Закон о персональных данных: какие требования к организациям и ИП

Работа организаций и ИП — это взаимодействие с покупателями, клиентами, партнерами, сотрудниками и т.д. Чтобы такое взаимодействие было законным, важно обеспечить защиту персональных данных, завести регламенты, назначить ответственных и подать сведения в Роскомнадзор. 

Что такое персональные данные

Персональные данные — это термин, закрепленный в ст. 3 закона от 27.07.2006 № 152-ФЗ. К ним относится информация любого характера о физическом лице, которая позволяет такое лицо идентифицировать. Эти данные могут не только прямо, но и косвенно касаться физлица.  

К ПД относятся не только документы (паспорт, ИНН, СНИЛС), но и, например, фотография, изображение человека в интернете, номер телефона, адрес электронной почты и т. д.

Выражение персональных данных возможно в любых формах: видео, изображение, аудиозапись, публичных высказываниях. 

Что содержится в законе о персональных данных

Физическому лицу приходится сообщать свои конфиденциальные данные в разных жизненных ситуациях: когда он оформляет кредит в банке, устраивает ребенка в садик, заполняет анкету в интернете для заказа услуги и др. 

Закон 152-ФЗ в первую очередь разработан для защиты людей от незаконных манипуляций с их персональными данными. Ими могут воспользоваться мошенники, которые, например, получат доступ к базе клиентов компании.

Организации и ИП, которые собирают данные о своих клиентах, обязаны обеспечить безопасность этих данных и не допустить их утечки в широкое информационное поле. 

Как организациям и ИП работать с персональными данными

Организации должны не только знать закон 152-ФЗ, но и следить за изменениями в правовой базе, чтобы надлежащим образом использовать и хранить персональные данные физических лиц.

Не только организации, но и ИП, которые работают с персональными данными физических лиц (включая своих сотрудников), должны зарегистрироваться в Роскомнадзоре как оператор персональных данных.

Что должна сделать каждая организация:

  • сформировать систему обработки, записи и хранения ПД с учетом актуальных требований законодательства;

  • разработать и соблюдать политику работы с персональными данными;

  • составить иную локальную документацию, регулирующую процесс использования ПД, которая включает в себя обработку, запись и хранение с учетом требований Роскомнадзора и 152-ФЗ;

  • регулярно направлять отчеты в Роскомнадзор.

Любая организация несет ответственность за действия, совершаемые с персональными данными своих субъектов (клиентов, пациентов, посетителей, участников собраний, контрагентов). Это распространяется не только на внутреннюю работу юрлиц, но и взаимоотношения за ее пределами.

Разберем поэтапно, как организовать работу с ПД.

Этап 1. Разработать политику обработки персональных данных

Например, при приеме на работу сотрудника организация должна действовать в соответствии с политикой обработки персональных данных. За отсутствие данного регламента предусмотрен штраф по ст. 5.27 КоАП: от 30 до 50 тыс. рублей.

  • Регламент работы с персональными данными должен включать в себя положения о том, как они обрабатываются, хранятся и используются. 

  • В регламенте нужно указать, какие документы, содержащие персональные данные, требуют особой защиты. 

  • Организации вправе передавать конфиденциальную информацию внутри своего юрлица, если такая процедура указана в политике. 

  • Нужно составить перечень лиц, которые имеют доступ к персональным данным.

За несоблюдение правил политики нарушителя могут привлечь к ответственности: дисциплинарной, административной или уголовной.

Этап 2. Издать приказ о назначении ответственного лица

Ответственное лицо — это сотрудник, которого руководство наделяет правами по работе с персональными данными и управлению ими внутри организации (ч. 1 ст. 18.1, ч. 1 ст. 22.1 закона 152-ФЗ).

Обычно такого сотрудника назначают из руководящего состава, например, заместителя директора или начальника службы безопасности. Выбрать могут также руководителя отдела IT, потому что он напрямую взаимодействует с конфиденциальной информацией в цифровом пространстве (автоматизированных системах).

Этап 3. Составить список лиц с правом доступа

В организациях есть сотрудники, которые по своей должности имеют дело с персональными данными. Например, специалисты HR, которые собирают резюме и контактные данные для собеседования с кандидатами. Или сотрудники бухгалтерии, которые получают копии паспорта, ИНН, СНИЛС и других документов для оформления нового сотрудника.

