Сильно вырастут штрафы за нарушения при обработке персональных данных

Что такое персональные данные?

Практически все работодатели имеют дело с персональными данными. Однако, что такое персональные данные, знает не каждый. Как следует из п. 1 ст. 3 Закона о ПД, под ПД понимается любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу – субъекту персональных данных.

Персональные данные входят в Перечень конфиденциальности, согласно которому это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением данных, подлежащих распространению в СМИ в случаях, установленных законом.

Персональные данные, с которыми чаще всего имеют дело кадровые службы или бухгалтерия, – это фамилия, имя, отчество, год, месяц, дата и место рождения; адрес, номер телефона, семейное, социальное, имущественное положение; образование, профессия, должность, доходы субъекта.

Обработка персональных данных (далее – обработка) включает любое действие с ними: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона о ПД). Лицо, осуществляющее такую обработку, называется оператором.

Некоторые работодатели полагают, что персональные данные фигурируют, только если организация формирует клиентскую базу. Однако это не так. Даже если организация имеет дело лишь с персональными данными своих сотрудников, она является оператором.

К сведению:

Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и Разъяснением Роскомнадзора.

Следует помнить, что только информация, позволяющая идентифицировать определенное физическое лицо, считается персональными данными. Например, имя и фамилия человека могут быть персональными данными, когда они привязаны к конкретному субъекту (допустим, в виде подписи под его фотографией: Сидоров Иван Петрович), но без такой привязки они персональными данными не являются (как в перечне имен и фамилий без указания места работы, адреса и других дополнительных сведений: мало ли на свете Сидоровых Иванов Петровичей). Другая распространенная ситуация – звонок на мобильный и обращение по имени и отчеству («Здравствуйте, Иван Петрович, Вас беспокоят из такой-то организации…») – это обработка персональных данных, а именно их использование, а аналогичный звонок и безликое обращение («Здравствуйте, Вас беспокоят из такой-то организации…») под категорию обработки ПД не подпадают.

Перечень санкций за нарушения при обработке ПД для должностных лиц и организаций.

Часть ст. 13.11 КоАП РФ

Нарушение

Санкции

1

а) обработка ПД в случаях, не предусмотренных Законом о ПД (например, без согласия на их обработку);

б) обработка ПД в целях, несовместимых с заявленными (например, рассылка спама получателям интернет-услуг по указанному при регистрации адресу)

Предупреждение или штраф:

– должностному лицу – от 5 тыс. до 10 тыс. руб.;

– организации – от 30 тыс. до 50 тыс. руб.

2

а) обработка ПД без письменного согласия лица, когда такое согласие необходимо (например, при внесении в информационную базу сведений о здоровье пациента);

б) нарушение требований закона к составу сведений, которые нужно включить в согласие субъекта на обработку ПД (например, информирование о третьих лицах, которым открыт доступ к ПД)

Штраф:

– должностному лицу – от 10 тыс. до 20 тыс. руб.;

– организации – от 15 тыс. до 75 тыс. руб.

3

Невыполнение требования об обеспечении неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД (например, отсутствие документов на официальном сайте)

Предупреждение или штраф:

– должностному лицу – от 3 тыс. до 6 тыс. руб.;

– организации – от 15 тыс. до 30 тыс. руб.

4

Непредоставление субъекту информации, касающейся обработки его ПД

Предупреждение или штраф:

– гражданам – от 1 тыс. до 2 тыс. руб.;

– должностному лицу – от 4 тыс. до 6 тыс. руб.;

– предпринимателю – от 10 тыс. до 15 тыс. руб.;

– организации – от 20 тыс. до 40 тыс. руб.

5

Невыполнение в срок требования об уточнении ПД, их блокировании или уничтожении

Предупреждение или штраф:

– должностному лицу – от 4 тыс. до 10 тыс. руб.;

– организации – от 25 тыс. до 45 тыс. руб.

6

Необеспечение условий, необходимых, чтобы:

– сохранить ПД при хранении материальных носителей;

– исключить несанкционированный доступ к ним

Штраф:

– должностному лицу – от 4 тыс. до 10 тыс. руб.;

– организации – от 25 тыс. до 50 тыс. руб.

