Защита персональных данных - Успенская

22.06.2017, 01:24

А зачем вообще выполнять ФЗ «О персональных данных»?

Многие мои клиенты в начале сотрудничества задаются вопросом – а зачем нам вообще выполнять требования ФЗ «О персональных данных», ведь мы – маленькая организация и в штате у нас только один директор?

Действительно, резонный вопрос.

Давайте разбираться.

Во-первых, федеральный закон обязателен для исполнения каждым оператором персональных данных. Коим является и субъект малого предпринимательства, и микропредприятие.

Во-вторых, Роскомнадзор (орган исполнительной власти, контролирующий обработку персональных данных) регулярно проводит плановые проверки юридических лиц на соответствие требованиям законодательства о персональных данных. В план попадают и микропредприятия. В феврале 2017 года Роскомнадзор пришел в гости к организации, в которой в штатном расписании числился только директор, а местом обработки данных была указана его квартира. Проверяющие забрали документы на проверку и попили чай с родителями директора фирмы.

В-третьих, Роскомнадзор проводит и неожиданные для руководства внеплановые проверки организаций. Поводом для внеплановой проверки может послужить, например, мотивированное обращение или жалоба граждан (клиентов, сотрудников) на компанию. Также специалисты Роскомнадзора проводят мероприятия систематического наблюдения за операторами, проще говоря, мониторят сайты операторов на предмет наличия на них политики по персональным данным и формы согласий на обработку данных (если оператор собирает персональные данные через свой сайт). По итогам таких мероприятий Роскомнадзор также может внезапно прийти в гости к организации, предупредив руководителя о проверке лишь за одни сутки.

В-четвёртых, требования о защите персональных данных работников присутствуют в Трудовом кодексе РФ. Этой теме посвящена глава 14 ТК РФ. Инспекция по труду проверяет наличие положений по персональным данным, согласий на обработку персональных данных работников, подтверждение фактов ознакомления работников с внутренними регламентами по персональным данным и другие документы и локальные акты, регламентирующие обработку персональных данных работников. Инспекторы вправе проверить и документацию, касающуюся уволенных работников.

В-пятых, за несоблюдение требований ФЗ «О персональных данных» для юридических лиц и индивидуальных предпринимателей предусмотрены немалые штрафы.

Таким правонарушениям посвящена статья 13.11 КоАП РФ, изменения в которую вступят в силу с 01.07.2017 года и повлекут максимальный штраф в 75 000 р.

За несоблюдение требований Трудового кодекса статьёй 5.27 КоАП РФ предусмотрен максимальный штраф 50 000 р.

В-шестых, просто введите в поисковик фразу «купить базу данных клиентов». Сотни предложений. Хотели бы вы, чтобы вся годами наработанная вами база клиентов ушла в другие руки из-за корысти одного недобросовестного менеджера по продажам? Конечно, для контроля и защиты конфиденциальной информации нужно использовать специальные программы и средства. Но первым шагом является именно организационная защита информации, разработка документов, в которых прописано, с какими именно сведениями конфиденциального характера работает сотрудник, что конкретно с этими сведениями делать нельзя и, собственно, что ему за это будет, т.е. его личная, персональная ответственность за их разглашение.

И, наконец, в-седьмых. Многие наши граждане, особенно молодежь, юридически подкованы, законы почитывают. И многие знают как свои права, так и ваши обязанности. Поэтому в списке конкурентных преимуществ пункт о том, что в вашей организации персональные данные клиентов надежно защищены и не попадут в чужие руки будет выглядеть очень даже привлекательно. Особенно сегодня, когда о постоянных утечках данных и об угрозах информации в сети Интернет не говорит только ленивый.

Если вы не хотите лишней траты денег и времени, которое иногда имеет бОльшую ценность, чем рубли, то закажите разработку пакета документов по персональным данным у профессионала и, как говорится, спите спокойно.

Если же к вам вдруг пришла проверка, то смело обращайтесь, разработка документов по персональным данным для вашей организации не займет много времени.

0 комментариев

персональные данные,

штрафы,

ФЗ 152

01.03.2017, 10:15

Здравствуй, весна! Здравствуйте, штрафы!

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 N 13-ФЗ

"О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".

