В прошлом году законодатели ужесточили меры, направленные на защиту персональных данных и ответственность за их неисполнение.
За нарушение требований Закона о персональных данных ответственные могут поплатиться не только репутацией (работодатели) и местом работы (должностные лица, отвечающие за сбор, обработку и хранение таких данных), но понести гражданскую, административную и даже уголовную ответственность. Автор рассказывает, какие проблемы могут возникнуть при нарушениях закона и как их предотвратить.
Прошлым летом законодатели внесли значительные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
Так, ужесточены меры, направленные на защиту персональных данных (ПДн), и ответственность за их неисполнение, уточнен перечень отношений, попадающих под действие закона, и круг лиц, на которых он распространяется.
Кроме того, все документы организаций-операторов должны быть не только приведены в соответствие с новой редакцией Закона о персональных данных, но до 1 января 2013 года организации-операторы должны направить в территориальный орган Роскомнадзора РФ уведомление в установленной форме с приложением необходимого пакета документов (п. 2.1 ст. 25).
Практика показывает, что, несмотря на грозное предупреждение, а также то, что указанный срок с 1 января 2008 года продлевался официально не один раз, до сих пор не многие работодатели относятся к Закону о персональных данных с должной серьезностью.
Некоторые руководители считают, что он к их деятельности вообще не имеет отношения, другие толком и не понимают, что надо делать (закон действительно написан так, что неспециалисту разобраться в нем довольно сложно).
Третьи не спешат что-либо делать, надеясь, что «авось пронесет», или полагая, что у контролирующих органов руки до них дойдут нескоро (если вообще дойдут).
Есть также распространенное заблуждение, что если в организации не ведется автоматическая обработка персональных данных, все по старинке – горы пыльных стеллажей и тонны папок – то и делать ничего не надо. Но это не так. В ст.
1 Закона о персональных данных в новой редакции прямо указано, что он распространяется на отношения, связанные с обработкой персональных данных как с использованием средств автоматизации, так и без использования средств, если обработка персональных данных без использования этих средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Проще говоря, если в организации есть хоть одно личное дело (а оно есть у всех: генеральный директор – тоже работник, и на него распространяются все правила Трудового кодекса по оформлению кадровой документации), это считается сбором, хранением и обработкой персональных данных в целях Закона о персональных данных.
В некоторых крупных совместных предприятиях, филиалах и представительствах зарубежных компаний информация, содержащая персональные данные, размещена на компьютерах, находящихся за рубежом, и руководители считают, что и претензий к ним быть не может. Но вот контролирующие органы с ними не согласны – обработка персональных данных без автоматизации также должна вестись определенным образом, и абсолютно не важно, где физически находятся эти персональные данные, важно, кто их обрабатывает.
Отметим также, что многие полагают, что «просто так» их проверять не придут – нужно, чтобы кто-то пожаловался, и лишь тогда государственные органы начнут что-то предпринимать. А раз пока никого вокруг не трогают, никто ни на кого не жалуется, можно жить спокойно.
Определенная логика в этом есть: предприятий, которые должны зарегистрироваться в качестве операторов персональных данных, оказалось много, и за всеми сразу не уследить.
Да и граждане даже меньше, чем руководители предприятий, знают, на что конкретно и куда именно можно жаловаться.
Однако есть одно «но»: если госорганы и могут что-то не успеть, то всегда найдутся «доброжелатели» и конкуренты, которые готовы помочь властям, а самому предпринимателю, соответственно, навредить.
Сделать-то это совсем несложно: нужно просто найти гражданина, чьи персональные данные обрабатывались организацией, и предложить ему обратиться в Роскомнадзор России (орган, уполномоченный Законом о персональных данных осуществлять контроль за соблюдением этого закона) с жалобой на нарушение порядка обработки его персональных данных. Таким гражданином может стать, например, бывший работник предприятия, оставшийся чем-то недовольным после увольнения. А уж с персональными данными сотрудников практически всегда не все идеально. Само собой, ему не только подскажут, куда обратиться, но и все напишут за него…
Попробуем разобраться, на кого действительно распространяется действие данного закона и чем могут грозить предпринимателям и работникам, имеющим отношение к сбору, обработке, хранению и утилизации ПДн (в основном это работники кадровых подразделений и бухгалтерии), подобные заблуждения.
