Регистрация оператора персональных данных

   Персональные данные и тонкости их обработки

   Законодательное регулирование в области сбора и обработки личной информации граждан начало зарождаться в 2006 году, и по сей день крупные предприятия и мелкие фирмы сталкиваются с большим количеством вопросов и разногласий, а некоторые простые граждане и вовсе не имеют никакого представления, что такое персональные данные и как их обрабатывают. Во избежание проблем, разногласий, а в последующем, и штрафных санкций, попробуем сориентироваться во всех важных аспектах.

   Персональные данные: определение и примеры

   Персональные данные (сокращенно и дальше по тексту ПД) – это абсолютно любой вид личных сведений, данных и описаний, относящихся прямо или косвенно к определенному или определяемому физ. лицу, или как еще называют - субъекту персональных данных.

   Прочитав и проанализировав определение, делаем вывод, что если, объединив всю имеющуюся информацию, нам становится отчетливо понятно о ком идет речь, то такие сведения и называют персональными.

   Ознакомимся с примерами для ясности:

• Алексеев Алексей Алексеевич, паспорт серии 10 10 номер 101010— это прямо определенное физическое лицо.

   Александров Александр Александрович, отец Александры Александровой из школы № 1— это непрямо определенное физическое лицо.

   Директор АО «Лидер», личный контактный телефон +7(000) 111-11-11— это определяемое физическое лицо.

 Блондин Евгений— лицо не определено, и не может быть идентифицировано.

   Рассмотрев приведенные примеры, можно сделать вывод, что отдельно взятое имя, вырванное из контекста, к персональным сведениям не имеет никакого отношения, но если к имени добавить идентифицирующую и в обязательном порядке достоверную информацию (фамилию, паспортные данные, контакты, место регистрации), то мы получим персональные данные отдельно взятого интересующего нас физического лица.

   Перечня, что причисляется к персональным данным, не существует, но, за основу принято использовать такие сведения:

• фамилия,
• имя,
• отчество,
• адрес проживания,
• адрес электронной почты,
• контактный телефон,
• дата рождения,
• место рождения,
• национальная принадлежность,
• религиозные убеждения,
• место работы,
• занимаемая должность,
• рост и вес.

 Важно: Окончательного и постоянного списка персональных данных нет, ввиду невозможности перечислить абсолютно все данные. В каждом случае вопросы, связанные с принадлежностью информации к реальным личным сведениям отдельно взятого гражданина рассматриваются в индивидуальном порядке.

Оператор персональных данных: кто это такой?

   Оператором ПД могут являться госструктуры либо муниципальные органы, юридические либо физические лица, так же оператором может выступать как одно конкретное лицо, так и группа лиц.

   Фактически все относятся к операторам персональных данных, и даже Вы. Ваш телефонный номер, адрес электронной почты, записная, телефонная и адресная книжки – это все источники персональных данных.

   Давайте разберемся, нужно ли что-то делать с этими данными обычному человеку. Основываясь на законодательный акт «О персональных данных», совершенно ничего не нужно делать в таких случаях:

1. Обработка и использование ПД приводят к несоблюдению прав и свобод субъектов персональных данных, даже если информация необходима исключительно для узкого круга, например семейного.

2. Обработка индивидуальных данных осуществляется при работе с документацией, в том числе секретной, Архивного фонда или судебных инстанций РФ.

3. Информация с личными данными причисляется к гос. тайне и не подлежит опубликованию и распространению.

   Считается, что нет важной необходимости что-то предпринимать, если:

1. ПД прежде всего обрабатываются с целью соблюдения обязательств по Трудовому кодексу.

2. Персональные данные предоставляются с целью соблюдения договорных обязательств, когда вторая сторона договора является субъектом персональных данных.

3. Обрабатывается информация об участниках внутри общественной либо религиозной организацией.

4. Субъект персональных данных самостоятельно обнародовал свои данные.

5. Общедоступные персональные данные состоят из ФИО, а какая-либо другая информация отсутствует либо является недостоверной.