Такие лица должны быть наделены правом доступа, а также для них нужно прописать конкретные действия, которые они вправе совершать с персональными данными в рамках своей зоны ответственности (п. 6 ст. 88 ТК). 

Например:

  • бухгалтер, который оформляет больничный лист сотруднику;

  • секретарь, который покупает билет для работника по его паспорту, чтобы отправить в командировку.

Если лицо в организации наделено правом использовать персональные данные, то с ним подписывается документ о неразглашении конфиденциальных сведений. ПД нельзя передавать третьим лицам и использовать в личных целях.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Этап 4. Обеспечить хранение данных

Один из способов хранения персональных данных — автоматизированные системы, которые должны защищать данные от утечки и обеспечивать их безопасность (приказ ФСТЭК от 18.02.2013 № 21).

Как автоматизированные системы защищают ПД:

  • предоставляют индивидуальный доступ отдельным сотрудникам организации только к той части цифровой базы, которая касается их функций;

  • применяют двухуровневый вход в систему по паролям;

  • регулярно обновляют пароли, например, один раз в месяц.

Как обеспечить безопасность ПД при неавтоматизированной обработке:

  • доступ к хранилищу физических носителей выдавать только уполномоченным сотрудникам, которые указаны в специальном списке;

  • место хранения должно находиться под сигнализацией и видеонаблюдением (при необходимости).

Под защитой должна находиться любая информация о физлице: анкета, трудовая книжка, диплом, копии удостоверений, паспорта, ИНН.

Этап 5. Получить согласие на использование данных

Согласие от человека, чьи данные организация планирует обрабатывать и использовать, помогает избежать штрафов. 

Например, если данные физлица будут указаны на сайте компании, в социальных сетях, на визитных карточках, то лучше соблюдать осторожность и брать с человека согласие на распространение ПД.

Этап 6. Уведомить Роскомнадзор

Компании должны отчитываться перед Роскомнадзором еще до начала сбора и обработки персональных данных физлиц (ст. 22 закона 152-ФЗ). Уведомление в РКН направляется после подготовки необходимых документов. 

Направить уведомление в Роскомнадзор можно одним из четырех способов:

  • отправить по почте бланк, предварительно его распечатав и заполнив;

  • принести лично уведомление в территориальное отделение РКН;

  • воспользоваться формой отправки на сайте Роскомнадзора;

  • отправить через «Госуслуги» — для подтвержденных на портале организаций.

Роскомнадзор в течение 30 дней с даты направления уведомления добавит информацию о компании или ИП в реестр операторов (ч. 4 ст. 22 закона 152-ФЗ). 

Если в предоставленной информации произошли изменения, нужно сообщить об этом в Роскомнадзор не позднее 15 числа месяца, следующего за тем, в котором эти изменения произошли.

Какие документы нужны для работы с ПД

Для работы с персональными данными компаниям нужен стандартный комплект документов, о котором частично рассказали выше. К этим документам относятся:

1. Положение об обработке персональных данных. Это основной документ, который определяет порядок работы с ПД для конкретных бизнесов и организаций с учетом их вида деятельности.

2. Политика обработки персональных данных. В законе 152-ФЗ с 1 марта 2024 года произошли изменения в части этого регламента: теперь компаниям стоит предусматривать новый вид обработки личных данных — распространение. 

Примечание: распространение не стоит путать с передачей данных. Передача — это предоставление права использовать ПД конкретным лицам из списка сотрудников компании. А распространение — это предоставление информации широкой аудитории, и на такое распространение физлицо должно дать разрешение. 

3. Приказ о назначении ответственного за обработку персональных данных. Документ необходим, чтобы наделить конкретного сотрудника правом работать с ПД других лиц. Например, когда компания расширяется и нанимает новых сотрудников в штат.

4. Обязательство о неразглашении персональных данных. Сотрудники, которые работают с информацией о других лицах, должны быть под подпись уведомлены о том, что они не имеют права распространять чужие данные.

