Как рискует компания если не издать положение об обработке перс данных

Обработка персональных данных без согласия субъекта запрещена. Нарушителя этого правила могут привлечь к ответственности — дисциплинарной, административной, гражданской и даже уголовной. Однако есть исключения: в ряде случаев работать с персональными данными можно даже тогда, когда их субъект своего согласия не давал. В статье расскажем о видах ответственности, к которым может быть привлечен нарушитель, а также о том, когда получать согласие на обработку информации не требуется.

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных…» от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Персональные данные без штрафов

Время прохождения около 5 мин.


Пройти тест

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

ВАЖНО! С 1 сентября 2022 года действует норма, по которой продавец товара или услуги не может отказать в обслуживании клиенту, который не желает предоставлять персональные данные (ст. 16 закона от 07.02.1992 № 2300-1 в редакции, применяемой с 01.09.2022). Подробнее о новом правиле, а также об исключениях из него — здесь.

Сторона, получающая личные сведения, обязана:

• заручиться согласием их владельца на обработку и использование;
• обеспечивать конфиденциальность;
• хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

• 6–10 тыс. руб. — на граждан;
• 20–40 тыс. руб. — на должностных лиц;
• 30–150 тыс. руб. — на юридических лиц.

Ознакомиться с актуальными штрафами за нарушения при обработке персональных данных вы можете в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к документу бесплатно.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Грамотно организовать работу с персональными данными работников вам поможет Путеводитель от «КонсультантПлюс». Если у вас еще нет доступа к этой правовой системе, пробный доступ можно получить бесплатно.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

• если лицо является участником судебного разбирательства;
• если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
• для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени), притом что соответствующий договор не должен содержать положений, ограничивающих права и свободы субъекта персональных данных, как и положения, предусматривающие в качестве условия заключения данного договора бездействие субъекта;
• если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
• собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
• лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
• данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
• информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Предприятие в установленном порядке уведомляет Роскомнадзор об обработке персональных данных. Узнайте больше о данной процедуре из тематической публикации.

Итоги

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

В последние несколько лет утечки личной информации участились, и государство хочет пристальнее следить за её обработкой и защитой. Так, вступают в силу новые правила, утверждённые Законом от 14.07.2022 г. № 266-ФЗ. 

До 1 сентября организации и предприниматели должны сообщить Роскомнадзору об обработке персональных данных сотрудников.

Что нового для работодателей

Появляется новая обязанность — уведомлять о сборе и обработке данных, которые нужны для составления и исполнения трудового договора.

Правило распространяется не только на работников, но и на всех физических лиц. Например, когда персданные фиксируют для оформления разового пропуска на территорию предприятия.

Исключение — неавтоматизированная обработка данных. Если данные записывают в бумажный журнал, уведомлять Роскомнадзор не нужно.

Кроме этого работодатели в течение 10 дней должны:

• уведомлять об изменении состава сведений, которые собираете. Например, если начали спрашивать у сотрудников об их семейном положении;
• отвечать на запросы Роскомнадзора и сотрудников о том, собираете ли вы данные, и какие именно;
• сообщать Роскомнадзору о прекращении обработки персональных данных.

Чтобы повысить защиту персональных данных, компании и предприниматели должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК).

После подключения к системе вы считаетесь оператором персональных данных. Если произойдёт утечка данных, то в течение 24 часов нужно направить в ГосСОПК уведомление и назвать возможные причины утечки. В течение 72 часов операторы предоставляют отчёт о причинах и причастных лицах.

Уведомите Роскомнадзор об обработке персональных данных

Проверьте, есть ли организация или ИП в базе данных Роскомнадзора. Если организация уже есть в реестре, повторно отправлять уведомление не нужно.

Если записи нет, подготовьте уведомление по форме, которая утверждена Приказом от 30.05.2017 г. № 94. 

Уведомление подают:

• в электронном виде через сайт Роскомнадзора — подписывают электронной подписью;
• в электронном виде через ЕСИА;
• заказным письмом через Почту России.

Документ подают один раз без указания сотрудников. Поэтому Роскомнадзор не требует уведомлений при найме нового персонала. Но, если меняется состав собираемой информации, ведомству сообщают о новых категориях обрабатываемых данных.

Если меняется сотрудник, который отвечает за обработку персональных данных, в Роскомнадзор отправляют уведомление с ФИО и должностью нового ответственного лица.

Проверьте согласия на обработку персональных данных

Согласие на обработку персональных данных должны дать все сотрудники. В документе указывают цель сбора информации — без противоречивых и размытых формулировок. 

Проверьте текущие согласия, чтобы в них не было пунктов, которые нарушают права сотрудников. Сверьте цель сбора данных со ст. 86 ТК РФ — произвольные формулировки запрещены. Если нашли ошибки, подготовьте и подпишите новые документы.