6. Персональные сведения предоставляются для создания и выдачи временного пропуска.

7. Обрабатываются ПД, введенные в информсистемы индивидуальных данных, находящихся согласно федеральным законам в статусе информационных гос. систем, а кроме того в гос. системы персональных данных, созданных для охраны страны и ее интересов.

8. Процессинг персональных данных осуществляется без применения средств автоматизации, таких как компьютеры, планшеты и др.

9. Информации о гражданах-субъектах предоставляется и прорабатывается в целях обеспечения дорожно-транспортной безопасности.

   Важно: Как показывает практика, существует большое количество важных моментов и исключений при проработке личной информации без уведомления компетентных органов, с которыми в обязательном порядке необходимо считаться. Именно поэтому не стоит полностью полагаться на данную статью, а рекомендуется действовать по ситуации в каждом отдельно взятом случае. Каждое решение необходимо перепроверять, ссылаясь на государственные и федеральные законодательные акты.

   Теперь разберем самое важное, когда же все-таки неукоснительно необходимо соблюдать все предписания законодательных актов:

1. На Вашем личном веб-сайте проводится регистрация пользователей, даже если для регистрации достаточно ввести Имя пользователя и адрес его электронной почты:

• тематические форумы;
• соцсети;
• новостные и обозревательные веб-ресурсы;
• интернет-магазины;
• личные блоги;
• веб-сервисы объявлений.

2. На Вашем электронном ресурсе есть возможность вносить в специально созданные формы-анкеты для пользователей или подписчиков, которые размещаются на веб-площадке либо рассылаются по электронной почте. Это касается тех сайтов, на которых доступны функции обратного звонка, быстрого заказа либо подписки на новостную рассылку.

3. На Вашем веб-ресурсе уже имеются актуальные ПД пользователей.

4. Ваша организация по роду своей деятельности регулярно обрабатывает персональные данные клиентов. К таким организациям относятся:

• юр. фирмы и нотариальные конторы;
• фирмы, осуществляющие регистрацию, перерегистрацию, ликвидацию юридических лиц и индивидуальных предпринимателей;
• юр. лица, исполняющие функции по ведению реестра владельцев именных ценных бумаг;
• аудиторские фирмы;
• банковские учреждения;
• учреждение здравоохранения;
• компании, которые выпускают клубные, дисконтные и накопительные карты, например, салоны красоты, спортивные клубы, сетевые магазины, кафе и рестораны, и др.;
• общеобразовательные частные и госучреждения, высшие учебные заведения, центры переподготовки специалистов, центры повышения квалификации, а также организации, которые проводят курсы, тренинги, факультативы, семинары.
• товарищества и департаменты в сфере жилищно-коммунального хозяйства;
• туристические агентства.

5. Ваша фирма привлекает к работе фрилансеров для удаленной работы по контракту.

6. Ваша компания применяет CRM-системы для работы с клиентскими сведениями.

   Таким образом, очень важно сопоставлять работу своей компании с нормативно-правовыми документами, особенно во всех схожих с вышеописанными видами деятельности, если нет каких-либо других исключений.

   Алгоритм действий при обработке персональных данных

   В случае если по роду деятельности вашей организации Вы должны обрабатывать персональные данные, то необходимо подготовить всю документацию, перечень которой утвержден законодательно.

   Список документов, которые должны быть составлены юридически верно, включает в себя:

• Приказ о формировании комиссии отвечающей за соблюдение законодательно утвержденных требований при обработке ПД.

• План запланированных дел по согласованию законодательных требований в области персональных данных.

• Список официально утвержденных работников, участвующих в процессинге ПД.

• Утвержденная форма с указанием обязательств и должностных инструкций о неразглашении персональной информации клиентов.

• Утвержденный образец Соглашения о конфиденциальности и не разглашении, полученных для обработки данных.

• Список полученных достоверных персональных сведений клиентов для обработки.

• Утвержденная форма документа о добровольном согласии на обработку ПД.

