- Как работать с персональными данными, чтобы избежать штрафов
- Зачем размещать на сайте политику конфиденциальности
- В каких документах с работником должна стоять отметка о согласии на обработку персональных данных
- Почему опасно игнорировать отказ клиента от получения рекламных сообщений
Ваша компания ведет работу с персональными данными: нанимает сотрудников, собирает информацию о клиентах, а на сайте есть форма обратной связи? Тогда у Вас проблемы. Для государства такая компания – оператор персональных данных, который несет ответственность за обеспечение законности их обработки. Пока что за нарушения грозит штраф до 10 тыс. руб., однако с 1 июля 2017 года он увеличивается в СЕМЬ раз. Другой повод для беспокойства: в статью 13.11 КоАП РФ введут новые основания для штрафа (Федеральный закон от 07.02.2017 №13-ФЗ). Например, невыполнение требований по обезличиванию, уничтожению персональных данных, игнорирование запроса субъекта, отсутствие политики конфиденциальности. Рассмотрим пять основных ошибок при работе с персональными данными, за которые грозят штрафы.
Ошибка №1. Работа с персональными данными через форму обратной связи без политики конфиденциальности
Специалисты Роскомнадзора обнаружили, что компания «ТГЮК» разместила на сайте форму обратной связи. При этом документ о политике конфиденциальности в отношении обработки персональных данных на сайте отсутствовал. Компанию оштрафовали на 1 тыс. руб. (ст. 13.11 КоАП РФ), и она обратилась в суд. По ее мнению, идентифицировать человека невозможно, поскольку форма содержала всего три элемента: имя, тема и текст сообщения. Причем графа «имя» для заполнения необязательна. Однако эти доводы суд не убедили, и штраф отменить не удалось (постановление Тамбовского областного суда от 04.10.2016 по делу №4А-288).
Как избежать штрафа. Размещение формы обратной связи на сайте расценивается как работа с персональными данными - сбор информации о гражданах. Значит, компания должна выполнить обязанности оператора персональных данных. А именно: уведомить Роскомнадзор о намерении собирать и обрабатывать персональные данные, получить согласие субъекта, разработать политику конфиденциальности и обеспечить неограниченный доступ к ней.
С 1 июля 2017 года отсутствие такой политики обойдется компании в 30 тыс. руб. При разработке формы обратной связи реализуйте функцию получения согласия на обработку персональных данных: поставить соответствующую отметку до отправки анкеты.
Ошибка №2. Передача личных сведений посторонним лицам
Гражданин задолжал банку по кредиту. Банк заключил агентский договор с коллекторской фирмой «Морган энд Стаут». По условиям договора банк передал персональные данные заемщика, и коллекторы начали звонить ему и его родным, требуя погасить долг. Однако согласие на обработку и передачу персональных данных третьим лицам должник не давал. Он потребовал прекратить незаконные действия и уничтожить личные сведения, но ничего не добился. Тогда гражданин обратился в суд и потребовал компенсировать моральный ущерб. Он заявил, что требования погасить долг поступали в грубой форме и ему пришлось переживать за жизнь и здоровье близких. Суд обязал коллекторов уничтожить персональные данные должника, признал действия банка незаконными и взыскал с обеих организаций компенсацию морального вреда (определение Ярославского областного суда от 05.03.2012 по делу №33-939/2012).
Как избежать штрафа. Передавать персональные данные можно только с согласия субъекта. Исключение: если компания продает долг по договору переуступки. В этом случае уже новый кредитор обязан уведомить владельца персональных данных о получении личной информации.
Ошибка №3. Обработка персональных данных работников без согласия
Во время внеплановой проверки компании контролеры Роскомнадзора обнаружили, что в листе кандидата на должность нет поля для отметки о согласии на обработку персональных данных. Генеральному Директору вынесли предупреждение, которое он решил обжаловать в суде. Руководитель пояснил, что на предприятии создана комиссия, ответственная за работу с персональными данными работников. Необходимые меры по соблюдению порядка сбора, хранения и использования персональных данных соблюдаются. Личные карточки работников заполняются в их присутствии. Кроме того, трудовой договор содержит положение о согласии работника на обработку персональных данных. Однако суд решил, что эти доводы не могут быть основанием для отмены административного наказания (постановление Самарского областного суда от 22.08.2016 №4а-907/2016).
Как избежать штрафа. В каждой типовой форме документов, которая предполагает включение персональных данных, должно быть поле для согласия на обработку. Поручите провести аудит кадровых документов и убедитесь, что они содержат соответствующую отметку.