Под прицелом
Согласно ст. 1 Закона о персональных данных его действие не распространяется только на отношения, возникающие при:
- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в России;
- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
- предоставлении уполномоченными органами информации о деятельности судов в РФ в соответствии с Федеральным законом от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
Как видим, этот закон касается практически всех организаций всех форм собственности, а также филиалов и представительств, зарегистрированных на территории Российской Федерации. Более того, распространяет он свое действие на физических лиц и индивидуальных предпринимателей, которые работают с ПДн (а это, например, данные наемных работников и клиентов).
Паранойя на страже?
Следует отметить, что с момента внесения поправок (Федеральным законом от 25.07.2011 № 261-ФЗ) прошло уже полгода, но, как показывают проверки, проведенные Роскомнадзором РФ, практически во всех проверенных организациях имеются те или иные нарушения требований Закона о персональных данных.
В частности, согласно статистическим данным Роскомнадзора, опубликованным на официальном сайте ведомства www.rsoc.ru, операторы чаще всего допускают следующие нарушения рассматриваемого закона:
- обработка персональных данных оператором без согласия субъектов персональных данных (п. 1 ч. 1 ст. 6);
- несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям законодательства (ч. 4 ст. 9);
- избыточность обрабатываемых персональных данных субъекта применительно к целям обработки (п. 2, 4, 5 ст. 5).
Кроме того, предприятий, где есть в наличии весь комплект локальных нормативных актов, необходимый для защиты ПДн в соответствии с законом, назначены ответственные за неразглашение ПДн и подписаны соответствующие обязательства, ничтожно мало. Практически во всех организациях отсутствует текущий контроль за соблюдением мероприятий по защите ПДн.
Во многих компаниях (особенно небольших) отсутствуют специальные сейфы или хотя бы закрывающиеся ящики для личных дел сотрудников, дела стоят на открытых стеллажах, доступ к которым имеет любой вошедший. Нет достаточной защиты на компьютерах, где установлены автоматизированные системы учета ПДн работников (например, «Кадры-1С» и т.п.), к сетевым версиям при желании доступ может получить кто угодно.
Это может показаться неважным только на первый взгляд. На самом деле, кроме проблем, связанных с плановыми и внеплановыми проверками контролеров, из-за такой халатности у работников могут возникнуть серьезные проблемы. Приведем пример из практики.
Пример 1
Сотрудница «положила глаз» на ничего не подозревавшего коллегу, пару раз неосторожно ей подмигнувшего, но счастливо женатого.
В обеденный перерыв она зашла в отдел кадров (сейф, как всегда, был открыт, а все работники ушли обедать) и выписала из личного дела домашний адрес и телефон, имя супруги и ребенка, кое-какие данные из автобиографии.
После этого она начала забрасывать бедную женщину анонимными письмами и звонками, причем и ее, и ребенка называла по имени, как хорошая знакомая, рассказывала о прошлых местах работы, адресах, якобы «клубничных» похождениях мужа…
Хорошо, что все раскрылось до того, как несчастные супруги успели развестись. Но сколько было потеряно нервов, в семье начались скандалы, ребенок получил тяжелую моральную травму.
Кроме того, получилось как в том анекдоте: «Ложки-то мы нашли, а впечатление, знаете ли, осталось…». Любвеобильную даму уволили, ловелас уволился сам, сотрудницам отдела кадров объявили выговор, сейф и кабинет закрыли для посторонних.
Но это было задолго до принятия Закона о персональных данных, иначе потерпевшие муж и жена могли взыскать с предприятия значительную сумму морального ущерба, а наказание виновных было бы гораздо жестче.
Прошло много лет, но с тех пор руководитель этой компании всегда принимает строгие меры (вплоть до выговора виновным), когда замечает нарушения, которые могут привести к разглашению персональных данных сотрудников.
У знакомого начальника отдела кадров все бумаги на столе лежат или в папках, или под каким-нибудь журналом.
