За что штрафует Роскомнадзор

По нашим наблюдениям, значительное число предписаний выносится Роскомнадзором за несоответствие поданного уведомления и того, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», но вы обрабатываете еще и сведения о профессии, или доходах. Да и про родственников сотрудников иногда любите задать массу личных вопросов, не так ли?

Поэтому следует обратить особое внимание на следующие моменты:

1. Формулировки. Все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто «ответственным за обработку персональных данных», то регулятор в процессе проверки попросит внести изменения в документ.

2. Даты. Обработка персональных данных начинается с момента создания организации (то есть регистрации в ФНС), а не с момента подачи уведомления в Роскомнадзор.

3. Конфиденциальность

• Каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении персональных данных.
• В случае любого изменения сведений, указанных в уведомлении, необходимо в течение 10  рабочих дней донести эту информацию до Роскомнадзора
• Во всех кабинетах, в которых обрабатываются бумажные ПДн, должны быть определены приказом места хранения и ответственные за сохранность конфиденциальности.
• Персональные данные являются частным случаем сведений конфиденциального характера, поэтому Роскомнадзор считает, что он должен быть утвержден отдельным приказом. Что может относиться к сведениям конфиденциального характера – смотрите указ Президента РФ № 188 от 6 марта 1997 г.

4. Территориальный признак

• В уведомлении необходимо указывать все физические адреса оператора (если они относят к данному юридическому лицу), где ведется обработка ПДн, даже если они находятся в других федеральных округах РФ
• В 2015 году появилось требование хранить персональные данные граждан РФ в России (что добавит вам головной боли, уж поверьте), то необходимо внести изменения в уведомление с указанием сведений о местонахождении баз персональных данных.

Кроме того, ко всем документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они ознакомлены. В должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных».

Помимо внутренних документов, необходимо разработать один публичный - обычно это «Политика в отношении обработки персональных данных». Он должен быть вывешен на веб-сайте оператора ПДн, либо (если веб-сайта нет) на информационной доске в офисе или находиться в другом общедоступном месте. К слову сказать, этот документ потребуется и для того, чтобы вы смогли нормально пользоваться отдельными онлайн-сервисами (например, для e-mail-рассылок).

Также могут быть серьезные вопросы в случае трансграничной передачи информации по каналам связи. Разрешена передача персональных данных в страны, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также в страны, обеспечивающие адекватную защиту прав субъектов ПДн (регулируется реестром таких стран). Передача в страны, не обеспечивающие адекватную защиту прав субъектов ПДн, разрешена в случаях наличия согласия в письменной форме субъекта ПДн, для исполнения договора, стороной которого является субъект персональных данных и т.п. В общем, полная катастрофа.

Но к счастью, из практики Интеркомп мы видим, что сотрудники Роскомнадзора понимают, что практически невозможно осуществить обмен с зарубежным государством строго используя наши ГОСТы. Поэтому им достаточно понять, что осуществляется шифрование, и информация не передается в открытом виде.

Нам с коллегами часто приходится слышать, что аттестация информационных систем персональных данных является обязательной, но на практике проверяющие не требуют аттестат соответствия. С другой стороны, несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно необходимо регламентировать автоматизированную обработку и защиту ПДн в информационных системах. Проще говоря, чем больше документов вы предоставите по защите ПДн, тем лучше. Кроме того, при обнаружении явных нарушений Роскомнадзор вправе передавать дела в ФСБ и ФСТЭК.

Важно! По жалобе физлица компания даже без проведения проверки может быть внесена в Реестр нарушителей прав субъектов персональных данных и ее интернет-сайт может быть заблокирован в течение нескольких рабочих дней после вынесения решения Роскомнадзора. Для компаний, которые зависят в своей операционной или маркетинговой деятельности от работоспособности их сайтов (а таких изобилие) - это будет серьезным ударом ниже пояса.

Ответственность и штрафы

Об ответственности за нарушения 152-ФЗ говорится в самых разных законах. В первую очередь это КоАП, Трудовой кодекс, Гражданский кодекс и Уголовный кодекс. За нарушение или невыполнение требований законодательства в области персональных данных предусмотрены различные штрафы (на текущий момент - до 300 тыс. рублей по УК и до 500 тыс. по КоАП), блокировка сайта, запрет занимать руководящие должности до 3 лет и даже уголовная ответственность сроком до 4 лет, или исправительные работы. В общем, перспективы малоприятные.

И при этом надо учесть, что до сих пор проверки были относительно мягкими. Например, по данным Роскомнадзора общая сумма штрафов за примерно 1200 выявленных в этом году нарушений составила около 8 миллионов рублей, то есть в среднем штраф составлял в пределах семи тысяч за одно нарушение.

В 2016 году нас всех ждет не только увеличение количества проверок, но и ужесточение штрафов. Например, за такое распространенное нарушение, как отсутствие публикации на сайте компании Политики в отношении обработки персональных данных, в 2016-м году планируется штраф в 50 000 рублей. Особенно значительным увеличение штрафов станет в том случае, если будут приняты поправки к ст. 13.11 КоАП, повышающие штрафы в десятки раз (законопроект уже успешно миновал первое чтение в Госдуме).

Кроме того, закон «О персональных данных» дает физическим лицам право на возмещение морального и имущественного вреда, а также понесенных убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

В общем, не соблюдать законодательство станет не просто невыгодно, но и по сути опасно.

Юридическая справка:

Для вашего удобства мы с коллегами в Интеркомп подготовили список нормативных актов, регулирующих сферу хранения и обработки персональных данных.

1. Федеральный закон №152-ФЗ «О персональных данных»
2. Федеральный закон №261-ФЗ (вносит существенные изменения, действует с 01.07.2011)
3. Федеральный закон №242-ФЗ (вносит существенные изменения, действует с 01.09.2015)
4. Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»
5. Федеральный закон №294-ФЗ «О защите юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

Кроме того, есть ряд постановлений Правительства РФ и приказов регуляторов, имеющих непосредственное отношение к проведению проверок, еще ряд подзаконных нормативных актов находятся в разработке. Для более детально изучения всех вопросов, связанных с персональными данными, рекомендуем ознакомиться с информацией по следующим ссылкам: