(1).jpg)
Защита персональных данных: подробный гайд для руководителей компаний
.jpg)
Cтарший юрист направления защиты персональных данных юридической компании "KELIN"
специально для ГАРАНТ.РУ
Персональные данные – одна из наиболее актуальных тем в свете последних законодательных изменений. С 2023 года мы можем наблюдать тенденцию на ужесточение ответственности за нарушение правил обработки персональных данных. Совсем скоро вступят в силу очередные поправки в КоАП, которые не только значительно увеличат базовые штрафы в данной сфере, но также введут новые составы правонарушений. О том, как бизнесу грамотно выстроить работу и избежать санкций, расскажем ниже.
Кто является оператором персональных данных
Оператор ПДн – это лицо, которое самостоятельно или совместно с кем-то организует и (или) занимается обработкой персональных данных, определяет цели обработки, состав персональных данных, а также действия, совершаемые с этими сведениями. Если упростить это понятие, то практически любое лицо, которое тем или иным образом использует данные граждан, подпадает под определение оператора.
Важно понимать, что персональные данные – не равно информация, точно идентифицирующая конкретного человека. Под персональными данными понимаются сведения, которые прямо или косвенно относятся к конкретному лицу. Фактически, ПДн – это любая информация, которую можно ассоциировать с конкретным человеком. Поэтому в работе с персональными данными при трактовке их определения целесообразно придерживаться максимально широкого подхода. Если в вашей компании есть хотя бы один работник, или один контрагент, или один электронный документ, содержащий данные физлиц, то компания априори является оператором персональных данных. Это касается не только юридических лиц: индивидуальные предприниматели также могут являться операторами.
Вывод: если компания или ИП занимается обработкой ПДн хотя бы одного гражданина (неважно, контрагента, работника, посетителя сайта и т. д.), то такая компания или ИП является оператором ПДн со всеми вытекающими последствиями и обязанностями.
 |
| © abscent / Фотобанк 123RF.com |
Пошаговая инструкция для работы с персональными данными
Направьте уведомление в Роскомнадзор
Каждый оператор обязан предупредить Роскомнадзор о начале обработки персональных данных (ч. 1 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", далее – Закон о персональных данных). Из этого правила есть некоторые исключения, например, не нужно уведомлять ведомство, если:
- персональные данные обрабатываются исключительно в бумажном виде;
- ПДн включены в государственные информсистемы, созданные для защиты безопасности государства и общественного порядка;
- данные используются в соответствии с законодательством о транспортной безопасности.
Как правило, 99% всех операторов под эти исключения не подпадают, поэтому они обязаны направить уведомление.
Ответственность
До 30 мая 2025 года максимальный штраф за ненаправление уведомления составляет 5 тыс. руб. по ст. 19.7 КоАП РФ. В отсутствие развитой практики привлечения к ответственности на фоне относительно невысокого штрафа многие компании игнорировали обязанность по включению в реестр операторов. Теперь ситуация кардинально поменяется: максимальный штраф для организаций и ИП за неуведомление Роскомнадзора составит 300 тыс. руб. Для должностных лиц штраф будет варьироваться от 30 тыс. руб. до 50 тыс. руб.
Порядок информирования ведомства
Содержание уведомления установлено Приказом от 28 октября 2022 г. № 180. Направить его можно одним из трех способов:
- в бумажном виде (однако опять же форму необходимо заполнить на сайте, распечатать и отнести в Роскомнадзор);
- в электронном виде с помощью УКЭП: форма заполняется на сайте, подписывается электронной подписью и направляется напрямую в ведомство;
- в электронном виде при условии авторизации на портале госуслуг.
После направления уведомления в течение 30 дней компания будет включена в реестр операторов.
Как проверить наличие компании в реестре?
Об этом можно узнать на сайте ведомства. Для этого потребуется указать в поисковой строке ИНН или название фирмы. Если компании нет в реестре, то необходимо направить уведомление. Когда запись в реестре есть, рекомендуем проверить актуальность сведений.
ВАЖНО
Если уведомление подано ранее 26 декабря 2022 года, то его однозначно необходимо обновить. Дело в том, что с этой даты поменялась форма. Теперь для каждой цели обработки ПДн должны быть прописаны:
- категории ПДн;
- правовое основание обработки ПДн;
- категории субъектов, чьи данные обрабатываются;
- перечень действий с ПДн;
- способы обработки персональных данных.
