Нажимая на кнопку “Отправить”, я даю согласие на обработку персональных данных
Содержание:
Оператором персональных данных (ПД) является юридическое или физическое лицо, которое вместе с другими организациями или гражданами либо самостоятельно собирает, хранит и обрабатывает ПД, а также определяет состав сведений, цели и методы их обработки.
В соответствии с Законом № 152-ФЗ любая действующая компания считается оператором ПД, так как работает с информацией, например, о сотрудниках, клиентах. Однако не каждая организация обязана направлять уведомление в Роскомнадзор и предоставлять данные о своей деятельности в реестр. Расскажем в статье, в каких случаях необходимо направлять уведомление, как это сделать и не допустить распространенных ошибок, а также какие изменения внесены в законодательство.
Персональные данные — это сведения позволяющие установить личность человека. Например, ФИО, реквизиты паспорта, адрес регистрации, фото, телефон.
Информация используется для найма персонала, работы с клиентами, заключения контрактов, продажи товаров.
В зависимости от целей обработки информации выделяют следующие виды:
О пользователях интернет-ресурсов (cookies, IP-адреса, email, телефоны, имена, истории посещений).
Основной обязанностью лица, работающего с ПД, является неразглашение конфиденциальных сведений. Если информация больше не нужна, она подлежит уничтожению.
Кроме того, компания, осуществляющая действия с личными данными, должна:
• разъяснять гражданам, которые сообщают сведения о себе, для чего они запрашиваются и как будут использоваться;
• разработать политику обработки ПД. Документ необходимо разместить на корпоративном сайте либо в другом месте, доступном для любого пользователя;
• защищать информацию, то есть ограничить доступ к ней посторонних лиц, принять меры к предотвращению атак хакеров;
• уничтожать ПД после того, как клиент прекратил взаимодействие с организацией.
Правила работы с персональными данными регламентированы ФЗ № 152 от 26.07.2006 г.
Передача информации в реестр обязательна при обработке ПД:
• полученных в соответствии с ТК РФ;
• хранящихся на основании подписанного с субъектом договора, если оператору запрещено распространять сведения, передавать их третьим лицам. Разрешено использовать исключительно для исполнения указанного контракта;
• в отношении участников религиозных или общественных организации, когда информация о них не может быть передана третьим лицам без их на то согласия;
• касательно гражданина, который сделал информацию о себе общедоступной;
• включающих только ФИО;
• которые требуются однократно, например, чтобы оформить пропуск на территорию.
Организации обязаны не просто подавать уведомление. Им необходимо разработать локальные документы, в которых отражены способы защиты сведений о субъектах ПД. Кроме того, оператор должен соблюдать требования закона в отношении правил обработки конфиденциальной информации.
Компании обязаны иметь документацию, назначать ответственных лиц и предпринимать меры для обеспечения безопасности личных сведений.
Документы
Основным актом является Политика обработки ПД, которая должна быть доступна для ознакомления всем заинтересованным лицам. В ней содержатся сведения о способах сбора, хранения и обработки данных. Если деятельность компании подразумевает распространение данных, это должно быть отражено в Политике.
Необходимо иметь инструкции и правила для персонала. Прописывается порядок работы с базой и метод реагирования в случае утечки. При разработке документации учитывается специфика деятельности организации и ее цели, а также категория информации, с которой осуществляется работа.
С ответственными работниками должно быть подписано соглашение, запрещающее разглашение информации о субъектах ПД.
Следует вести реестр, то есть список или таблицу, в которой отражены все проводимые операции. Роскомнадзор вправе запросить документ, чтобы убедиться в соблюдении требований законодательства.
Назначение ответственных
Для утверждения сотрудников, уполномоченных работать с базами, издается специальный приказ. Обязанности работников регламентированы статьей 22.1 Закона 152-ФЗ:
Принимать и обрабатывать обращения субъектов ПД либо их представителей.
Руководство предприятия должно регулярно организовывать внутренние проверки на предмет соблюдения коллективом правил.
Организационные и технические меры по обеспечению безопасности ПД
К основным действиям, которые обязана осуществлять компания, чтобы защитить личные данные, относятся:
• Проверка автоматизированных систем на предмет угроз.
• Применение проверенных программ для работы с информацией.
• Восстановление сведений, которые были утеряны вследствие атак.
Доступ к информации должны иметь только те сотрудники, которым это действительно необходимо для исполнения должностных обязанностей, и только в пределах их полномочий. То есть менеджер по работе с клиентами может видеть сведения о заказчиках, но не заработные платы других работников.
Для осуществления действий с ПД должно использоваться только зарегистрированное на территории России оборудование. Несоблюдение этого условия влечет наложение штрафа на организацию. При первом нарушении — до 6 млн руб. (для должностных лиц — до 20 тыс. руб.). В случае повторного несоблюдения требований закона: для юрлиц — до 18 млн руб., для ответственных работников — до 800 тыс. руб.
Применять в работе следует только лицензионные программы, так как старые версии уязвимы.
