На сегодняшний день вопрос соблюдения законодательства в области защиты персональных данных очень актуальная для бизнеса тема. В настоящей статье мы раскрываем вопросы ответственности и конкретных мероприятий, которые нужно сделать каждому предпринимателю для того, чтобы не столкнуться с административной ответственностью.
Законодатель, относит к персональным данным в первую очередь следующие данные:
· ФИО;
· пол;
· паспортные данные (включая дату и место рождения, место регистрации);
· данные по ИНН и СНИЛС;
· контактные данные (номер телефона, адрес эл. почты).
Кроме того, законодателем выделено несколько видов персональных данных:
· общедоступные (ФИО, адрес, телефон, сведения о профессии и др.);
· биометрические (физиологические особенности человека, такие как его фотография, отпечатки пальцев, рост, вес и др.);
· специальные (данные о расовой и национальной принадлежности, политических и религиозных взглядах).
Все организации и индивидуальные предприниматели, осуществляющие обработку персональных данных, приобретают статус Оператора персональных данных, в связи с чем, на них возлагается обязанность соблюдать положения Закона №152-ФЗ.
Согласно п. 3 ст. 6 Закона №152-ФЗ владельцы сайтов обязаны встать на учет и зарегистрироваться в реестре операторов персональных данных, если они собирают информацию о посетителях (например, имеют форму регистрации).
Таким образом, оператор персональных данных обязан направить в территориальное управление Роскомнадзора уведомление об обработке (намерении осуществлять обработку) персональных данных с указанием, среди прочих сведений, места нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Последние изменения законодательства о персональных данных.
За последние несколько лет положения Закона № 152-ФЗ претерпели значительные изменения, которые необходимо соблюдать, чтобы избежать возможных нарушений.
Рассмотрим основные.
Прим. В сравнительной таблице приведены положения Закона № 152-ФЗ, действовавшие до 1 марта 2023 года и после указанной даты.
1) Изменение срока уведомления Роскомнадзора в случае, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных
2) Введены требования к извещению Роскомнадзора о фактах утечки информации, содержащей персональные данные
3) Утверждена специальная форма согласия на обработку персональных данных
4) Факт уничтожения персональных данных должен подтверждаться актом.
5) С 23.12.2023 многократно увеличены штрафы за обработку персональных данных без письменного согласия субъекта и нарушение правил обработки персональных данных:
6) C 30 мая 2025 года в силу вступят изменения в Закон № 152-ФЗ. Ст.13.11 КоАП вводит новые составы правонарушений и новые штрафы для нарушителей.
6.1.) Обработка персональных данных в случаях, не предусмотренных законом (ч. 1 и 1.1. ст. 13.11 КоАП):
6.2.) Несвоевременное уведомление Роскомнадзора о работе с персональными данными (новые основания для привлечения к ответственности, которых ранее не содержалось в законодательстве):
6.3.) Штрафы за утечку персональных данных
Самые частые нарушения
Операторы персональных данных, нарушившие положения Закона №152-ФЗ, привлекаются к административной ответственности и получают штрафы.
Учитывая приведенные размеры штрафов, которые зависят от конкретного состава административного правонарушения, предусмотренного КоАП РФ, такие штрафы могут составлять от нескольких тысяч до нескольких миллионов рублей, в зависимости от ситуации.
Самыми частыми нарушениями законодательства о персональных данных являются следующие нарушения (согласно официальному сайту Роскомнадзора):
1) Обработка персональных данных в случаях, не предусмотренных Федеральным законом "О персональных данных", нарушение ч. 1 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Согласно ч. 1 ст. 6 Закона №ФЗ-152 обработка персональных данных допускается только в определенном ряде случаев, наиболее распространенными из которых являются:
- наличие согласия субъекта персональных данных;
- исполнение договора, по которому стороной или выгодоприобретателем является субъект персональных данных;
- исполнение требований законодательства РФ.
Как правило, данное нарушение свидетельствует о том, что организация ведет обработку персональных данных без согласия субъекта.
2) Непринятие достаточных мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами (часть 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных").
Под такими мерами понимаются следующие действия, которые необходимо осуществлять в обязательном порядке любому оператору персональных данных:
- назначение ответственного за организацию обработки персональных данных (для юр. лиц);
- издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и (или) обучение указанных работников.
3) Непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, нарушение ч. 2 ст.18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Оператор обязан разместить:
· политику обработки и защиты персональных данных,
· перечень информационных систем персональных данных,
· типовую форму согласия на обработку персональных данных субъектов персональных данных и др.,
· а также сделать ее доступной для ознакомления неограниченному кругу лиц.
Примером такого обеспечения неограниченного доступа к указанным сведениям является соответствующий информационный стенд. В случае, если обработка персональных данных осуществляется оператором в сети «Интернет», такой документ также должен быть опубликован в сети «Интернет» (в том числе и непосредственно на сайте оператора).
4) Непредставление и (или) несвоевременное представление уведомления по обработке персональных данных при осуществлении деятельности по обработке персональных данных, не попадающей под исключения ч. 2 ст. 22 Федерального закона "О персональных данных", нарушение ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Субъект, осуществляющий обработку персональных данных, обязан уведомлять Роскомнадзор, кроме исключительных случаев из ч. 2 ст. 22 Закона №ФЗ-152. И если уведомление подано, то нужно следить за тем, чтобы сведения о компании в реестре операторов были актуальны так же, как и в ЕГРЮЛ.
5) Непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных, нарушение ч. 7 ст.22 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Данное нарушение непосредственно связано с предыдущим, но определяется в тех случаях, когда первоначальные сведения о субъекте, осуществляющем обработку персональных данных, изменились после подачи первоначального уведомления. Это могут быть различные сведения: наименование и адрес, оператора, цель обработки персональных данных, срок или условия прекращения обработки персональных данных (и др., перечисленные в ч. 7 ст. 22 Закона №152-ФЗ).
Как проверяют бизнес на соблюдение законодательства о персональных данных? Как избежать нарушений?
Ежегодно Роскомнадзор составляет план контрольных мероприятий. Организации и ИП попадают в него раз в три года (в некоторых случаях – чаще) – это является плановой проверкой.
Также возможно проведение внеплановой проверки (о такой проверке неизвестно заранее). Обычно такую проверку назначают за 24 часа до ее проведения на основании поступившей в Роскомнадзор жалобы на нарушение законодательства в области персональных данных.
В ходе проверок Роскомнадзор может запросить у оператора необходимые документы (документарная проверка), а также осуществить выезд Роскомнадзора непосредственно в организацию (выездная проверка).
Вне рамок проверочных мероприятий Роскомнадзор выявляет нарушения через запросы граждан, компаний или по публикациям в СМИ.
При проведении проверок в первую очередь Роскомнадзор проверяет наличие уведомления о сборе и обработке персональных данных. В случае наличия такого уведомления, специалисты проверяют соответствие указанных в уведомлении целей фактическим, а также проверяют какие именно данные обрабатываются оператором, кто отвечает за работу с такими данными и др.
Особое внимание уделяется сайтам компании (в случае наличия на нем формы сбора персональных данных), а также локальным актам, регулирующим взаимодействие с персональными данными внутри организации.
Чтобы подготовиться к возможным проверкам, а также в целом избежать возможных нарушений рекомендуем обратить внимание на следующее:
- проверить наличие необходимых документов для сбора и обработки персональных данных (разработать такие документы в случае их отсутствия), в том числе их размещение на сайте организации;
- проверить наличие документа, подтверждающего ознакомление сотрудников с формами документов, касающихся обработки персональных данных;
- назначить ответственного сотрудника, который будет следить за соблюдением законодательства о персональных данных;
- проверить наличие политики обработки и защиты персональных данных;
- проверить подачу уведомления в Роскомнадзор об обработке персональных данных;
- регламентировать весь процесс взаимодействия с персональными данными, в том числе установить категории используемой информации;
- отказаться от спам-рассылок при продаже услуг т.к. жалобы на такие рассылки часто являются основанием для проведения внеплановой проверки.
Автор: Владимир Царев
⚡Наш сайт: https://uscom66.com/
⚡Telegram-канал: https://t.me/uscom66
⚡ВКонтакте: https://vk.com/uscom66
⚡ YouTube - https://www.youtube.com/@samchukdemyan