7

Невыполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных

Предупреждение или штраф должностному лицу – от 3 тыс. до 6 тыс. руб.

Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Перечень сведений конфиденциального характера, утв. Указом Президента РФ от 06.03.1997 № 188.

Разъяснение Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Часть 8 ст. 14 Закона о ПД.

Правила рассмотрения запросов субъектов персональных данных или их представителей в частности, разработаны для Минфина (утв. Приказом Минфина РФ от 08.09.2014 № 91н), для Росстата (утв. Приказом Росстата от 05.09.2016 № 478), для Роспотребнадзора (утв. Приказом Роспотребнадзора от 23.12.2013 № 964).

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 № 1119.

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687.

Требования и методы по обезличиванию персональных данных, утв. Приказом Роскомнадзора от 05.09.2013 № 996.

Ф. С. Кузнецов,

эксперт журнала «Руководитель бюджетной организации»  № 7, июль, 2017 года

Примеры нарушений обработки ПДю

На примерах судебных решений рассмотрим случаи обработки ПД, содержащие состав нарушений, предусмотренных новой редакцией ст. 13.11 КоАП РФ.

Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016: адвокат в рамках оказания юридических услуг, позвонил со своего телефонного номера в банк для получения информации по задолженности клиента, с которым был заключен договор. Впоследствии представители банка стали регулярно звонить адвокату по вопросу погашения задолженности, не реагируя на требования уничтожить его персональные данные. Суд первой инстанции, куда обратился адвокат с требованием об уничтожении персональных данных и взыскании компенсации морального вреда, счел действия представителей банка неправомерными. Апелляционный суд поддержал этот вывод.

Напомним, что использование ПД, в том числе с целью совершения адресных звонков абоненту, является одним из видов обработки ПД. Данная обработка производилась без согласия субъекта: это случай, не предусмотренный Законом о ПД (санкции по п. 1 ст. 13.11 КоАП РФ – штраф для должностного лица до 10 тыс. руб., для банка до 50 тыс. руб.).

Банк посчитал: поскольку персональные данные адвоката (в том числе номер его телефона) размещены в открытом доступе, то есть в Интернете, согласие на их обработку не требуется. Суд указал, что телефонный номер адвоката был размещен в Сети в целях оказания юридических услуг, в то время как банк воспользовался его персональными данными с другой целью, а именно с целью доведения до заемщика через адвоката информации в связи с задолженностью по кредиту, – санкции по п. 1 ст. 13.11 КоАП РФ.

Мы видим другое нарушение: в силу ч. 1 ст. 14 Закона о ПД субъект вправе требовать от оператора уничтожения его персональных данных в случае, если персональные данные являются незаконно полученными, а также принимать предусмотренные законом меры по защите своих прав. Банк не отреагировал на требование адвоката и продолжал использовать персональные данные субъекта, что может быть расценено как нарушение п. 5 ст. 13.11 КоАП РФ (штраф для должностного лица до 10 тыс. руб., для организации – до 45 тыс. руб.).

Постановление Волгоградского областного суда от 15.04.2011 по делу № 7а-391/11: при проверке колледжа прокуратурой было выявлено, что в организации отсутствуют документы об установлении мест хранения персональных данных, перечня мер, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним, не определен круг лиц, ответственных за реализацию вышеуказанных мер. Должностное лицо было оштрафовано на 500 руб. по ст. 13.11 КоАП РФ. По новым нормам это нарушение п. 6 ст. 13.11 КоАП РФ, предусматривающее штраф для должностных лиц до 10 тыс. руб., для организаций – до 50 тыс. руб.

Оформление пропуска по паспорту – только с согласия его владельца

Отключить

В соответствии с ч. 1 ст. 11 Закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

Исключением являются случаи, предусмотренные ч. 2 данной статьи: связанные с осуществлением правосудия и исполнением судебных актов, предусмотренные законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательстве, о порядке выезда из страны и въезда в нее.

В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Закона «О персональных данных» не регулируются. Соответственно, обработка сведений в данных случаях осуществляется согласно общим требованиям, установленным данным законом.

Отключить

Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.

РАЗЪЯСНЕНИЯ Роскомнадзора«О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»

Документ включен в СПС «Консультант Плюс»

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделитесь с друзьями:
Знаток права
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.