В целом следует помнить, что в случае изменения сведений, указанных в направленном ранее уведомлении (например, изменился перечень центров обработки ПДн, либо ответственное лицо, либо перечень целей и т. д.), необходимо сообщить об этом в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем таких изменений.
При трансграничной передаче ПДн (т. е. передаче сведений иностранному лицу) необходимо направить отдельное уведомление. Стандартного будет недостаточно.
Назначьте ответственного за организацию обработки ПДн
Это одна из обязанностей оператора ПДн в силу ст. 22.1 Закона о персональных данных. Как правило, данное лицо назначается приказом руководителя. Информация о нем передается в Роскомнадзор вместе с уведомлением. Ответственный за организацию обработки ПДн, в частности, обязан:
- контролировать соблюдение в компании законодательства о ПДн. Так, указанный специалист проводит оценку вреда, который может быть причинен субъектам ПДн, а также соотносит вред с мерами, которые предпринимает оператор;
- вести просветительскую работу и доводить до сведения работников законодательные требования при работе с ПДн;
- организовывать прием и обработку обращений и запросов граждан.
Также имеет смысл сразу определить круг работников, которые будут иметь доступ к ПДн. С них следует взять обязательство о неразглашении.
Подготовьте необходимый пакет документов
Закон не устанавливает конкретного перечня актов, обязательных для оператора ПДн. Поэтому кратко обозначим документы, которые, как правило, необходимы для организации работы с ПДн.
- Политика в отношении обработки персональных данных. Доступ к этому документу должен быть открытым, чтобы любое заинтересованное лицо имело возможность с ним ознакомиться. Как правило, политику публикуют на сайте компании.
- Положение об обработке и защите персональных данных. От политики положение отличается своим характером и содержанием. Если политика – это открытый документ, доступный любому лицу, не имеющий строгих требований к содержанию, порядку принятия и ознакомления, то с положением ситуация совсем иная. Положение об обработке и защите ПДн – это локальный акт, общие требования к содержанию которого установлены в п. 2 ч. 1 ст. 18.1 Закона о персональных данных. Положение утверждается приказом руководителя, работники должны быть ознакомлены с ним под подпись. При этом закон не говорит о том, что положение и политика – это исключительно два отдельных документа. Компания вправе объединить их в один, однако на практике, как правило, их разделяют.
- Типовые формы согласий на обработку ПДн. Важно понимать, что универсальной формы согласия на все случаи жизни не существует. Для каждой ситуации будет своя цель обработки, свой перечень ПДн, свой состав субъектов, соответственно, свое согласие.
- Приказы о выполнении мероприятий по организации обработки и обеспечению безопасности ПДн. Как правило, это приказы, утверждающие:
- перечень информационных систем ПДн;
- акт классификации информационных систем ПДн;
- перечень лиц, допущенных к обработке ПДн;
- лицо, ответственное за организацию обработки ПДн;
- места хранения ПДн и список лиц, ответственных за данные места хранения, и т. д.
Минимизация перечня персональных данных
При работе с ПДн необходимо соблюдать одно важное правило: содержание и объем данных, которые вы обрабатываете, должны соответствовать цели обработки. Например:
- при приеме разнорабочего работодателю, скорее всего, не нужна информация о месте работы его родственников и семейном положении;
- в случае оформления дисконтной карты магазину едва ли пригодятся паспортные данные покупателя;
- для записи на бесплатный вебинар организатору не нужны реквизиты банковской карты интернет-пользователя и его паспортные данные.
Чем меньше персональных данных собираете, тем меньше риск их утечки. Поэтому обрабатывайте только те данные, которые вам действительно необходимы.
Получите согласия на обработку ПДн
В целом согласие – это основное легитимирующее основание обработки ПДн, но не единственное. Закон предусматривает ряд ситуаций, когда согласие не требуется. Все они перечислены в ст. 6 Закона о персональных данных. Здесь обозначим основные:
- если обработка необходима для заключения или исполнения договора между субъектом и оператором (например, для продажи товара в магазине продавцу не нужно запрашивать у покупателя согласие на обработку ПДн);
- если обработка происходит при исполнении обязанностей, предусмотренных законом (например, для передачи сведений о работнике в СФР работодателю не нужно запрашивать согласие работника на такую передачу);
- если обработка необходима для обеспечения публичных интересов или государственной функции (например, суд не будет спрашивать согласия у участников процесса на публикацию информации о движении дела на сайте суда);
- если обработка необходима для обеспечения жизненно важных интересов граждан;
- если у оператора есть законный интерес на такую обработку.
Если ваша обработка не подпадает ни под одно ограничение, то необходимо получить согласие на обработку ПДн.
