Законодательное регулирование в области сбора и обработки личной информации граждан начало зарождаться в 2006 году, и по сей день крупные предприятия и мелкие фирмы сталкиваются с большим количеством вопросов и разногласий, а некоторые простые граждане и вовсе не имеют никакого представления, что такое персональные данные и как их обрабатывают. Во избежание проблем, разногласий, а в последующем, и штрафных санкций, попробуем сориентироваться во всех важных аспектах.
Персональные данные: определение и примеры
Персональные данные (сокращенно и дальше по тексту ПД) – это абсолютно любой вид личных сведений, данных и описаний, относящихся прямо или косвенно к определенному или определяемому физ. лицу, или как еще называют - субъекту персональных данных.
Прочитав и проанализировав определение, делаем вывод, что если, объединив всю имеющуюся информацию, нам становится отчетливо понятно о ком идет речь, то такие сведения и называют персональными.
Ознакомимся с примерами для ясности:
-
Алексеев Алексей Алексеевич, паспорт серии 10 10 номер 101010— это прямо определенное физическое лицо.
Александров Александр Александрович, отец Александры Александровой из школы № 1— это непрямо определенное физическое лицо.
Директор АО «Лидер», личный контактный телефон +7(000) 111-11-11— это определяемое физическое лицо.
Блондин Евгений— лицо не определено, и не может быть идентифицировано.
Рассмотрев приведенные примеры, можно сделать вывод, что отдельно взятое имя, вырванное из контекста, к персональным сведениям не имеет никакого отношения, но если к имени добавить идентифицирующую и в обязательном порядке достоверную информацию (фамилию, паспортные данные, контакты, место регистрации), то мы получим персональные данные отдельно взятого интересующего нас физического лица.
Перечня, что причисляется к персональным данным, не существует, но, за основу принято использовать такие сведения:
-
фамилия,
-
имя,
-
отчество,
-
адрес проживания,
-
адрес электронной почты,
-
контактный телефон,
-
дата рождения,
-
место рождения,
-
национальная принадлежность,
-
религиозные убеждения,
-
место работы,
-
занимаемая должность,
-
рост и вес.
Важно: Окончательного и постоянного списка персональных данных нет, ввиду невозможности перечислить абсолютно все данные. В каждом случае вопросы, связанные с принадлежностью информации к реальным личным сведениям отдельно взятого гражданина рассматриваются в индивидуальном порядке.
Оператор персональных данных: кто это такой?
Оператором ПД могут являться госструктуры либо муниципальные органы, юридические либо физические лица, так же оператором может выступать как одно конкретное лицо, так и группа лиц.
Фактически все относятся к операторам персональных данных, и даже Вы. Ваш телефонный номер, адрес электронной почты, записная, телефонная и адресная книжки – это все источники персональных данных.
Давайте разберемся, нужно ли что-то делать с этими данными обычному человеку. Основываясь на законодательный акт «О персональных данных», совершенно ничего не нужно делать в таких случаях:
-
Обработка и использование ПД приводят к несоблюдению прав и свобод субъектов персональных данных, даже если информация необходима исключительно для узкого круга, например семейного.
-
Обработка индивидуальных данных осуществляется при работе с документацией, в том числе секретной, Архивного фонда или судебных инстанций РФ.
-
Информация с личными данными причисляется к гос. тайне и не подлежит опубликованию и распространению.
Считается, что нет важной необходимости что-то предпринимать, если:
-
ПД прежде всего обрабатываются с целью соблюдения обязательств по Трудовому кодексу.
-
Персональные данные предоставляются с целью соблюдения договорных обязательств, когда вторая сторона договора является субъектом персональных данных.
-
Обрабатывается информация об участниках внутри общественной либо религиозной организацией.
-
Субъект персональных данных самостоятельно обнародовал свои данные.
-
Общедоступные персональные данные состоят из ФИО, а какая-либо другая информация отсутствует либо является недостоверной.
-
Персональные сведения предоставляются для создания и выдачи временного пропуска.