• Утвержденная форма согласия на предоставление и обработку личных данных для конкретного веб-ресурса.

• Список используемых в работе компьютеризованных информационных систем и программ для обработки данных.

• Список внедренных программ и технологий для охраны личных данных пользователей.

• Подробный отчет о расположении офиса, оснащенного всем необходимым для обработки ПД.

• Техпаспорт на используемые в работе с персональной базой данных информационные технологии, системы и программы.

• Приказ об окончательном утверждении ответственных лиц за обработку ПД, а также их защиту и безопасность.

• Свод обязанностей и правил касающийся курирующей деятельности ответственного лица, как правило, администратора.

• Руководство по работе для менеджера обработки ПД.

• Должностной регламент по обработке персональных данных клиентов и пользователей.

• Разъяснения политика фирмы или веб-ресурса по отношению к обработке ПД своих клиентов.

• Утвержденный регламент о гарантировании защиты и безопасности персональных данных.

• Письмо-уведомление об обработке персональных данных клиента.

• Официальное распоряжение об утверждении Инструкции для клиентов организации или веб-площадки, касающейся предоставления личных данных.

• Предписания по оформлению, регистрации, содержания и ликвидации всех видов носителей ПД.

• Распоряжение, касающееся определенного круга лиц, имеющих доступ к персональной базе данных клиентов.

• Распоряжения и порядок действий в ситуациях, когда поступают запросы от физических лиц.

• Инструкция по взаимному сотрудничеству с госслужбами, координирующими работу по обработке информации о гражданах.

• Разъяснения, касающиеся обязательного резервного копирования ПД.

• Распоряжения относительно проведения контролирующих мероприятий в области информационной безопасности.

   Также, если ваша фирма вынуждена обрабатывать персональные данные клиентов, то об этом понадобится поставить в известность ответственную службу - Роскомнадзор. Сразу после рассмотрения полученного уведомления от оператора ПД, Федеральная служба должна занести Вашу компанию в государственный Реестр операторов персональных данных. Пренебрежение этим правилом и несвоевременное уведомление о старте работы по обработке персональных данных грозит нарушителям штрафами.

   Компания-оператор вынуждена следить за законодательным процессом в сфере обработки ПД, своевременно выявлять изменения в законодательных документах и применять новые правила в своей работе. Это связано с тем, что фирме-оператору регулярно необходимо отсылать в Роскомнадзор обновленные отчеты с персональными данными своих клиентов. Каждое новое уведомление должно соответствовать недавно принятым законодательным актам, поскольку незнание как всегда не освобождает от ответственности.

   Возможные последствия за несоблюдение законов о персональных данных

   Следует предупредить, что Роскомнадзор не так уж и редко осуществляет инспекции среди зарегистрированных компаний-операторов. Так же ожидать проверок стоит не только внесенным в госреестр операторам, но и тем, кто даже теоретически может собирать персональную информацию. Каким образом Федеральная служба выявляет потенциальных операторов, они, понятное дело, не разглашают.

   Однако каждый может ознакомиться с планом предстоящих инспекций, к счастью данная информация представлена для всеобщего доступа на официальном веб-ресурсе. Исключением служат ситуации, когда в Роскомнадзор поступают жалобы, чаще всего они не имеют под собой оснований, но абсолютно каждый сигнал от потребителей является поводом для внеочередной и незапланированной проверки.

   В случаях, когда по результатам проверки Роскомнадзору становится очевидным, что компания-оператор совершает ошибки и нарушает законодательство, то руководству и работникам организации не избежать административной ответственности. Как правило, штрафы небольшие, но как показывает практика, выявляются сразу несколько нарушений, и тогда общая сумма может достигать порядка 100 тысяч рублей.

   Рассмотри подробнее статьи, за нарушение которых оператору грозит административное либо уголовное наказание:

1. Статья 13.11. КоАП РФ. В статье оговариваются процедуры получения, содержания, пользования и передачи ПД. За игнорирование закона предусмотрено штрафование физических лиц в размере от 300 до 500 рублей, госслужащих - от 500 до 1 000 рублей; юридических лиц - от 5 000 до 10 000 рублей.

