Юридические статьи

Персональные данные: как избежать ошибок в работе с ними

Люди ежедневно, иногда даже не думая об этом, передают третьим лицам свои персональные данные: при оформлении покупок к интернет-магазинах, устройстве на работу и т. д. Предприятия не могут полноценно работать без информации о клиентах, сотрудниках, контрагентах. Но любая ошибка, связанная с неверным хранением, обработкой, использованием персональных данных, сопряжена со значительными штрафами. У Роскомнадзора есть и иные способы воздействия на нарушителей.

В чем важность персональных данных

Сбор персональных данных является неотъемлемой частью бизнес-процессов. Компаниям приходится нанимать персонал и брать у них копии документов. Покупатель при оформлении заявки на товар указывает не только ФИО, но и адрес, номер телефона. Все сайты работают с файлами cookie. Это позволяет формировать индивидуальные предложения в рамках рекламной рассылки, скидочных и бонусных акций.

Персональные данные относятся к конкретному человеку. Иные физические и юридические лица либо вообще не имеют к ним доступа, либо могут обрабатывать информацию при соблюдении множества ограничений. Юристы отмечают, что любой компании уже с первых дней работы следует соблюдать требования закона о защите персональных данных. Если это не делать, рано или поздно можно получить претензии от Роскомнадзора.

Ошибки в вопросах обработки персональных данных могут привести и к краху компании, потере репутации. Мало кто захочет иметь партнера, халатно относящегося к вверенной ему информации. Особенно это актуально для консалтинговых фирм. В России дела, связанные с утечками, незаконным сбором и обработкой информации о клиентах, работниках, посторонних лицах, еще не становятся причиной обсуждений в прессе и судебных разбирательств. В большинстве же западных стран одной ошибки достаточно для потери репутации и ухода с рынка.

В России делаются только первые шаги в данном направлении. Например, операторы площадок по проведению электронных торгов все чаще требуют подтвердить, что участник является оператором по обработке персональных данных и отправил соответствующее уведомление в Роскомнадзор.

Законодательство и персональные данные: что нужно знать

Работодателям, иным компаниям, обрабатывающим персональные данные, следует внимательно изучить следующие нормативные акты:

  1. Федеральный закон № 152-ФЗ «О персональных данных».
  2. Федеральный закон № 149-ФЗ от 27.07.2006 года «Об информации, информационных технологиях и защите информации».
  3. Постановление Правительства № 1119 от 01.11.2012 года.
  4. Приказ ФСТЭК № 21 от 18.02.2013 года.

Федеральный закон № 152-ФЗ регламентирует все процессы, связанные с персональными данными. Речь идет о сборе информации, ее последующей обработке, хранении и защите.

Например, нельзя собирать персональные данные, если субъект не выразил на это свое согласие. Исключение сделано только для отдельных ситуаций. Например, работодатель, принимая сотрудника в штат, обязан получить у него сведения, предусмотренные ТК РФ.

Обработка данных не может выходить за рамки заявленной цели. Если магазин просит заполнить анкету для рассылки, он не может запрашивать иные данные помимо номера телефона, e-mail, ФИО. Серия и номер паспорта в такой ситуации точно не нужны.

В законе № 149-ФЗ сказано, что данные нельзя хранить бесконечно. Если поставленная задача решена, информация подлежит удалению. Альтернатива — обезличивание. А в соответствии с ПП № 1119 от 01.11.2012 года любая компания обязана определить возможные риски для персональных данных и принять меры для их минимизации и защиты информации с учетом положений приказа ФСТЭК.

Важный момент! Оценивать риски необходимо не разово, а на регулярной основе. Что будет, если не соблюдать законодательство о персональных данных

Чаще всего операторов персональных данных наказывают в соответствии со ст. 13.11 КоАП РФ. Проверяющие имеют право составить постановление о штрафе в следующих ситуациях:

  • не соблюдается порядок обработки информации. Например, компания собирает данные, не имея на это законного права. Либо объем данных не соответствует заявленной цели. Либо субъект не дал своего согласия на сбор и обработку сведений;
  • компания не оповещает субъектов о своей политике в сфере обработки персональных данных. Информация отсутствует в открытом доступе, ее нельзя или сложно получить даже, отправив специальный запрос. Либо оператор персональных данных не выполняет требования, касающиеся уточнения информации, ее блокировки или удаления;
  • компания не выполняет требования технического характера, относящиеся к обработке персональных данных;
  • компания отказывается от взаимодействия с контролирующими инстанциями либо нарушает установленные регламенты.