-
Обрабатываются ПД, введенные в информсистемы индивидуальных данных, находящихся согласно федеральным законам в статусе информационных гос. систем, а кроме того в гос. системы персональных данных, созданных для охраны страны и ее интересов.
-
Процессинг персональных данных осуществляется без применения средств автоматизации, таких как компьютеры, планшеты и др.
-
Информации о гражданах-субъектах предоставляется и прорабатывается в целях обеспечения дорожно-транспортной безопасности.
Важно: Как показывает практика, существует большое количество важных моментов и исключений при проработке личной информации без уведомления компетентных органов, с которыми в обязательном порядке необходимо считаться. Именно поэтому не стоит полностью полагаться на данную статью, а рекомендуется действовать по ситуации в каждом отдельно взятом случае. Каждое решение необходимо перепроверять, ссылаясь на государственные и федеральные законодательные акты.
Теперь разберем самое важное, когда же все-таки неукоснительно необходимо соблюдать все предписания законодательных актов:
1. На Вашем личном веб-сайте проводится регистрация пользователей, даже если для регистрации достаточно ввести Имя пользователя и адрес его электронной почты:
-
тематические форумы;
-
соцсети;
-
новостные и обозревательные веб-ресурсы;
-
интернет-магазины;
-
личные блоги;
-
веб-сервисы объявлений.
2. На Вашем электронном ресурсе есть возможность вносить в специально созданные формы-анкеты для пользователей или подписчиков, которые размещаются на веб-площадке либо рассылаются по электронной почте. Это касается тех сайтов, на которых доступны функции обратного звонка, быстрого заказа либо подписки на новостную рассылку.
3. На Вашем веб-ресурсе уже имеются актуальные ПД пользователей.
4. Ваша организация по роду своей деятельности регулярно обрабатывает персональные данные клиентов. К таким организациям относятся:
-
юр. фирмы и нотариальные конторы;
-
фирмы, осуществляющие регистрацию, перерегистрацию, ликвидацию юридических лиц и индивидуальных предпринимателей;
-
юр. лица, исполняющие функции по ведению реестра владельцев именных ценных бумаг;
-
аудиторские фирмы;
-
банковские учреждения;
-
учреждение здравоохранения;
-
компании, которые выпускают клубные, дисконтные и накопительные карты, например, салоны красоты, спортивные клубы, сетевые магазины, кафе и рестораны, и др.;
-
общеобразовательные частные и госучреждения, высшие учебные заведения, центры переподготовки специалистов, центры повышения квалификации, а также организации, которые проводят курсы, тренинги, факультативы, семинары.
-
товарищества и департаменты в сфере жилищно-коммунального хозяйства;
-
туристические агентства.
5. Ваша фирма привлекает к работе фрилансеров для удаленной работы по контракту.
6. Ваша компания применяет CRM-системы для работы с клиентскими сведениями.
Таким образом, очень важно сопоставлять работу своей компании с нормативно-правовыми документами, особенно во всех схожих с вышеописанными видами деятельности, если нет каких-либо других исключений.
Алгоритм действий при обработке персональных данных
В случае если по роду деятельности вашей организации Вы должны обрабатывать персональные данные, то необходимо подготовить всю документацию, перечень которой утвержден законодательно.
Список документов, которые должны быть составлены юридически верно, включает в себя:
-
Приказ о формировании комиссии отвечающей за соблюдение законодательно утвержденных требований при обработке ПД.
-
План запланированных дел по согласованию законодательных требований в области персональных данных.
-
Список официально утвержденных работников, участвующих в процессинге ПД.
-
Утвержденная форма с указанием обязательств и должностных инструкций о неразглашении персональной информации клиентов.
-
Утвержденный образец Соглашения о конфиденциальности и не разглашении, полученных для обработки данных.
-
Список полученных достоверных персональных сведений клиентов для обработки.
-
Утвержденная форма документа о добровольном согласии на обработку ПД.
