Многие мои клиенты в начале сотрудничества задаются вопросом – а зачем нам вообще выполнять требования ФЗ «О персональных данных», ведь мы – маленькая организация и в штате у нас только один директор?
Действительно, резонный вопрос.
Давайте разбираться.
Во-первых, федеральный закон обязателен для исполнения каждым оператором персональных данных. Коим является и субъект малого предпринимательства, и микропредприятие.
Во-вторых, Роскомнадзор (орган исполнительной власти, контролирующий обработку персональных данных) регулярно проводит плановые проверки юридических лиц на соответствие требованиям законодательства о персональных данных. В план попадают и микропредприятия. В феврале 2017 года Роскомнадзор пришел в гости к организации, в которой в штатном расписании числился только директор, а местом обработки данных была указана его квартира. Проверяющие забрали документы на проверку и попили чай с родителями директора фирмы.
В-третьих, Роскомнадзор проводит и неожиданные для руководства внеплановые проверки организаций. Поводом для внеплановой проверки может послужить, например, мотивированное обращение или жалоба граждан (клиентов, сотрудников) на компанию. Также специалисты Роскомнадзора проводят мероприятия систематического наблюдения за операторами, проще говоря, мониторят сайты операторов на предмет наличия на них политики по персональным данным и формы согласий на обработку данных (если оператор собирает персональные данные через свой сайт). По итогам таких мероприятий Роскомнадзор также может внезапно прийти в гости к организации, предупредив руководителя о проверке лишь за одни сутки.
В-четвёртых, требования о защите персональных данных работников присутствуют в Трудовом кодексе РФ. Этой теме посвящена глава 14 ТК РФ. Инспекция по труду проверяет наличие положений по персональным данным, согласий на обработку персональных данных работников, подтверждение фактов ознакомления работников с внутренними регламентами по персональным данным и другие документы и локальные акты, регламентирующие обработку персональных данных работников. Инспекторы вправе проверить и документацию, касающуюся уволенных работников.
В-пятых, за несоблюдение требований ФЗ «О персональных данных» для юридических лиц и индивидуальных предпринимателей предусмотрены немалые штрафы.
Таким правонарушениям посвящена статья 13.11 КоАП РФ, изменения в которую вступят в силу с 01.07.2017 года и повлекут максимальный штраф в 75 000 р.
За несоблюдение требований Трудового кодекса статьёй 5.27 КоАП РФ предусмотрен максимальный штраф 50 000 р.
В-шестых, просто введите в поисковик фразу «купить базу данных клиентов». Сотни предложений. Хотели бы вы, чтобы вся годами наработанная вами база клиентов ушла в другие руки из-за корысти одного недобросовестного менеджера по продажам? Конечно, для контроля и защиты конфиденциальной информации нужно использовать специальные программы и средства. Но первым шагом является именно организационная защита информации, разработка документов, в которых прописано, с какими именно сведениями конфиденциального характера работает сотрудник, что конкретно с этими сведениями делать нельзя и, собственно, что ему за это будет, т.е. его личная, персональная ответственность за их разглашение.
И, наконец, в-седьмых. Многие наши граждане, особенно молодежь, юридически подкованы, законы почитывают. И многие знают как свои права, так и ваши обязанности. Поэтому в списке конкурентных преимуществ пункт о том, что в вашей организации персональные данные клиентов надежно защищены и не попадут в чужие руки будет выглядеть очень даже привлекательно. Особенно сегодня, когда о постоянных утечках данных и об угрозах информации в сети Интернет не говорит только ленивый.
Если вы не хотите лишней траты денег и времени, которое иногда имеет бОльшую ценность, чем рубли, то закажите разработку пакета документов по персональным данным у профессионала и, как говорится, спите спокойно.
Если же к вам вдруг пришла проверка, то смело обращайтесь, разработка документов по персональным данным для вашей организации не займет много времени.