Ошибка №4. Игнорирование отказа клиента от получения рекламных сообщений
Клиент Сбербанка отозвал свое согласие на обработку персональных данных через «Почту России». Однако примерно через месяц получил на телефон сообщение рекламного характера с предложением кредита. Клиент подал иск о незаконной работе с персональными данными. В суде банк упирал на то, что в сообщении содержалась не реклама, а индивидуальное предложение. Кроме того, в тексте не указывалась информация о клиенте, на основании которой можно идентифицировать конкретное лицо. Значит, персональные данные не использовались. Однако суд согласился с доводами клиента – банк знал его телефонный номер, фамилию, имя и отчество – и обязал ответчика выплатить 100 тыс. руб. в качестве компенсации морального вреда (определение Новосибирского областного суда от 02.04.2015 по делу №33-2662/2015).
Как избежать штрафа. Не игнорируйте обращения физических лиц – субъектов персональных данных: с 1 июля 2017 года за это нарушение оштрафуют на сумму до 40 тыс. руб.
Помимо отзыва согласия на обработку гражданин вправе получить информацию о лицах, имеющих доступ к его персональным данным, о целях, способах и сроках обработки, о том, какие именно сведения о нем хранятся. Определите сотрудника, который предоставляет информацию по запросам клиентов. Его контакты должны находиться в открытом доступе.
Ошибка №5. Работа с персональными данными без локализации
В ходе мониторинга нарушений в интернете специалисты Роскомнадзора выявили, что популярная деловая соцсеть LinkedIn не обеспечивает запись, систематизацию, накопление, хранение и извлечение персональных данных граждан России. Контролеры направили требование об устранении нарушений, однако компания его не исполнила. Она сослалась на то, что обработка и хранение данных производится за рубежом. Но суд отметил, что у сайта есть русскоязычная версия, он собирает личные данные граждан России, значит, обязан соблюдать требования российского законодательства. В результате деятельность интернет-ресурса признали незаконной, доступ к нему ограничили, а компанию внесли в реестр нарушителей прав субъектов персональных данных (определение Московского городского суда от 10.11.2016 по делу №33-38783/2016).
Как избежать штрафа. Оператор при сборе информации обязан обеспечить локализацию персональных данных граждан. Соответствующий закон вступил в силу еще 1 сентября 2015 года. Проведите инвентаризацию информационных систем/баз данных, определите их местонахождение и составьте список. Обязательное требование о локализации персональных данных распространяется на первичный сбор информации. Обработка и хранение данных может производиться за рубежом.
1. Федеральный закон от 07.02.2017 г. № 13-ФЗ. Новые принятые изменения в области персональных данных по ужесточению административной ответственности с 01.07.2017 г.?
2. На что будут обращать внимание инспекционные органы при проведении проверок?
3. Как подготовиться к проверке Роскомнадзора?
4. Виды ответственности за нарушение порядка работы с персональными данными, а также, за ее незаконное получение, использование и передачу: уголовная, административная, дисциплинарная.
5. Нормативно-правовая база, регламентирующая вопросы использования персональных данных в компании.
● Понятие персональных данных: специальные категории персональных данных.
● Понятия распространения и предоставления персональных данных.
● Принципы и условия обработки персональных данных.
● Понятие общедоступных сведений.
● Права и обязанности работодателя, как оператора персональных данных.
● Права соискателя и работника, как субъекта персональных данных.
● Понятие незаконного сбора информации. Возможности проверки сведений, предоставленных работником при приеме на работу.
6. Лица, осуществляющие обработку данных по поручению работодателя: понятие, обязанности, порядок организации работы
● Понятие лица, осуществляющего обработку по поручению работодателя.
● Определение перечня лиц с полным и ограниченным доступом к персональным данных.
● Принципы передачи персональных данных лицу, осуществляющему обработку данных по поручению работодателя.
● Порядок допуска и возложения ответственности на работников организации за сохранность персональных данных.
● Порядок приема персональных данных на этапе собеседования, приема на работу.
● Порядок допуска должностных лиц организации к персональным данным, хранящимся в автоматизированном виде.
● Порядок передачи персональных данных третьим лицам: получение письменного согласия, контроль за их целевым использованием.
● Порядок организации хранения персональных данных.
7. Оформления кадровых документов с учетом требований действующего законодательства по персональным данным без использования средств автоматизации
7.1 Уведомление об обработке персональных данных
● Возникновение обязанности по уведомлению у работодателя.
● Требования к содержанию и форме уведомления.
● Соблюдения сроков направления уведомления в уполномоченный орган.
7.2 Локальные нормативные акты работодателя
● Требования к содержанию и оформлению
● Определение перечня должностей, которым может быть установлен полный допуск.
● Определение функционала работников, требующих допуска к персональным данным.
● Определение и порядок составление перечня работников с ограниченным допуском.
7.3 Письменная форма согласия на обработку персональных данных
● Требования к оформлению письменной формы согласия на обработку персональных данных работника, соискателя, третьих лиц.
● Требования к содержанию и форме согласия.
● Типичные нарушения работодателя при оформлении письменных согласий на обработку персональных данных.
● Последствия некорректно указанных сроков и действий.
7.4 График отпусков, личная карточка Т-2, типовые формы документов (реестры, журналы, книги), анкеты.
7.5 Коллективные и индивидуальные формы кадровых документов.