-
Утвержденная форма согласия на предоставление и обработку личных данных для конкретного веб-ресурса.
-
Список используемых в работе компьютеризованных информационных систем и программ для обработки данных.
-
Список внедренных программ и технологий для охраны личных данных пользователей.
-
Подробный отчет о расположении офиса, оснащенного всем необходимым для обработки ПД.
-
Техпаспорт на используемые в работе с персональной базой данных информационные технологии, системы и программы.
-
Приказ об окончательном утверждении ответственных лиц за обработку ПД, а также их защиту и безопасность.
-
Свод обязанностей и правил касающийся курирующей деятельности ответственного лица, как правило, администратора.
-
Руководство по работе для менеджера обработки ПД.
-
Должностной регламент по обработке персональных данных клиентов и пользователей.
-
Разъяснения политика фирмы или веб-ресурса по отношению к обработке ПД своих клиентов.
-
Утвержденный регламент о гарантировании защиты и безопасности персональных данных.
-
Письмо-уведомление об обработке персональных данных клиента.
-
Официальное распоряжение об утверждении Инструкции для клиентов организации или веб-площадки, касающейся предоставления личных данных.
-
Предписания по оформлению, регистрации, содержания и ликвидации всех видов носителей ПД.
-
Распоряжение, касающееся определенного круга лиц, имеющих доступ к персональной базе данных клиентов.
-
Распоряжения и порядок действий в ситуациях, когда поступают запросы от физических лиц.
-
Инструкция по взаимному сотрудничеству с госслужбами, координирующими работу по обработке информации о гражданах.
-
Разъяснения, касающиеся обязательного резервного копирования ПД.
-
Распоряжения относительно проведения контролирующих мероприятий в области информационной безопасности.
Также, если ваша фирма вынуждена обрабатывать персональные данные клиентов, то об этом понадобится поставить в известность ответственную службу - Роскомнадзор. Сразу после рассмотрения полученного уведомления от оператора ПД, Федеральная служба должна занести Вашу компанию в государственный Реестр операторов персональных данных. Пренебрежение этим правилом и несвоевременное уведомление о старте работы по обработке персональных данных грозит нарушителям штрафами.
Компания-оператор вынуждена следить за законодательным процессом в сфере обработки ПД, своевременно выявлять изменения в законодательных документах и применять новые правила в своей работе. Это связано с тем, что фирме-оператору регулярно необходимо отсылать в Роскомнадзор обновленные отчеты с персональными данными своих клиентов. Каждое новое уведомление должно соответствовать недавно принятым законодательным актам, поскольку незнание как всегда не освобождает от ответственности.
Возможные последствия за несоблюдение законов о персональных данных
Следует предупредить, что Роскомнадзор не так уж и редко осуществляет инспекции среди зарегистрированных компаний-операторов. Так же ожидать проверок стоит не только внесенным в госреестр операторам, но и тем, кто даже теоретически может собирать персональную информацию. Каким образом Федеральная служба выявляет потенциальных операторов, они, понятное дело, не разглашают.
Однако каждый может ознакомиться с планом предстоящих инспекций, к счастью данная информация представлена для всеобщего доступа на официальном веб-ресурсе. Исключением служат ситуации, когда в Роскомнадзор поступают жалобы, чаще всего они не имеют под собой оснований, но абсолютно каждый сигнал от потребителей является поводом для внеочередной и незапланированной проверки.
В случаях, когда по результатам проверки Роскомнадзору становится очевидным, что компания-оператор совершает ошибки и нарушает законодательство, то руководству и работникам организации не избежать административной ответственности. Как правило, штрафы небольшие, но как показывает практика, выявляются сразу несколько нарушений, и тогда общая сумма может достигать порядка 100 тысяч рублей.
Рассмотри подробнее статьи, за нарушение которых оператору грозит административное либо уголовное наказание:
-
Статья 13.11. КоАП РФ. В статье оговариваются процедуры получения, содержания, пользования и передачи ПД. За игнорирование закона предусмотрено штрафование физических лиц в размере от 300 до 500 рублей, госслужащих - от 500 до 1 000 рублей; юридических лиц - от 5 000 до 10 000 рублей.
