Работая с персональными данными (ПД), необходимо строго соблюдать закон. Чтобы это сделать, компания должна утвердить у себя определенный регламент. Порядок его утверждения вызывает массу вопросов и сложностей. А нарушения в работе с ним могут повлечь штраф и другие неприятные последствия. С некоторыми из таких важных вопросов мы постараемся разобраться. Также расскажем, какое наказание может грозить виновнику за ошибки.
Над статьей работали:
Автор: Райс Валентин; редактор: Чапис Елена
Содержание:
- Утверждение положения о защите персональных данных: когда это обязательно
- Направления защиты персональных данных в организации
- Ответственность за разглашение персональных данных без согласия
Утверждение положения о защите персональных данных: когда это обязательно
Требования законодательства в области защиты регулирует Федеральный закон от 27.07.2006 № 152-ФЗ, который устанавливает правила, касающиеся всех физических лиц, включая работников, клиентов и других людей, чьи сведения обрабатываются.
Одно из требований — это принятие мер, направленных на защиту личных сведений субъектов. Под субъектами мы понимаем физлиц, чьи ПД подлежат обработке. Непосредственно обработкой занимается так называемый оператор. Это организация, госорган, юридическое или физическое лицо, которое что-либо делает с вашими личными сведениями (далее ЛС).
Среди мер, которые принимает оператор — это издание документов, касающихся обработки. Вот тут то мы и переходим к положению о защите. Для удобства мы будем его называть аббревиатурой ПЗПД. Мера же прописана в пункте 2 части 1 статьи 18.1 закона № 152-ФЗ. В тексте указанной нормы сказано, что оператор должен издать документы:
— определяющие политику по обработке ПД;
— локальные акты по вопросам обработки таких сведений.
Под локальным актом обычно понимается как раз ПЗПД. Вместе с тем норма не содержит обязательного требования иметь именно положение. Поэтому это может быть иной локальный акт, имеющий аналогичное содержание.
Таким образом, отвечая на вопрос, обязательный ли ПЗПД или нет, полагаю можно ответить так.
Если вы являетесь оператором ПД, документ именно с таким наименованием не обязателен. Однако документ с содержанием, указанным в пункте 2 части 1 статьи 18.1 закона № 152-ФЗ, быть обязан.
Вероятно, у вас мог возникнуть вопрос: зачем тогда политика по обработке? Постараюсь объяснить и его.
Дело в том, что закон действительно упомянул и политику (ПОПД), и локальные акты. Однако прямого требования иметь конкретно оба этих документа он не установил.
При этом на практике обычно создается именно два разных документа: положение и политика. Их легко спутать между собой, особенно если не понимать терминологию. Они действительно похожи и взаимосвязаны.
Бывает, что все содержится и в одном документе. Называть его могут по-разному: положение о политике, положение (политика) и тому подобное. Но, на мой взгляд, это не совсем корректно и не очень удобно. Ведь такие документы, очевидно, имеют различия. В частности:
— ПОПД (политика) имеет внешний характер. Она подлежит опубликованию, поэтому к ней есть неограниченный доступ. Чего не скажешь про положение, которое является ЛНА организации. Соответственно, это внутренний документ;
— правила по порядку принятия ПОПД не урегулированы. В частности, нет правил по согласованию этого документа, в то время как ПЗПД такое согласование требует, при наличии в компании профсоюза. Это следует из части 2 статьи 8, ст. 87, ч. 1 ст. 372 ТК РФ;
— есть также разница в требованиях к содержанию. В политике существуют только рекомендации Роскомнадзора к ее содержанию. По сути его определяет оператор. Во втором же случае содержание четко прослеживается в п. 2 ч. 1 ст. 18.1 закона;
— и последнее различие связано с порядком ознакомления работников. С ПОПД должны быть ознакомлены не все сотрудники, а только те, которые занимаются обработкой. В случае с ПЗПД все сотрудники должны быть ознакомлены под подпись.
В силу всего сказанного целесообразным видится изготовить два документа. Если вы собираетесь все-таки ограничиться одним, учтите следующее: обязательно включите в него требования закона, которые касаются обоих документов.
К политике мы еще вернемся в следующем разделе. Что можно добавить про ПЗПД: оно может применяться как в отношении сотрудников, так и иных физлиц.
Подробнее узнать про положение о защите ПД работников можно в статье: «Положение о защите персональных данных работников, образец 2024 года»
Направления защиты персональных данных в организации
Для того чтобы соблюсти закон, оператор должен предпринять все необходимые меры защиты. Вы вправе самостоятельно решить, как будете действовать. Тем не менее есть условия, которые обязательны к исполнению по закону, поэтому ими нельзя пренебречь. К примеру, вы обязаны назначить ответственное лицо.
