаны со сбором и обработкой данных. А ниже мы подготовили таблицу со штрафами за нарушение норм 152-ФЗ.
Если у вас трудности с организацией работы с персональными данными или сомневаетесь в правильности подготовки документов, то специалисты «Роском Онлайн» готовы вам помочь. Среди преимуществ работы с «Роском Онлайн» — грамотное составления заявления, составление ответов для Роскомнадзора и консультация корпоративных юристов. В качестве бонуса вы получите 10% на годовое сопровождение и памятку по Роскомнадзору.
Ответственность за несоблюдение закона о персональных данных 152-ФЗ
За несоблюдение законодательства в области персональных данных предусмотрена административная ответственность в виде крупных штрафов для компаний, предпринимателей и должностных лиц (ст. 13.11 КоАП).
Норма: ст. 13.11 КоАП | Нарушение | Организация | ИП | Ответственный (должностное лицо) |
Персональные данные лица обрабатывались без его письменного согласия, когда такое согласие требовалось по закону | 300–700 тыс. руб. и 1–1,5 млн руб. при повторном нарушении | 500 тыс.–1 млн руб. при повторном нарушении | 100–300 тыс. руб. и 300–500 тыс. руб. при повторном нарушении | |
Оператор нарушил правила публикации политики обработки персональных данных и доступа к этому регламенту. | 30–60 тыс. руб. | 10–20 тыс. руб. | 6–12 тыс. руб. | |
Оператор не предоставил лицу информацию, которая относится к обработке его ПД | 40–80 тыс. руб. | 20–30 тыс. руб. | 8–12 тыс. руб. | |
Оператор нарушил сроки, в которые должен был изменить, блокировать или удалить персональные данные по требованию владельца или контрольного органа | 50–90 тыс. руб. и 300–500 тыс. руб. при повторном нарушении | 20–40 тыс. руб. и 50–100 тыс. руб. при повторном нарушении | 8–20 тыс. руб. и 30–50 тыс. руб. при повторном нарушении | |
Оператор нарушил требования об обработке ПД в неавтоматизированной форме, и это привело к незаконным манипуляциям с данными (хранение физических носителей и доступ к ним без разрешительных документов) | 50–100 тыс. руб. | 20–40 тыс. руб. | 8–20 тыс. руб. | |
Оператор (государственный или муниципальный орган) нарушил законодательство в области обезличивания ПД | ___ | ___ | 6–12 тыс. руб. | |
Оператор при сборе данных нарушил обязанность по обеспечению записи, систематизации, накоплению, хранению, уточнению или извлечению ПД граждан РФ с использованием баз данных, находящихся на территории РФ | 1–6 млн руб. и 6–18 млн руб. при повторном нарушении | ___ | 100–200 тыс. руб. и 500–800 тыс. руб. при повторном нарушении |
Выводы
Организации и ИП, которые работают с людьми и собирают и обрабатывают персональные данные должны строить свою работу в соответствии с нормами закона 152-ФЗ.
Нужно уведомлять Роскомнадзор о работе с ПД, чтобы ведомство внесло сведения в реестр операторов.
Законодательство в области персональных данных меняется, поэтому важно отслеживать последние нововведения. Например, с 1 марта 2024 года появился новый вид обработки ПД — распространение.
Штрафы в КоАП предусмотрены не только для организаций и ИП, но и для должностных лиц, которые были уполномочены заниматься сбором и обработкой ПД.
Проконсультируйтесь бесплатно на сайте «Роском Онлайн», чтобы оградить себя от проверок прокуратуры, предписаний РКН и штрафов.
Читайте также:
Роскомнадзор: персональные данные 2025 — новые правила обработки и штрафы за нарушения.
Обработка персональных данных 2025: обязанность регистрации в Роскомнадзоре.
Регистрация в реестре Роскомнадзора для работы с персональными данными
На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KbCbj
Комментарии
2Добрый день! Подскажите пожалуйста- ИП без сотрудников должен регистрироваться в Роскомнадзоре?
а это еще зачем ?