
Какая информация является персональными данными?
Персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Список такой информации определен в Указе Президента РФ от 06.03.97 № 188. Это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:
— образование, профессия, должность, доходы;
— фамилия, имя, отчество, год, месяц, дата и место рождения;
— адрес, семейное, социальное, имущественное положение;
— биометрические персональные данные.
Что входит в обработку персональных данных?
Обработка персональных данных — это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ( пункт 3 статьи закона № 152-ФЗ). Например, компания обрабатывает персональные данные, если собирает анкеты клиентов, ведет и хранит клиентскую базу, передает контакты клиентов в колл-центр, фиксирует паспортные данные посетителей офиса и т. д. Фактически персональные данные обрабатывает любая компания.
Когда нужно уведомлять Роскомнадзор?
Если компания обрабатывает персональные данные, она является оператором (пункт 2 статьи 3 закона 152-ФЗ). Оператор до начала обработки обязан направить уведомление в Роскомнадзор (пункт 1 статьи 22 закона № 152-ФЗ). Направлять его не требуется, если компания обрабатывает персональные данные, в частности:
— только своих работников;
— для целей заключения и исполнения договоров (например, персональные данные контрагентов);
— без использования средств автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).
Проверьте, подпадает ли компания под исключения, которые указаны в законе № 152-ФЗ. Если нет, составьте уведомление по официальной форме. Направьте его в территориальный орган Роскомнадзора по месту регистрации компании.
Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru). Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства.
Как получить согласие у работников?
Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных (п. 8 ст. 86 ТК РФ). Порядок можно прописать в трудовом договоре, правилах внутреннего трудового распорядка или других локальных актах. Ознакомление работников с этими документами нужно отдельно фиксировать — например, в специальном журнале.
Согласие работника на обработку персональных данных не нужно, в частности, в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…«):
— обработки персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
— получения запросов от прокуратуры, правоохранительных органов, ГИТ;
— если обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
— если обработка связана с выполнением работником его трудовых обязанностей, в том числе при отправлении его в командировки.
Как обеспечить безопасность персональных данных?
Персональные данные — это конфиденциальные сведения (статья 7 закона 7 № 152ФЗ). Поэтому оператор обязан обеспечить их безопасность. Меры безопасности зависят от способа обработки данных. Если компания ведет автоматизированную обработку, на нее распространяются Требования, утвержденные постановлением Правительства РФ от 01.11.12 № 1119. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.
Что и кому грозит за нарушения в сфере персональных данных?
За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по статье 13.111 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тыс. рублей, а для компании до 10 тыс. рублей.
С 1 июля 2017 года вступает в силу закон № 13-ФЗ, который усиливает ответственность. Поправки вводят дополнительные составы правонарушений в статью 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:
— обработку персональных данных в случаях, не предусмотренных законом, — штраф от 30 до 50 тыс. рублей;
— обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие, — штраф от 15 до 70 тыс. рублей;
— неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом, — штраф от 15 до 30 тыс. рублей.
Работника могут привлечь к административной ответственности за те же нарушения. Дополнительно он несет материальную, дисциплинарную и даже уголовную ответственность.
К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании на основании локальных нормативных актов.