Учесть нужно следующее:
— принимаемых мер должно быть достаточно для выполнения ваших обязанностей;
— нельзя допускать несанкционированный доступ к информации;
— нельзя допускать неправомерные действия с данными (уничтожение, копирование и прочее).
Об этом говорят часть 1 статьи 18.1, ч. 1 ст. 19 закона.
Меры защиты делятся на две категории:
— правовые. То есть оформление документов, обеспечивающих защиту ПД. К таким документам относятся:
• политика. К ней мы скоро вернемся;
• локальные акты. Они должны решать вопросы обработки и устранения нарушений и последствий. К этой категории относится положение о ПД;
• приказ о назначении ответственного лица. Таким лицом может быть любой сотрудник;
• приказ об утверждения перечня сотрудников с доступом, то есть непосредственно тех лиц, которые будут работать с ЛС;
• соглашение о конфиденциальности с лицами, имеющими доступ. То есть такие сотрудники соглашением подтверждают, что не будут разглашать ПД;
— технические и организационные (ч. 1 ст. 19 закона). Представляют собой определенные действия для обеспечения безопасности.
Порядок зависит от того, как хранятся данные, то есть в бумажном или в электронном виде.
Если хранятся в бумажном:
• нужно создать специальное помещение для хранения;
• организовать особый режим доступа в помещение;
• организовать охрану.
Руководствуйтесь Постановлением Правительства РФ от 15.09.2008 № 687, регулирующем порядок работы с ПД в условиях без использования средств автоматизации.
Если сведения хранятся в электронном виде:
• понадобится специалист в этой области. Требования сложные и зависят от вашей деятельности и сведений, которые вы обрабатываете. Меры утверждены приказами ФСТЭК России от 18.02.2013 № 21 и ФСБ России от 10.07.2014 № 378;
• нужно определить тип угрозы безопасности, подобрать к нему уровень защиты. Их четыре. От этих двух факторов зависит дальнейший комплекс мер.
В этом случае следует руководствоваться:
• Постановлением Правительства РФ от 01.11.2012 № 1119. Оно регулирует обработку в информационных системах.
• порядком взаимодействия, утвержденным Приказом ФСБ России от 13.02.2023 № 77. Связано это с тем, что операторы обязаны взаимодействовать с определенной госсистемой. Это требование предусмотрено ч. 12 ст. 19 закона.
Подробнее о политике. Данный документ является самым основным в области защиты ПД. В нем вы указываете:
— категории данных;
— цели;
— а также способы их обработки;
— в нем же прописывается регламент хранения и использования такой информации.
То есть данный документ показывает, как организация собирается использовать ваши данные. При его составлении рекомендуется учитывать требования Роскомнадзора. Однако структуру и содержание оператор вправе определить сам. Это следует из письма от 19.10.2021 № 08-71063.
Также ПОПД подлежит публикации, например, если вы собираете ЛС на каком-либо интернет-ресурсе, там же и публикуется политика. С ней имеет право ознакомиться любое лицо, сведения о котором подлежат обработке. Поэтому задача оператора — обеспечить неограниченный доступ к такой информации. Это может быть не только Интернет, но и, например, стенд с текстом политики.
Пункт 3 рекомендаций подразумевают несколько ключевых разделов. Кратко остановимся на каждом из них:
• Общие положения.
Тут вы прописываете основную функцию документа, то есть зачем вы его вообще создаете. Здесь же прописываете ключевые определения, такие как оператор, субъект и прочее. Также перечисляете права и обязанности сторон;
• Цели сбора ПД.
Цели должны быть конкретными, заранее определенными и законными. Обработка, несовместимая с целями сбора, недопустима. Цели могут иметь:
— правовой характер;
— фактический, исходя из деятельности;
— также цели могут брать начало в конкретных бизнес-процессах оператора.
• Правовые основания ОПД.
Казалось бы, таким основанием является закон № 152. Но это не так. Сам по себе федеральный закон таким основанием быть не может. Связано это с тем, что он регулирует иную область.
Правовое же основание определяют:
— ФЗ и принятые на их основе НПА, которые связаны с деятельностью оператора;
— уставные документы;
— договоры между сторонами;
— согласия на обработку ПД.
• Объем и категории обрабатываемых сведений и категории субъектов ПД.
Вы можете работать только с теми сведениями, которые соответствуют заявленным целям. То есть вы не можете использовать ту информацию, которая выходит за рамки целей.
В категории субъектов входят:
— сотрудники (действующие и прошлые);
— кандидаты на вакансии;
— родственники трудящихся лиц;
— физические лица — клиенты и контрагенты;
— представители и сотрудники клиентов (контрагентов), которые являются физлицами.
Оператор должен перечислить все обрабатываемые личные сведения. Делается это в рамках действующей категории и целей.
• Порядок и условия ОПД.