Если кто-то неожиданно входит в кабинет, она быстро переворачивает рабочие документы, сворачивая окошко кадровой программы на мониторе… Скажете – паранойя? А знаете ли вы, что некоторые хорошо умеют читать «вверх ногами»? Или имеют дурную привычку подходить с документами на подпись сзади или сбоку и вставать, с любопытством разглядывая экран и документы на столе? В какой фирме вам было бы комфортнее работать: где ваше личное дело может прочитать кто угодно, вплоть до клиентов и случайно зашедших «не в ту дверь» посетителей, или там, где все под надежной охраной таких «параноиков»?
Как аукнется..
Увольнение – далеко не самое страшное наказание за нарушение требований Закона о персональных данных. В соответствии со ст. 24 названного закона нарушители несут уголовную, гражданскую, дисциплинарную и другую, оговоренную законодательством РФ ответственность. В Таблице перечислено, какие проблемы могут возникнуть у операторов ПДн, а также ответственных лиц.
Таблица
К нам едет ревизор
Основным контролирующим ведомством в сфере защиты ПДн, который мы уже упоминали, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор РФ). В ст. 23 Закона о персональных данных установлены права и обязанности контролера. В целом служба отвечает за организацию защиты и обработки ПДн.
Технические аспекты защиты информационных систем обработки ПДн контролирует Федеральная служба по техническому и экспортному контролю (ФСТЭК РФ). Она проверяет технические средства защиты ПДн, работающие с помощью некриптографических способов защиты информации.
ФСБ России осуществляет надзор над разработкой, изготовлением, реализацией и использованием криптографических (шифровальных) средств защиты ПДн, а также над предоставлением услуг по шифрованию ПДн при обработке их в информационных системах.
Федеральная инспекция труда России также имеет полномочия на проведение государственного контроля и надзора за соблюдением норм ТК РФ и других нормативных актов, содержащих нормы трудового права, включая защиту персональных данных (ст. 354 ТК РФ).
Не так страшен черт…
Очень хочется закончить статью на позитиве. В новой редакции Закон о персональных данных такой позитив есть – это ч. 2 ст. 22. По сути, он является спасательным кругом для большинства организаций, которые занимаются обработкой персональных данных.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, обрабатываемых в соответствии с трудовым законодательством, а также необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.
Это огромное преимущество. Во-первых, организациям, которые обрабатывают ПДн исключительно в рамках трудового законодательства, не надо регистрироваться в органах Роскомнадзора РФ в качестве операторов ПДн и составлять уведомление с перечнем мер и действий по защите персональных данных и еще довольно большого объема сведений, перечисленных в п.
3 упомянутой статьи (например, о том, как обеспечивается безопасность персональных данных в компании). То есть операторами ПДн они являются, Закон о персональных данных должны соблюдать и всю документацию по защите ПДн привести в соответствие с законом, но уведомления до 1 января 2013 года в Роскомнадзор России им подавать не нужно.
Во всяком случае – согласно редакции закона, действующей на данный момент.
Во-вторых, чтобы соблюсти требование Закона о защите персональных данных и привести все документы в соответствие с летними изменениями, им необходимо лишь наладить внутреннюю систему защиты информации, содержащей ПДн, и принять ряд локальных нормативных актов. К слову, в организациях, которые строго соблюдают закон и отслеживают все изменения, такие локальные нормативные акты уже давно есть, они оговорены в гл. 14 ТК РФ. Поэтому компаниям лишь необходимо внести в эти акты соответствующие изменения.
В-третьих, основной источник проверок Роскомнадзора – ошибки и нарушения в уведомлениях у тех операторов ПДн, для которых подача уведомлений обязательна. А значит, у организаций, обрабатывающих ПДн только в рамках трудового законодательства, есть время спокойно привести все в соответствие, пока у проверяющих действительно до них «руки дойдут».
В следующих номерах читайте о том, как привести документы в соответствие с Законом о персональных данных.
Ответственность за нарушение 152-ФЗ, ответственность за нарушение ФЗ о персональных данных
В ходе аудита ИТ-инфраструктуры нередко обнаруживаются нарушения в сфере закона о защите персональных данных (152-ФЗ), за которые предусмотрена ответственности. Мы предлагаем комплекс мер по защите персональных данных во избежание наступления ответственности за нарушение 152-ФЗ «О персональных данных».