5. Регламент доступа сотрудников организации к персональным данным. Это локальный документ, который фиксирует правила работы с ПД внутри компании и регулирует доступ сотрудников к личной информации.

Это обязательные документы для компаний, чьи процессы связаны со сбором и обработкой данных. А ниже мы подготовили таблицу со штрафами за нарушение норм 152-ФЗ.

Если у вас трудности с организацией работы с персональными данными или сомневаетесь в правильности подготовки документов, то специалисты «Роском Онлайн» готовы вам помочь. Среди преимуществ работы с «Роском Онлайн» — грамотное составления заявления, составление ответов для Роскомнадзора и консультация корпоративных юристов. В качестве бонуса вы получите 10% на годовое сопровождение и памятку по Роскомнадзору.

Бесплатная консультация

Ответственность за несоблюдение закона о персональных данных 152-ФЗ

За несоблюдение законодательства в области персональных данных предусмотрена административная ответственность в виде крупных штрафов для компаний, предпринимателей и должностных лиц (ст. 13.11 КоАП).

Норма: ст. 13.11 КоАП

Нарушение

Организация 

ИП

Ответственный (должностное лицо)

Часть 2, 2.1

Персональные данные лица обрабатывались без его письменного согласия, когда такое согласие требовалось по закону

300–700 тыс. руб. и 1–1,5 млн руб. при повторном нарушении

500 тыс.–1 млн руб. при повторном нарушении

100–300 тыс. руб. и 300–500 тыс. руб. при повторном нарушении

Часть 3

Оператор нарушил правила публикации политики обработки персональных данных и доступа к этому регламенту.

30–60 тыс. руб.

10–20 тыс. руб.

6–12 тыс. руб.

Часть 4

Оператор не предоставил лицу информацию, которая относится к обработке его ПД

40–80 тыс. руб.

20–30 тыс. руб.

8–12 тыс. руб.

Часть 5, 5.1

Оператор нарушил сроки, в которые должен был изменить, блокировать или удалить персональные данные по требованию владельца или контрольного органа

50–90 тыс. руб. и 300–500 тыс. руб. при повторном нарушении

20–40 тыс. руб. и 50–100 тыс. руб. при повторном нарушении

8–20 тыс. руб. и 30–50 тыс. руб. при повторном нарушении

Часть 6

Оператор нарушил требования об обработке ПД в неавтоматизированной форме, и это привело к незаконным манипуляциям с данными (хранение физических носителей и доступ к ним без разрешительных документов)

50–100 тыс. руб.

20–40 тыс. руб.

8–20 тыс. руб.

Часть 7

Оператор (государственный или муниципальный орган) нарушил законодательство в области обезличивания ПД

___

___

6–12 тыс. руб.

Часть 8, 9

Оператор при сборе данных нарушил обязанность по обеспечению записи, систематизации, накоплению, хранению, уточнению или извлечению ПД граждан РФ с использованием баз данных, находящихся на территории РФ

1–6 млн руб. и 6–18 млн руб. при повторном нарушении

___

100–200 тыс. руб. и 500–800 тыс. руб. при повторном нарушении

Выводы

  • Организации и ИП, которые работают с людьми и собирают и обрабатывают персональные данные должны строить свою работу в соответствии с нормами закона 152-ФЗ

  • Нужно уведомлять Роскомнадзор о работе с ПД, чтобы ведомство внесло сведения в реестр операторов.

  • Законодательство в области персональных данных меняется, поэтому важно отслеживать последние нововведения. Например, с 1 марта 2024 года появился новый вид обработки ПД — распространение.

  • Штрафы в КоАП предусмотрены не только для организаций и ИП, но и для должностных лиц, которые были уполномочены заниматься сбором и обработкой ПД.

Проконсультируйтесь бесплатно на сайте «Роском Онлайн», чтобы оградить себя от проверок прокуратуры, предписаний РКН и штрафов.  

Читайте также:

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KbCbj

Комментарии

4
  • Наталия Григорьева

    Добрый день! Подскажите пожалуйста- ИП без сотрудников должен регистрироваться в Роскомнадзоре?

    • olnik2023

      Я читала, что если у ИП договора и прочие док в бумажном виде, то имеет право не региться. Если же у него Эдо, то обя́зан зарегиться