С 1 июля 2017 года вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят семь новых составов правонарушений.

1

Что и кому грозит за нарушения в сфере персональных данных.

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по статье 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тыс. рублей, а для компании до 10 тыс. рублей.

С 1 июля 2017 года вступает в силу закон № 13-ФЗ, который усиливает ответственность. Поправки вводят дополнительные составы правонарушений в статью 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

- обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ), — штраф от 30 до 50 тыс. рублей;

- обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ), — штраф от 15 до 70 тыс. рублей;

- неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ), — штраф от 15 до 30 тыс. рублей.

Работника могут привлечь к административной ответственности за те же нарушения. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ), дисциплинарную (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании на основании локальных нормативных актов.

2

Какая информация относится к персональным данным.

Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

Обрабатываемые персональные данные обычно включают в себя следующие сведения о лице:

- фамилия, имя, отчество, год, месяц, дата и место рождения;

- адрес, семейное, социальное, имущественное положение;

- образование, профессия, должность, доходы;

- биометрические персональные данные.

А также, судами признаны как персональные данные:

- сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);

- номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015);

- фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).

3

Что входит в обработку.

Обработка персональных данных — это любое действие с персональными данными. Она включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 закона № 152-ФЗ). Фактически персональные данные обрабатывает любая компания.

Дополнительные условия для обработки персональных данных соискателей и работников установлены гл.14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

4

Когда нужно уведомлять Роскомнадзор.

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 закона № 152-ФЗ). Оператор до начала обработки обязан направить уведомление в Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ).

Направлять его не требуется, если компания обрабатывает персональные данные, в частности:

- только своих работников;

- для целей заключения и исполнения договоров (например, персональные данные контрагентов);

- без использования средств автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).

Если компания не подпадает под исключения, которые указаны в законе № 152-ФЗ, составьте уведомление по официальной форме (Приложение № 2 к адм. регламенту, утв. приказом Минкомсвязи России от 21.12.11 № 346), то направьте его в территориальный орган Роскомнадзора по месту регистрации компании.

Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru). Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства.

5

Как правильно собирать персональные данные.

Чтобы собирать персональные данные, нужно получить согласие их владельца — субъекта персональных данных (подп. 1 п. 1 ст. 6 закона № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Это значит, что перечень оснований для обработки должен быть указан в согласии как можно более конкретно, содержать срок обработки и порядок отзыва согласия.

Письменное согласие субъекта нужно для обработки специальных категорий персональных данных. Его можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения. Например, заполнить анкету на сайте.

Получать согласие на обработку в типовой форме договора рискованно. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие — например, сделать отметку о согласии на обработку или отказе (постановления АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае спора именно оператор обязан доказать, что получил согласие на обработку. Поэтому заранее определите, какой тип персональных данных обрабатывает Ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент — субъект всегда вправе отозвать согласие (п. 2 ст. 9 закона № 152-ФЗ). В этом случае компания обязана прекратить обработку.

6

Как получить согласие у работников.

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных (п. 8 ст. 86 ТК РФ). Порядок можно прописать в трудовом договоре, правилах внутреннего трудового распорядка или других локальных актах. Ознакомление работников с этими документами нужно отдельно фиксировать — например, в специальном журнале.

Согласие работника на обработку персональных данных не нужно в следующих случаях:

- обработки персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;

- получения запросов от прокуратуры, правоохранительных органов, ГИТ;

- если обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;

- если обработка связана с выполнением работником его трудовых обязанностей, в том числе при отправлении его в командировки.

7

Как обезопасить персональные данные.

Меры безопасности зависят от способа обработки данных. Если компания ведет автоматизированную обработку, на нее распространяются Требования, утвержденные постановлением Правительства РФ от 01.11.12 № 1119, и приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку, его можно не учитывать (подп. 10 п. 1 ст. 6, подп. 2 п. 2 ст. 10 закона № 152-ФЗ).

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 закона № 152-ФЗ и п. 13–15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687).

- определить во внутренних документах перечень лиц, которые обрабатывают данные или имеют к ним доступ.

- раздельно хранить носители данных, которые обрабатываются в разных целях (например, персональные данные работников и клиентов).