В 2021 году в КоАП внесены значительные изменения, в том числе в части ужесточения наказаний за несоблюдение ФЗ-152. При первом нарушении штраф назначают из диапазона 30-150 тысяч рублей. Во второй раз компанию оштрафуют уже на 500 тысяч максимум.

Наказание предусмотрено и для тех, кто использует данные потенциальных клиентов для реализации своих товаров и услуг, не заручившись предварительно согласием конкретных граждан. Размер штрафа в этом случае составляет 100-500 тысяч рублей.

Если компания, не имея на то законных оснований, собирает и обрабатывает информацию персонального характера, ее накажут на 100-300 тысяч. Но в данном случае факт обработки сведений в отношении каждого конкретного гражданина можно считать отдельным нарушением. Если, например, субъектов десять, столько же будет постановлений о наказании.

Самые серьезные штрафы предусмотрены для тех, кто хранит персональные данные на зарубежных серверах. Если факт установят впервые, компанию оштрафуют на 1 млн. рублей. Данные и после этого не локализовали в России? Нарушителя накажут на 18 млн. рублей.

Но в российском законодательстве предусмотрены не только штрафы. Создан «Реестр нарушителей прав субъектов персональных данных». За его ведение отвечает Роскомнадзор. Для внесения сайта в Реестр нужна санкция суда. Следующие меры наказания — блокировка и запрет на работу в России. Например, с 2016 года российские пользователи не имеют доступа к соцсети LinkedIn. Ее заблокировали именно за то, что данные россиян хранили на серверах за пределами страны.

Если субъект решит, что кто-то неправомерно собирает его персональные данные, он имеет право обратиться в суд с гражданским иском для взыскания компенсации за нанесенный моральный и материальный ущерб.

В России нельзя привлечь к уголовной ответственности за несоблюдение законодательства в вопросах обращения с персональными данными. Но в отдельных ситуациях, например, при массовых утечках данных в интернет, возможно возбуждение уголовного дела по ст. 137 УК РФ. И такие прецеденты, как говорят юристы, уже есть.

Работодатели достаточно часто не соблюдают законодательные нормы в части сбора и хранения персональных данных. Для юрлица ответственность в подобных ситуациях может быть материальной. Основание — ст. 90 ТК РФ и 232 ТК РФ. Первая статья регламентирует вопросы ответственности за несоблюдение положений ФЗ-152. Вторая говорит о том, что сторона по трудовому договору обязана компенсировать пострадавшему лицу ущерб, если он стал следствием каких-либо действий, в том числе работодателя. Если к нарушениям привели поступки кого-либо из работников компании, для него ответственность может быть дисциплинарной.

Что нужно знать о проверках со стороны Роскомнадзора

В России меняются подходы к проверкам в части соблюдения Федерального закона «О защите персональных данных». В КоАП увеличены суммы штрафов. И намечается тенденция назначения наказаний не по нижнему, а по верхнему порогу.

В соответствии с политикой Роскомнадзора все компании разделены на группы в соответствии с уровнем возможных рисков. Чем выше присвоенный риск, тем выше вероятность проверки. Эксперты отмечают, что общее количество проверок сокращается, но наказания по их итогам ужесточаются. Роскомнадзор практически отказался от предупреждений. Нарушителей сразу штрафуют.

График плановых проверок со стороны ведомства составляется заранее. Его надлежит согласовать с Генпрокуратурой. Но РНК практикует и внеплановые проверки. Если несколько граждан пожалуются на нарушение их прав при сборе и обработке данных, деятельность компании обязательно проверят.

Какие ошибки допускают чаще всего

Компании, собирающие персональные данные граждан, обязаны взять у них согласие на эту процедуру. При этом заполняется специальная форма. Ее содержание, перечень обязательных реквизитов приведены в п. 4 ст. 9 Федерального закона № 152-ФЗ. Обязательные моменты:

  • паспортные данные субъекта;
  • цель, с которой компания собирает те или иные данные;
  • какие данные надлежит собирать и т. д.

Многие юрлица не считают нужным выполнять этот пункт закона. Но Роскомнадзор не оставляет без внимания подобные действия.

Другая популярная ошибка связана с необходимостью уведомлять РНК о том, что компания будет собирать и обрабатывать персональные данные. Этот документ многие заполняют неправильно.