Закон меняет ст.13.11 и устанавливает 7 конкретных нарушений, за которые будет предусмотрена административная ответственность:

Часть статьи	Административное правонарушение	Подробнее о правонарушении	Штраф (для юр. лиц)
1	Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.	Обработка персональных данных человека допускается на основании: - его согласия; - Налогового и Трудового Кодексов и других законодательных актов; - договора, стороной которого он является; - других случаев, перечисленных в ч.1 ст.6 ФЗ №152 «О персональных данных» (далее – ФЗ №152). Персональные данные должны использоваться только для достижения конкретных целей, поставленных перед их сбором. Примеры нарушений: - оператор производит сбор персональных данных на сайте, не предусмотрев наличия галочки о согласии на их обработку; - оператор производит сбор персональных данных для регистрации на сайте, а использует для рассылки рекламы.	30 - 50 т.р.
2	Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.	Существует 5 случаев, в которых необходимо брать письменное согласие на обработку персональных данных: 1) создание общедоступных источников персональных данных, например, адресных книг, справочников и т.п. (ст.8 ФЗ №152); 2) обработка специальных категорий персональных данных, к которым относятся данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья и интимной жизни (ст.10 ФЗ №152); 3) обработка биометрических персональных данных (ст.11 ФЗ №152); 4) передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (ст.12 ФЗ №152). Это страны, не ратифицировавшие Конвенцию о защите физических лиц при автоматизированной обработке персональных данных и не входящие в перечень, утвержденный приказом Роскомнадзора от 15.03.2013 №274; 5) передача персональных данных работников третьим лицам, не предусмотренная ТК РФ или другими ФЗ (ст. 88 ТК РФ). Требования к составу письменного согласия указаны в ч.4 ст.9 ФЗ №152. Примеры нарушений: - обработка сведений о состоянии здоровья клиентов частного медицинского центра без их письменного согласия на обработку; - письменное согласие не содержит перечня персональных данных, на обработку которых человек даёт своё согласие.	15 - 75 т.р.
3	Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.	Оператор должен вывесить Политику в отношении обработки персональных данных на видном общедоступном месте (например, на доске информации) согласно ч.2 ст.18.1 ФЗ №152. Если персональные данные собираются через форму на сайте, то на этом сайте также должна быть опубликована Политика. Примеры нарушений: - доступ к вывешенной Политике ограничен (клиент не может свободно пройти и ознакомиться с ней); - на сайте форма для сбора персональных данных есть, а Политики нет.	15 - 30 т.р.
4	Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.	Любой человек может запросить у оператора информацию об обрабатываемых им персональных данных согласно ч.7 ст.14 ФЗ №152. Невыполнение этого требования (непредоставление информации или предоставление неполной или ложной информации) является нарушением.	20 - 40 т.р.
5	Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.	Если персональные данные человека изменились (изменился номер телефона, адрес, фамилия и т.д.), то он имеет право требовать, чтобы оператор (например, банк) и у себя внёс соответствующие изменения в данные. Также можно требовать уничтожения персональных данных в случае, если они были получены незаконно или цель их обработки достигнута (при отсутствии у оператора законных оснований продолжать обработку). Пример нарушения (из жизни): вам звонят из недавно открывшегося театра и приглашают посетить ближайший спектакль. На вопрос «откуда вы знаете моё имя и номер телефона?» ответ такой: «ваша мама/тётя/бабушка недавно у нас была и в анкете указала ваши данные как человека, кому бы она порекомендовала к нам сходить». Вы точно знаете, что ваша родственница в таком месте не была. На лицо пример незаконного получения персональных данных. Если по запросу оператор не удалит их из своей базы, то это будет являться нарушением.	25 - 45 т.р.
6	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных.	При хранении материальных носителей персональных данных (документов, договоров, карточек в картотеке и пр.) оператор должен самостоятельно установить следующие меры: - меры, необходимые для обеспечения сохранности персональных данных; - меры, исключающие несанкционированный доступ к персональным данным. Об этом сказано в п.15 Постановления Правительства от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Примером нарушения будет невыполнение правил, определенных самим оператором в своих локальных актах, повлекшее указанные негативные последствия. А вот наказание за несоблюдение остальных пунктов Постановления Правительства (кроме п.14) под вопросом, т.к. в них уже говорится совсем не о хранении материальных носителей персональных данных.	25 - 50 т.р.
7	Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.	Для государственных и муниципальных органов подпунктом з) пункта 1 Постановления Правительства РФ от 21.03.2012 №211 установлена обязанность по обезличиванию персональных данных. Приказом Роскомнадзора от 05.09.2013 №996 установлены требования и методы по обезличиванию персональных данных (а также в помощь операторам госам и муниципалам выпущены методические рекомендации по обезличиванию, утвержденные Роскомнадзором 13.12.2013 г.). Примеры нарушений: - несоблюдение правил обезличивания (например, после обезличивания часть данных теряется, т.е. не соблюдается требование сохранения полноты обезличенных данных).	3-6 т.р. только для должностных лиц

Также закон меняет название самой статьи в КОАП – раньше она называлась «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», теперь – «Нарушение законодательства Российской Федерации в области персональных данных». О чем это говорит? О том, что теперь Роскомнадзор с полным правом может проверять выполнение требований не только ФЗ №152 «О персональных данных», но и Трудового кодекса (а именно главы 14, описывающей правила обработки персональных данных работников).

Нововведения вступают в силу уже с 1 июля 2017 года. Но заняться приведением обработки ПДн в соответствие с законом нужно уже сейчас.

Проверки Роскомнадзора,

Трансграничная передача ПДн,

оператор персональных данных