8. Организация порядка пропуска на территорию: получения письменного согласия, ведение журнала, проход по территории
9. Порядок осуществления трансграничной передачи персональных данных
10. Порядок оформления уничтожения персональных данных, содержащихся в кадровых документах, после истечения срока окончания обработки персональных данных
11. Порядок проведения инспекционных проверок. Применение новых санкций за нарушение требований законодательства
● Порядок прохождения проверок от «А» до «Я» (сроки, перечень проверяемых документов, полномочия инспекторов и т.д.).
● Нарушения при проверках работы кадровой службы: поздравления с днем рождения, получение согласия с соискателей (порядок работы с резюме, анкетами и др.).
● Нарушения при проверке работы секретарей: формирование справочников, работа с почтой, предоставление информации по телефону и др.
● Нарушения, выявляемые при проверках работы с архивными документами и работы архива. Нарушения, выявляемые при проверках работы бухгалтерии: выдача заработной платы и расчетных листов.
● И другое.
Ответы на вопросы.
Андрей БерезовВ первой части мы разобрались, почему нужно озаботиться подготовкой к проверке РКН по выполнению законодательства о защите персональных данных прямо сейчас. Теперь, прежде чем мы перейдем к непосредственным шагам по подготовке, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.
В целом, проверки можно разделить на 2 вида: документарные и выездные. Сначала расскажу о документарных. Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления Роскомнадзора с каким-либо требованием. Если вы, например, не подавали уведомление о внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и является ли он арендуемым или собственным — да-да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД . Ну и, наконец, вас могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все. О документах, их составе и содержании я расскажу в следующих статьях.
Итак, вы получили такое письмо от Роскомнадзора, что делать?
На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не спустится и не забудут! Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у Роскомнадзора. Поэтому отвечать нужно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Просто зайдите на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». Скорее всего, добрая половина новостей будет о привлечении юридических лиц к ответственности по той самой статье 19.7 КоАП РФ. Причем в каждой новости может фигурировать до 10-15 организаций. Вот это и есть все те бедолаги, которые думали, что «проканает» не реагировать на письма. В принципе штраф небольшой — 3-5 тысяч рублей. Но если вы и готовы раскошелиться, то нужно помнить во-первых о репутационных рисках (про вашу организацию обязательно напишут в новостях сайта Роскомнадзора), во-вторых, о том, что после того как вы заплатите штраф, затребованные сведения все равно придется предоставить. Ниже привожу скриншот сайта Управления Роскомнадзора по Приморскому краю на момент написания этой статьи.
Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.
Из самого названия уже становится ясно, что проверяющие при таких проверках как минимум два-три раза окажутся на вашей территории. По личному опыту могу сказать, что процесс проверки выглядит примерно так:
- проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами;
- затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
- бегло ознакомившись с составом документов проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации (можно заранее подготовить) и удаляются с копиями в свои кабинеты изучать предоставленную вами информацию;
- в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
- в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнуть на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
- в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.
Здесь, пожалуй, стоит рассказать о том, что нужно помнить во время проведения выездной проверки.
Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки. Да, проверяющие тоже люди и тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае совсем недавно. Да, синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, а лучше будет вовсе проигнорировать. Почему? Читаем дальше.
Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, поскольку ничто нам не запрещает объединять информационные системы и описывать их так, как мы это сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла не совсем разумно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные замечания проверяющих.
В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.
Как я уже писал в одной из своих статей на Хабре , в некоторых регионах налицо введение палочной системы, то есть если к вам пришла проверка, то вас скорее всего накажут, найдут причину. Поэтому, возможно, в организации стоит заранее заготовить энную сумму на оплату штрафа или готовиться оспаривать правомерность предписания в суде. И, может быть, стоит намеренно оставить нарушение на самом видном месте, чтобы проверяющие не стали копать слишком глубоко Но справедливости ради, нужно заметить, что такая ситуация далеко не во всех регионах.
И контролирует соответствие обработки персональных данных требованиям российского законодательства.
За какие нарушения штрафует Роскомнадзор?
Нарушения закона 152-ФЗ «О персональных данных»
В результате проверок, проведённых с мая по ноябрь, было установлено, что 50% компаний нарушают ч. 4 ст. 20 закона 152-ФЗ, которая обязывает в течение 30 дней отвечать на письменный запрос надзорного органа. Как правило, в таком запросе содержится требование направить уведомление об обработке персональных данных.
Уголовная ответственность может наступить за нарушение неприкосновенности частной жизни, к которому можно отнести незаконный сбор или распространение сведений, составляющих личную или семейную тайну. предусматривает наказание в виде штрафа до 300.000 руб., принудительных работ или лишения свободы на срок до 4 лет.
Как защититься от штрафа?
Лучший способ обезопасить себя и свою компанию от штрафов и иных видов ответственности – это обеспечить соответствие деятельности компании требованиям действующего законодательства и заблаговременно подготовиться к возможной проверке Роскомнадзора.