В данном разделе следует прописать:
— перечень действий, которые намерен совершить оператор с информацией;
— используемые способы работы с ЛС;
— сроки, в течение которых это будет происходить;
— условия передачи сведений третьим лицам, если такая передача планируется. Касается также трансграничной передачи, то есть когда информация передается за пределы РФ. Здесь же рекомендуется указать, кому передаются данные, в частности, наименование третьих лиц, их местонахождение, цели, объем, способы, иные условия.
В этом разделе также указывается возможность передачи ПД уполномоченным органам, таким как дознания, следствия и другие.
Также рекомендуется указать следующую информацию:
— соблюдение конфиденциальности в соответствии со ст. 7 закона;
— принятие необходимых мер согласно ч. 2 ст. 18.1, ч. 1 ст. 19 соответствующего ФЗ;
— условия прекращения работы с ЛС. Это может быть достижение целей, истечение срока согласия или отзыв, выявление неправомерной обработки;
— форма хранения информации должна позволять оставлять ее не более заявленных целей;
— сроки хранения информации;
— дата и основание, влекущее прекращение работы с ЛС;
— базы данных для хранения должны находиться исключительно на территории РФ;
— иные условия хранения, если не используются средства автоматизации.
• Актуализация, исправление и остальные действия, перечисленные в п. 3.6 рекомендаций.
При неточности или неправомерности сведения нужно актуализировать. Обработка в этой ситуации прекращается. Следует руководствоваться статьей 21 соответствующего ФЗ.
Если цели достигнуты или был совершен отзыв согласия, данные нужно уничтожить. Сделать это необходимо, если:
— другое не указано в договоре с субъектом;
— оператор не имеет право работать без согласия субъекта;
— иное не указано другим соглашением между сторонами.
Если субъект (его представитель) совершит запрос, оператор должен представить информацию. Это следует из положений ст. 20 закона. Пропишите здесь также, как нужно реагировать на запросы и обращения. Такие запросы (обращения) могут подавать в связи:
— с неточностью ПД;
— неправомерностью их обработки;
— с отзывом согласия и доступа.
Также можно прописать формы таких запросов и обращений.
Ответственность за разглашение персональных данных без согласия
За незаконную передачу данных владельца ПД третьим лицам предусматривается наказание. Оно может быть разным, в зависимости от вида нарушения. Расскажем подробнее о таких последствиях.
Административная ответственность. Наказание за нарушение законодательства в области ПД предусматривает статья 13.11. КоАП РФ. За отсутствие согласия (согласия с неполными сведениями) отвечает ч. 2 этой статьи.
Максимальный размер штрафа может доходить:
• до 300 тыс. рублей в отношении должностных лиц;
• до 700 тыс. рублей в отношении организации.
При повторном нарушении:
• 500 тыс. рублей — для должностных лиц;
• 1 млн рублей — для ИП;
• 1 500 000 рублей — для организации.
Учтите, что иногда согласие не требуется. В частности, оно не нужно в случаях, указанных в пп. 2—11 ч. 1 ст. 6 закона.
Уголовная ответственность. УК РФ не устанавливает конкретной нормы за нарушение правил обработки ПД. При этом по некоторых статьям вполне может образоваться состав преступления, в частности:
— статья 137 УК РФ. В первой ее части предусмотрено наказание за работу с данными без согласия. В случаях, когда это касается частной жизни (личная и семейная тайна).
Наказывается:
• штрафом до 200 тыс. рублей или в размере зарплаты (иного дохода) до 18 месяцев;
• либо работами сроком до 360 часов;
• исправительными работами до года;
• принудительными работами до двух лет с лишением должности (деятельности) до трех лет или без такого;
• арестом до 4 месяцев;
• лишением свободы до двух лет с лишением должности (деятельности) до трех лет;
— статья 272 УК РФ. Неправомерный доступ к компьютерной информации при условии, что произошло уничтожение, блокирование, изменение, копирование сведений.
Наказывается:
• штрафом до 200 тыс. рублей или в размере зарплаты (иного дохода) до 18 месяцев;
• либо исправительными работами до 1 года;
• ограничением свободы до двух лет;
• принудительными работами до двух лет;
• лишением свободы до двух лет.
— статья 140 УК РФ. Неправомерный отказ должностного лица в представлении материалов, затрагивающих права и свободы лица.
Наказывается:
• штрафом до 200 тыс. рублей или в размере зарплаты (иного дохода) до 18 месяцев;
• либо лишением права занимать должности (вести деятельность) сроком от двух до пяти лет.
Привлечь к уголовке могут исключительно физическое лицо. Однако это не означает, что организация освобождается от административной ответственности (ст. 19 УК РФ и ч. 3 ст. 2.1 КоАП РФ).
Вы можете оставить первый комментарий