2. Статья 5.27. КоАП РФ. Данный пункт закона предупреждает об ответственности за пренебрежение трудового законодательства, а также схожих законодательных постановлений, в которых отражены нормы трудового права.Законом предусмотрено за единоразовое нарушение штрафование госслужащих - от 1 000 до 5 000 рублей, индивидуальных предпринимателей - от 1 000 до 5 000 рублей, юридических лиц - от 30 000 до 50 000 рублей; при повторных нарушениях придется заплатить госслужащим - от 10 000 до 20 000 рублей, индивидуальным предпринимателям - от 10 000 до 20 000 рублей, юридических лицам - от 50 000 до 70 000 рублей.

3. Статья 19.5.КоАП РФ. Пункт статьи, который четко разъясняет какой размер штрафа придется оплатить за неисполнение в отведенный период законного распоряжения или постановления, выданного штрафнику по результатам проверки контролирующим госорганом: физических лицам - от 300 до 500 рублей, госслужащим - от 1 000 до 2 000 рублей; юридическим лицам - от 10 000 до 20 000 рублей. Также в данной статье предусмотрено наказание для государственных служащих в виде отстранения от должности или запрета на работу сроком до 3-х лет.

4.    Статья 13.12. КоАП РФ. Пункт закона, в котором прописан размер штрафа за несоблюдение инструкций, касающихся охраны личной информации. Итак, физ. лицам придется заплатить от 500 до 1 000 рублей, госслужащим – от 1 000 до 2 000 рублей, юр. лицам – от 10 000 до 15 000 рублей.

5. Статья 13.14. КоАП РФ. Статья предусматривает наказание в виде наложения штрафа за обнародование персональной информации клиентов и пользователей: физическим лицам придется заплатить в казну от 500 до 1 000 рублей, госслужащим – от 4 000 до 5 000 рублей. Помимо материальной ответственности нарушителям может грозить блокировка веб-ресурса, с целью пресечения дальнейшего нарушения законодательства.

6. Статья 137. УК РФ. В статье оговаривается, что за посягательство на неприкосновенность личной жизни предусмотрен либо денежный штраф от 200 000 рублей, также сумма штрафа может определяться размером зарплаты работника или другого дохода, полученного в течение 18-ти месяцев, либо принудительные отработки на срок до 360 часов, либо исправительными работами - до 1-го года, либо отстранение от занимаемой должности и запретом на схожую деятельность до 3-х лет, либо лишение свободы – от 4-х месяцев до 2-х лет.

7. Статья 140. УК РФ. Данная статья предусматривает наложение штрафных санкций либо отстранение от занимаемой должности за нежелание и отказ в предоставлении гражданам информации. Сумма штрафа начинается от 200 000 рублей, также возможно взимание штрафа в размере зарплаты либо иного дохода, получаемого нарушителем в течение 18-ти месяцев. Возможно наказание и в виде отстранения от занимаемой должности и запрета на занятие подобной деятельностью до 5-ти лет.

   Законодательная деятельность не прекращается в этом направлении, законы регулярно обновляются и дополняются. К примеру, в начале текущего года Государственная дума внесла на рассмотрение и приняла проект закона, в котором предполагается увеличение штрафной суммы до 300 000 рублей за несоблюдение правил и требований при обработке поступающих данных от населения. Как видим, любая ошибка, причем абсолютно неважно совершенная она преднамеренно либо по невнимательности, может привести к очень даже серьезным финансовым убыткам.

   Подводя итоги, можно сделать вывод, что работа в сфере сбора и обработки персональных данных очень ответственный вид деятельности. Руководителям компаний-операторов и их подчиненным необходимо постоянное совершенствование в этой области, а для этого приходится регулярно отслеживать изменения в нормативно-правовой сфере и без промедления применять все нововведения на практике.