-
Статья 5.27. КоАП РФ. Данный пункт закона предупреждает об ответственности за пренебрежение трудового законодательства, а также схожих законодательных постановлений, в которых отражены нормы трудового права.Законом предусмотрено за единоразовое нарушение штрафование госслужащих - от 1 000 до 5 000 рублей, индивидуальных предпринимателей - от 1 000 до 5 000 рублей, юридических лиц - от 30 000 до 50 000 рублей; при повторных нарушениях придется заплатить госслужащим - от 10 000 до 20 000 рублей, индивидуальным предпринимателям - от 10 000 до 20 000 рублей, юридических лицам - от 50 000 до 70 000 рублей.
-
Статья 19.5.КоАП РФ. Пункт статьи, который четко разъясняет какой размер штрафа придется оплатить за неисполнение в отведенный период законного распоряжения или постановления, выданного штрафнику по результатам проверки контролирующим госорганом: физических лицам - от 300 до 500 рублей, госслужащим - от 1 000 до 2 000 рублей; юридическим лицам - от 10 000 до 20 000 рублей. Также в данной статье предусмотрено наказание для государственных служащих в виде отстранения от должности или запрета на работу сроком до 3-х лет.
-
Статья 13.12. КоАП РФ. Пункт закона, в котором прописан размер штрафа за несоблюдение инструкций, касающихся охраны личной информации. Итак, физ. лицам придется заплатить от 500 до 1 000 рублей, госслужащим – от 1 000 до 2 000 рублей, юр. лицам – от 10 000 до 15 000 рублей.
-
Статья 13.14. КоАП РФ. Статья предусматривает наказание в виде наложения штрафа за обнародование персональной информации клиентов и пользователей: физическим лицам придется заплатить в казну от 500 до 1 000 рублей, госслужащим – от 4 000 до 5 000 рублей. Помимо материальной ответственности нарушителям может грозить блокировка веб-ресурса, с целью пресечения дальнейшего нарушения законодательства.
-
Статья 137. УК РФ. В статье оговаривается, что за посягательство на неприкосновенность личной жизни предусмотрен либо денежный штраф от 200 000 рублей, также сумма штрафа может определяться размером зарплаты работника или другого дохода, полученного в течение 18-ти месяцев, либо принудительные отработки на срок до 360 часов, либо исправительными работами - до 1-го года, либо отстранение от занимаемой должности и запретом на схожую деятельность до 3-х лет, либо лишение свободы – от 4-х месяцев до 2-х лет.
-
Статья 140. УК РФ. Данная статья предусматривает наложение штрафных санкций либо отстранение от занимаемой должности за нежелание и отказ в предоставлении гражданам информации. Сумма штрафа начинается от 200 000 рублей, также возможно взимание штрафа в размере зарплаты либо иного дохода, получаемого нарушителем в течение 18-ти месяцев. Возможно наказание и в виде отстранения от занимаемой должности и запрета на занятие подобной деятельностью до 5-ти лет.
Законодательная деятельность не прекращается в этом направлении, законы регулярно обновляются и дополняются. К примеру, в начале текущего года Государственная дума внесла на рассмотрение и приняла проект закона, в котором предполагается увеличение штрафной суммы до 300 000 рублей за несоблюдение правил и требований при обработке поступающих данных от населения. Как видим, любая ошибка, причем абсолютно неважно совершенная она преднамеренно либо по невнимательности, может привести к очень даже серьезным финансовым убыткам.
Подводя итоги, можно сделать вывод, что работа в сфере сбора и обработки персональных данных очень ответственный вид деятельности. Руководителям компаний-операторов и их подчиненным необходимо постоянное совершенствование в этой области, а для этого приходится регулярно отслеживать изменения в нормативно-правовой сфере и без промедления применять все нововведения на практике.
Комментариев пока нет