Если отправляете данные сторонней организации для обработки, хранения и защиты, получите согласие от сотрудников на передачу сведений третьим лицам. Здесь можно указать произвольную цель.

Как накажут за нарушение правил

За обработку данных без уведомления Роскомнадзора штрафуют по ст. 19.7 КоАП РФ:

• 300 ₽ – 500 ₽ — должностных лиц и ИП;
• 3 000 ₽ – 5 000 ₽ — организации.

Скорее всего, в будущем штрафы увеличат. Пока что их оставили минимальными, чтобы дать бизнесу время на адаптацию к новым правилам.

Коротко о главном

1. С 1 сентября 2022 года работодатели уведомляют Роскомнадзор об обработке персональных данных сотрудников.
2. До 1 сентября уведомление сдают организации и ИП, которые уже обрабатывают персданные работников.
3. Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 г. № 94.
4. Работодатели подключаются к ГосСОПК для защиты информации от утечки.
5. За нарушение правил ИП и должностных лиц штрафуют на 300 ₽ – 500 ₽, организации — от 3 000 ₽ до 5 000 ₽.

Статья актуальна на 

29.08.2022

Законодательство в сфере персональных данных действительно строгое, за его нарушение могут оштрафовать на несколько десятков и даже сотен тысяч рублей. Если компании и предприниматели собирают информацию о клиентах, они считаются операторами персональных данных и должны работать с этими данными по определенным правилам.

Одно из правил — разработать и утвердить как минимум четыре документа, которые должны соответствовать закону и зачастую содержать технические сведения. Разработка каждого документа — кропотливая работа, и, скорее всего, обойтись без помощи юристов или специалистов в сфере информационной безопасности не получится.

Расскажу основные правила, о которых нужно знать.

Что такое персональные данные

Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов. При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.

Персональные данные человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.

Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.

Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.

Какие документы нужны для сбора персданных

После того как вы разработаете и утвердите все документы, нужно уведомить контролирующий орган о том, что вы будете собирать и обрабатывать персональные данные. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов.

Можно ли работать с персональными данными и не уведомлять об этом Роскомнадзор

Вы хотите ежедневно обрабатывать персональные данные пользователей интернет-магазина: ФИО, номера телефонов, адреса доставки посылки и технические данные вроде IP-адресов, сведений об используемом браузере и cookies. Вся эта информация относится к конкретному человеку, прямо и косвенно, и позволяет его идентифицировать. Об этом нужно уведомить Роскомнадзор.

Как подать уведомление в Роскомнадзор

Уведомление подает тот, кто отвечает за обработку персональных данных. Его можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.

В уведомлении нужно подробно описать:

1. Кто будет собирать информацию и какую именно: имена, адреса, технические данные, номера телефонов.
2. Для чего и каким образом собираются персональные данные. Например, «для организации деловых поездок» и «с помощью средств автоматизации». Средства автоматизации — это, к примеру, корпоративный компьютер или программы бухучета. В законе это называется средствами вычислительной техники.
3. Где будете хранить персональные данные.
4. Какие меры принимаете, чтобы их обезопасить. Например, вы назначили ответственного за обработку данных, разработали политику и модели угроз безопасности, обучили людей, которые будут работать с персональными данными.

В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.

Что нужно сделать перед отправкой уведомления в Роскомнадзор

После того как вы разработаете документацию, я рекомендую перепроверить несколько вещей перед тем, как уведомлять Роскомнадзор. Ведомство требует максимально актуальную информацию, поэтому лучше перестраховаться.

Просмотрите и обновите списки. Вот они:

1. Список персональных данных, которые вы обрабатываете.
2. Перечень субъектов, с чьими данными вы работаете.
3. Перечень третьих лиц. Третьи лица для оператора — это компании, которым вы поручаете обработку персданных, или компании, с которыми вместе обрабатываете данные для общих целей. Например, фирмы, которые предоставляют вам какие-либо услуги на аутсорсинге. Подавать список третьих лиц в Роскомнадзор не нужно, но при проверке ведомство может про него спросить.

СЗИ должны быть сертифицированы Федеральной службой по техническому и экспортному контролю России. Если Роскомнадзор придет с проверкой, он будет запрашивать сертификат на СЗИ.

Что будет, если не отправить уведомление в Роскомнадзор

Если оператора нет в реестре, Роскомнадзор рано или поздно сам его найдет. Ведомство регулярно просматривает сайты, где собирают персональные данные, выясняет, кому они принадлежат, и отправляет владельцам письма-запросы.

На такое письмо нужно ответить в течение 10 дней: отправить в ведомство уведомление о включении в реестр или обоснованный отказ.