ПД - Это любая информация, относящаяся к физическому лицу (субъекту персональных данных).
ФИО, дата рождения, адрес электронной почты и номер телефона – все это и многое другое, относящееся к конкретному человеку - персональные данные.
Словосочетание «Студент Иван» не является персональными данными, а вот Иван +7-900-000-00-00 уже вполне под определение персональных данных подходит.
Кто такой оператор персональных данных?
Это государственный орган, физическое или юридическое лицо, осуществляющее обработку персональных данных.
Интернет-магазин (точнее лицо, которому он принадлежит), сервис «Мои документы», любой сайт, на котором есть форма обратной связи или заявки, банк, салон красоты являются операторами персональных данных.
Что такое обработка персональных данных?
Это любое действие или совокупность действий, совершаемых с персональными данными (сбор, запись, систематизация, накопление, хранение, передача, удаление).
Форма обратной связи на сайте, регистрация в личном кабинете, внесение информации о позвонившем клиенте в CRM – все это является обработкой персональных данных.
По закону, оператор обязан уведомить Роскомнадзор до начала обработки персональных данных о своем намерении обработку этих данных осуществлять.
В каких случаях можно обрабатывать данные без уведомления?
Случаи, при которых можно не уведомлять Роскомнадзор, содержатся в ст. 22 ФЗ «О персональных данных»:
- ПД обрабатываются во исполнение требований трудового законодательства (например, заключение трудового договора с сотрудником);
- ПД обрабатываются в целях исполнения договора с субъектом ПД;
- Общественная или религиозная организация обрабатывает ПД своих членов;
- Cубъект ПД сделал их общедоступными;
- ПД включают в себя только фамилии, имена и отчества субъектов;
- ПД используются для одноразового пропуска на территорию оператора;
- ПД обрабатываются без использования средств автоматизации;
- ПД обрабатываются в целях обеспечения транспортной безопасности;
- ПД включены в информационные системы ПД государственных автоматизированных информационных систем.
Что делать?
Во-первых, иметь минимальный пакет документов как на сайте, так и в организации.
Во-вторых, если ваша организация не попадает под исключения, указанные в ст. 22 закона о персональных данных, уведомить Роскомнадзор. Вокруг этого требования идут постоянные споры, что уведомление приведет к привлечению внимания со стороны контролирующего органа и лучше его не уведомлять.
Конечно, каждому владельцу бизнеса решать самому, уведомлять или нет, но желание этого не делать является вполне логичным.
Какие документы должны быть в организации?
Минимальный набор:
- Политика в отношении обработки персональных данных
- Приказ об утверждении ответственного за персональные данные и о тех, кто допущен к сбору и обработке данных
- Соглашение о неразглашении данных с каждым сотрудником, имеющим доступ к персональным данным
Какая предусмотрена ответственность за нарушение законодательства о персональных данных?
До 1 июля 2017 года КоАП РФ содержал лишь один состав административного правонарушения за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) и нарушитель подвергался штрафу от 5 до 10 тысяч рублей.
Сейчас статья 13.11 КоАП состоит из 9 частей – по количеству возможных правонарушений и их последствиям.
Самый маленький штраф – 15 тысяч рублей, предусмотрен за обработку персональных данных без согласия субъекта данных и за отсутствие в свободном доступе политики обработки персональных данных, а самый большой – 18 миллионов для юридических лиц предусмотрен за повторное нарушение обязанности по хранению базы данных с персональными данными граждан РФ за пределами РФ.