Еще одна проблема сопряжена с тем, что компании вообще не считают, что собирают и тем более обрабатывают персональные данные. Юридические лица в целом законопослушны, своевременно и в полном объеме платят налоги, но считают, что действие закона № 152-ФЗ на них не распространяется. Соответственно, такие организации вообще не берут у граждан согласие на сбор и обработку персональной информации.

Нельзя забывать и о том, что политику обработки данных недостаточно разработать. Ее нужно разместить так, чтобы любой желающий мог получить к ней доступ для ознакомления. В противном случае компанию могут оштрафовать на значительную сумму.

Эксперты выделяют еще несколько распространенных ошибок в вопросах обработки данных, например:

  • собираемая информация явно избыточна, если брать во внимание решаемую задачу;
  • компания не имеет оснований для сбора данных;
  • заявленные цели достигнуты, но компания продолжает собирать и/или хранить данные;
  • юридические лица передают данные третьим лицам, не получив предварительно согласие субъекта. Последний часто не имеет возможности запретить такую передачу.

Как работать без ошибок: несколько практических советов

Любой компании важно понимать, что термин «персональные данные» относится не только в ФИО, серии и номеру паспорта. Значит, компании уже при открытии важно понять, какие данные ей предстоит собирать, с какой целью. Это позволит избежать ошибок при составлении согласия на сбор и обработку данных. Непосредственно же политику компании обязательно размещают в открытом доступе.

Чтобы избежать претензий со стороны Роскомнадзора, эксперты рекомендуют работать в соответствии со следующими принципами:

  • согласие на обработку запрашивают не только у постоянных работников, но и у тех, кто только планирует устроиться на работу;
  • компания в обязательном порядке разрабатывает политику обработки персональных данных и размещает ее так, чтобы ее могли прочитать все;
  • все имеющиеся в компании документы проверяются на соответствие требованиям закона № 152-ФЗ;
  • к работе с персональными данными допускаются только специально выделенные сотрудники. Каждый из них получает доступ только к той информации, которая нужна ему для выполнения своих должностных обязанностей.

Еще одно обязательное условие беспроблемной работы — постоянный мониторинг изменений в законодательстве. Важно своевременно узнавать, какие документы, отчеты, извещения и кому надлежит подавать.

Регулярные массовые утечки данных привели к тому, что в Федеральный закон № 152-ФЗ ввели статью 10.1. Она регулирует ситуации, когда доступ к данным имеет неограниченное количество пользователей. В этой же статье регламентируются проблемы, связанные с возможным использованием таких данных.

Закон предписывает, что распространитель данных должен заранее получить у субъекта необходимое разрешение. Одновременно гражданин должен иметь возможность полностью или частично запретить использовать такие данные. Тем, кто выкладывает данные в открытый доступ, юристы рекомендуют не делать это без согласия субъекта. Тем, же кому нужны данные граждан, проявлять достаточную осторожность при обращении к открытым источникам.

Обрабатывать данные самостоятельно или обращаться к специалистам

Предприятия малого и среднего бизнеса с небольшим штатом и потоками информации вполне могут самостоятельно обрабатывать персональные данные, учитывая требования законодательства. Если же компания имеет многочисленные филиалы, данные сотрудников, партнеров, контрагентов пересылаются через границу, помощь специалистов в вопросах обработки персональных данных может оказаться незаменимой. Это относится к банкам, интернет-магазинам, работающим в нескольких странах, платежным сервисам и т. д.

Концерны и крупные корпорации все чаще приглашают на работу специалистов узкого профиля, так называемых DPO или менеджеров по защите персональных данных. Но и в этом случае не следует пренебрегать советами, рекомендациями профессионалов, например, если компания только начинает свою работу, если предстоит разработать или скорректировать комплекс документов, предусмотренных законодательством. Но многое зависит от планов и целей руководства бизнеса.

Внешний консультант может провести аудит процессов, связанных с обработкой персональных данных, выявить ошибки в политике и иных документах, дать рекомендации по их устранению.

Важно помнить, что законодательство регламентирует и вопросы технического характера, например, требования к программному обеспечению, размещению серверов и т. д. И решать подобные проблемы должны именно специалисты соответствующего профиля.

все статьи
Персональные данные: как избежать ошибок в работе с ними
Персональные данные: как избежать ошибок в работе с ними
Комментарии

Пожалуйста, авторизуйтесь, чтобы оставлять комментарии.