Важно понимать, что работа с персональными данными при отсутствии письменного согласия, когда такое требуется в силу закона, может повлечь штраф в размере до 700 тыс. руб. для компаний и до 300 тыс. руб. для должностных лиц (ч. 2 ст. 13.11 КоАП РФ).
Организуйте безопасное хранение данных
Согласно ст. 87 Трудового кодекса порядок хранения персональных данных работодатель устанавливает самостоятельно. Тут главное условие – организовать процесс таким образом, чтобы сведения были защищены от незаконного использования. Большинство организаций использует электронные системы хранения и обработки данных. В связи с этим работодатель должен обеспечить их защиту в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных. Конкретные организационные и технические меры предусмотрены в Приказе ФСТЭК от 18 февраля 2013 г. № 21.
Своевременное информирование об утечках ПДн
В случае выявления утечки персональных данных (т. е. их неправомерной или случайной передачи) у вас есть:
- всего 24 часа на то, чтобы уведомить Роскомнадзор об утечке, ее возможных причинах, предполагаемом вреде, последствиях и о контактном лице для ведомства;
- всего 72 часа на то, чтобы сообщить ведомству результаты внутреннего расследования утечки.
Важно учитывать, что речь идет не о рабочих часах, а об обычных 60 минутах. Невыполнение или несвоевременное исполнение данной обязанности с 30 мая обойдется должностным лицам штрафом от 400 тыс. до 800 тыс. руб., организациям и ИП – от 1 млн до 3 млн руб.
При этом за саму утечку ответственность будет следующая.
| Нарушение | Ответственность с 30 мая 2025 года | Норма | |
| Действия или бездействие оператора, повлекшие утечку: | |||
| от 1 тыс. до 10 тыс. субъектов персональных данных и (или) от 10 тыс. до 100 тыс. идентификаторов | для должностных лиц – от 200 тыс. до 400 тыс. руб.; для ИП и компаний – от 3 млн до 5 млн руб. | ч. 12 ст. 13.11 КоАП РФ | |
| от 10 тыс. до 100 тыс. субъектов персональных данных и (или) от 100 тыс. до 1 млн идентификаторов | для должностных лиц – от 300 тыс. до 500 тыс. руб.; для ИП и компаний – от 5 млн до 10 млн руб. | ч. 13 ст. 13.11 КоАП РФ | |
| более 100 тыс. субъектов персональных данных и (или) более 1 млн идентификаторов | для должностных лиц – от 400 тыс. до 600 тыс. руб.; для ИП и компаний – от 10 млн до 15 млн руб. | ч. 14 ст. 13.11 КоАП РФ | |
| Повторное правонарушение |
| для должностных лиц – от 800 тыс. до 1,2 млн руб.; для ИП и компаний – от 1 до 3% совокупного размера суммы выручки за предшествующий календарный год либо часть года или размера собственных средств кредитной организации на дату правонарушения, но не менее 20 млн руб. и не более 500 млн руб. | ч. 15 ст. 13.11 КоАП РФ |
| Неправомерное распространение персональных данных спецкатегорий | для должностных лиц – от 1 млн до 1,3 млн руб.; для ИП и компаний – от 10 млн до 15 млн руб. | ч. 16 ст. 13.11 КоАП РФ | |
| Утечка информации с биометрическими персональными данными | для должностных лиц – от 1,3 млн до 1,5 млн руб.; для ИП и компаний – от 15 млн до 20 млн руб. | ч. 17 ст. 13.11 КоАП РФ | |
| Повторное правонарушение, предусмотренное ч. 16-17 ст. 13.11 КоАП РФ | для должностных лиц – от 1,5 млн до 2 млн руб. для ИП и компаний – от 1 до 3% совокупного размера суммы выручки за предшествующий календарный год либо часть года или размера собственных средств кредитной организации, но не менее 25 млн руб. и не более 500 млн руб. | ч. 18 ст. 13.11 КоАП РФ | |
Персональные данные – это не разовый проект, а постоянный процесс. Законодательство о персональных данных постоянно меняется и совершенствуется. Например, локальные акты, которые были актуальны в 2022 году, на сегодняшний день однозначно потребуют обновления. Каждый год законодатель вводит новые требования и новую ответственность за те или иные нарушения. Поэтому держать руку на пульсе крайне важно. Построение комплексной системы управления обработкой и защитой ПДн в компании – процесс, к которому надо подходить на ежедневной основе вне зависимости от масштаба вашего бизнеса.