Законодательство регламентирует ответственность оператора персональных данных за их несанкционированную утечку или разглашение. Современные реалии таковы, что обработка и сбор информации переведены в электронную плоскость. Каждая организация, компания, промышленное предприятие располагает базами с личными данными работников, клиентов, партнеров, покупателей.
Ответственность за нарушение 152-ФЗ о защите персональных данных бывает:
- гражданской – на нарушителя закона налагаются имущественные санкции;
- административной – выплата штрафа, приостановление деятельности, запрет занимать определенные должности;
- уголовной – лишение свободы на срок, определенный законодательством по конкретному случаю;
- дисциплинарной – налагается на работника в виде замечания, выговора или увольнения.
Нарушение ФЗ-152 предполагает ответственность по КоАП (Кодекс об административных правонарушениях). Зачастую отсутствие у оператора регламента предоставления информации влечет наложение штрафных санкций. Под этим подразумевается несвоевременное предоставление или предоставление заведомо недостоверных данных гражданам. Согласно законодательству, налагается штраф от 1000 до 3000 рублей.
Ответственность за нарушение ФЗ-152 о персональных данных по КоАП наступает за нарушение действующего регламента по сбору, обработке и защите информации. То есть несоблюдение определенных алгоритмов приводит к штрафным санкциям. В группе риска находятся частные предприниматели, интернет-магазины и порталы.
Уголовный кодекс предусматривает наказание за неправомерный доступ к компьютерной информации, охраняемой законом, которая повлекла нарушение неприкосновенности частной жизни.
Здесь подразумевается ответственность за нарушение ФЗ-152, которая лежит в плоскости незаконного сбора и распространения информации о частной жизни граждан.
В этом случае уголовный кодекс предусматривает следующие виды наказания:
- для физических лиц – штраф до 200 000 рублей или лишение свободы сроком до двух лет;
- для должностных лиц – штраф от 100 000 рублей или лишение свободы до четырех лет.
Во втором случае, ответственность за нарушение требований 152-ФЗ несут граждане, имеющие доступ к компьютеру. То есть, каждый работник, включая руководство, несет ответственность за утечку информации, может заплатить штраф или сесть в тюрьму.
Что такое неправомерный доступ к компьютерной информации
Если отойти от сухих формулировок законодательных актов, то становится понятно, что все, кто связан со сбором и обработкой информации находятся в группе риска. Ответственность за нарушение закона о защите персональных данных наступает при любой утечке информации, неправильном ее сборе или несвоевременном предоставлении.
Это означает, что за взлом баз отвечает гражданин, должностное лицо, которое с ними работает. Ответственность ужесточается в зависимости от степени вреда, причиненной несанкционированным доступом к информации.
Как избежать ответственности за нарушение 152-ФЗ
Утечка персональных данных, наложение штрафных санкций – урон репутации бизнесу. В современных условиях такое происшествие спровоцирует отток клиентов. Особенно, если персональная информация была использована для незаконного оформления кредитов, участия в рекламных, предвыборных кампаниях.
Наши специалисты минимизируют риски, повысят уровень безопасности информационной защиты после проведения аудита ИТ-инфраструктуры. Аудит позволяет выявить:
- уязвимые места в системе (выявляются при мониторинге программного обеспечения);
- проблемы действующего регламента сбора и обработки информации (или необходимость его создания, если он отсутствует);
- возможности по оптимизации, модернизации оборудования;
- недостаточный уровень компетенции сотрудников по пресечению попыток несанкционированного доступа к персональной информации.
Наши специалисты помогут избежать ответственности за нарушение 152-ФЗ, минимизировать репутационные риски.
Как соблюсти все требования 152-ФЗ и не получить штраф | Блог VK Cloud Solutions
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.
Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.
Можно получить сразу два штрафа:
- За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
- За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.
Что будет, если не отправить уведомление
Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:
- 100–500 рублей для физлиц
- 300–500 рублей для должностных лиц.
- 3 000—5 000 рублей для юрлиц.
Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.
Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.
По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.
Получить согласие можно двумя способами:
- Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
- Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.
Что будет, если не спрашивать разрешения
За это нарушение положен большой штраф:
- 3 000–5 000 рублей для физлиц.
- 10 000–20 000 рублей для должностных лиц и ИП.
- 15 000–75 000 рублей для юрлиц.
Соблюдение законодательства о персональных данных в банковской отрасли
I. Введение
Тема регулирования и защиты персональных данных с каждым годом становится все актуальнее, сохраняя при этом определенную долю специфики в зависимости от направления деятельности оператора персональных данных. Своеобразие проблем, пробелов в регулировании персональных данных и возникающих в связи с этим споров существует и в банковской отрасли.
Наиболее ярким примером нарушений в банковской отрасли могут служить случаи утечки баз данных, содержащих персональные данные субъектов, а также участившиеся случаи несанкционированной передачи персональных данных со стороны финансовых организаций третьим лицам.
В последнем случае типичной иллюстрацией может служить практика передачи кредитной организацией информации о задолженности и должнике коллекторским агентствам. Так, Федеральный закон «О потребительском кредите (займе)»[1] допускает передачу персональных данных заемщика и лиц, выступивших поручителями, третьим лицам при уступке прав (требований) по договору потребительского кредита (займа).
Однако несмотря на обязанность соблюдения законодательства о персональных данных, кредитные организации нередко оставляют их без внимания и передают данные заемщика третьим лицам без получения согласия субъекта персональных данных на такую передачу.
С появлением законодательства[2], регулирующего деятельность по возврату просроченной задолженности, требования к коллекторским агентствам стали жестче, однако все еще есть сомнения, что специальный закон сможет в один момент устранить все проблемы с персональными данными.
Стоит отметить, что в области соблюдения законодательства о персональных данных бизнесом положительная статистика все же просматривается. Так, статистика штрафов, назначенных Роскомнадзором по итогам проверок, снизилась с 10,5 млн рублей в 2015 году до 6 млн в 2016 году.
Количество выявленных нарушений по сравнению с 2014 и 2015 гг. и выданных Роскомнадзором предписаний также снизилось, что свидетельствует о том, что бизнес-сообщество стало приспосабливаться к более жестким требованиям законодательства о персональных данных.
Скорее всего такая тенденция сохранится и в будущем, учитывая поправки в КоАП РФ[3] (ст. 13.11), вступившие в силу 1 июля 2017 г.
, с принятием которых были внесены существенные изменения в положения, устанавливающие ответственность за нарушение законодательства в области персональных данных.
Тем не менее, несмотря на общую положительную тенденцию, на конец 2016 года наибольшее количество жалоб граждан поступило на действия кредитных учреждений (преимущественно на действия, связанные с передачей персональных данных без их согласия), что в первую очередь, связано с обработкой ими персональных данных значительного числа граждан.
В настоящей статье будет дан практический обзор основных нарушений в области персональных данных, наиболее характерных для банковской сферы, и предложены методы регулирования внутренних процессов обработки персональных данных. В завершении будет представлен ряд рекомендаций практической направленности, как для бизнеса в банковском секторе, так и в отношении субъектов персональных данных.
II. Основные понятия и применимое законодательство
Обработка персональных данных управляющими организациями
С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?
Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.
Управляющие компании и ответственность за персональные данные
Об обработке персональных данных
Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?
Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.
К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.
При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.
Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.
Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.
Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.
Как внести договор управления в ГИС ЖКХ и соблюсти N 152-ФЗ
Об операторе по обработке персональных данных
Кто является оператором персональных данных?
В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.
- Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
- Кого должна уведомить УО о том, что она является оператором персональных данных?
- Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.
В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.
Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.
Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.
Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.
Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.
Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.
Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.
Можно ли публиковать список должников
О согласии на обработку персональных данных
Когда нужно заручиться согласием на обработку персональных данных?
Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.
Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.
В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).
Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?
Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?
Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.
Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.
О том, как персональные данные собственников МКД могли появиться в открытом доступе
Об ответственности за нарушение законодательства о персональных данных
Какие штрафы существуют и кто их выписывает?
До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.
Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.
С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.
Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.