В результате направления уведомления в Роскомнадзор:
• возрастает риск того, что ведомство проведет плановую или внеплановую проверку компании;
• появляется возможность блокировки интернет-ресурса организации в случае выявления нарушений правил проведения операций с ПД;
• увеличивается вероятность наложения штрафных санкций, если обнаружено несоответствие требованиям законодательства.
При каких обстоятельствах уведомление не требуется
Ниже приведен исчерпывающий список, когда компания не должна направлять информацию в реестр. С 1 сентября 2022 г. предоставление сведений не нужно:
• в отношении ПД, которые включены в автоматизированные системы, разработанные для безопасности государства и общества;
• сведений, обрабатываемых без средств автоматизации согласно требованиям федеральных законов и других актов РФ относительно соблюдения прав субъектов РФ и безопасности при работе с конфиденциальной информацией;
• данных, сбор которых осуществляется с целью защиты государства, личности и общества в сфере транспорта.
Алгоритм действий включает два шага — подготовку уведомления и направление его в ведомство (размещение информации в реестре).
Как составить уведомление
Документ должен содержать следующие данные:
Встречаются сокращения в перечне категорий ПД, прописываются данные конкретных физлиц. Список должен содержать полную информацию, сокращения использовать недопустимо. Документы граждан (паспорта, дипломы, военные билеты и иные) не являются категориями ПД, это носители данных.
В перечне субъектов также приводится не полная информация, применяются сокращения («и т.п.», «и другие»). Следует указывать категории физлиц и виды отношений (например, договорные, гражданско-правовые). Члены семьи работника вносятся в список, если в деле сотрудника хранятся сведения о его родственниках.
В перечне действий с ПД часто перечисляются все допустимые мероприятия. Прописывать нужно только те, которые намерена осуществлять данная организация (например, сбор, хранение, передача, уничтожение).
Вместо описания мер для защиты ПД копируется текст из примеров. Заимствовать можно только те слова, которые непосредственно связаны с деятельностью предприятия. Следует перечислять конкретные действия, например, предотвращение неправомерного доступа, копирования.
Нередко в уведомлении не приводятся контакты исполнителя документа или бланк подписывает лицо, не имеющее на это полномочий. Подпись вправе ставить руководитель, начальник исполнительного органа (директор, президент, гендиректор), представитель по доверенности.
Основные нововведения, предусмотренные законодательством, перечислены ниже:
• Теперь срок ответа на запросы, поступающие из Роскомнадзора, составляет 10 дней (ранее был 1 месяц).
• Список лиц, обязанных предоставлять о себе сведения, расширился. Сейчас право не направлять уведомление в реестр предусмотрено только для организаций, которые не применяют средства автоматизации. Например, охранник вносит сведения о посетителе предприятия вручную. В таком случае регистрация не требуется. Если он использует специальную программу, то нужно направить информацию в Роскомнадзор.
• Заявление должно содержать сведения о категории ПД, перечень действий, которые проводятся с личной информацией, и способы их осуществления, указание на законы, дающие организации право на работу с конфиденциальными данными.
• В случае утечки компания обязана до истечения суток сообщить о происшествии в Роскомнадзор. В течение 3 дней проводится внутреннее расследование, о результатах которого сообщается в ведомство.
• Форма согласия на обработку ПД должна быть предельно понятной и простой, чтобы клиент понимал, для чего запрашивается информация о нем, как ее будут защищать и использовать.
Ответственность за непредоставление информации об операторе ПД в реестр
В соответствии со ст. 19.7 КоАП РФ организации, не направившей уведомление в Роскомнадзор либо подавшей документ с нарушением срока, выносится предупреждение. Также на компанию может быть наложен штраф, максимальный размер которого для юрлиц составляет 5 тыс. руб. (для должностных лиц — 500 руб.).
С 30 мая указанного года начнут действовать изменения, внесенные в ст. 13.11 КоАП РФ. За непредоставление уведомления (либо несвоевременное направление документа) в Роскомнадзор на предприятия будет накладываться штраф в размере:
• для граждан — до 10 тыс. руб.;
• должностных лиц — 50 тыс.;
• организаций — 300 тыс.
Таким образом, неуведомление о своей деятельности ведомства станет критическим риском для организаций.
Компании, бизнес которых связан с обработкой персональных данных, обязаны предоставлять информацию о себе в реестр Роскомнадзора. Направление уведомления не требуется в исключительных случаях, предусмотренных законом. За неподачу или несвоевременное предоставление сведений установлено наказание в виде предупреждения или штрафа до 5 тыс. руб. С 2025 г. размер штрафа возрастет до 300 тыс. руб.
У вас остались вопросы?
Мы с удовольствием на них ответим. Заполните форму
и наш специалист в ближайшее время с вами
свяжется.
или можете связаться с нами по телефону: +7 (495) 280-11-03
Заказать звонок
Перезвоним в течение нескольких минут
Добавить отзыв об услуге