Персональные данные. Как правильно с ними работать

Принято считать, что с персональными данными работают только банки и мобильные операторы. Однако у любой компании есть персональные данные как минимум своих работников, партнеров и клиентов. Расскажем, как правильно обрабатывать персональные данные, чтобы избежать штрафов.

Персональные данные

С 1 июля 2017 года штрафы за нарушение закона о защите персональных значительно увеличиваются. Кроме того, в связи с введением новых видов нарушений, под штрафы могут попасть не только работодатели, но и работники. Давайте разберемся подробнее, как работать с персональными данными в рамках закона.

Понятие персональных данных

Персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», далее — закон № 152-ФЗ).

Подробный перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе любой компании сотрудники чаще всего работают со следующими сведениями о лицах:

  • фамилия, имя, отчество, дата и место рождения;
  • адрес, семейное, имущественное и социальное положение;
  • должность, образование, профессия и доходы;
  • биометрические персональные данные.

На практике суды трактуют перечень данных, относящихся к персональным, шире, например, сведения о смерти гражданина, его номер мобильного телефона и фотографии.

Что такое обработка персональных данных

Закон определяет обработку персональных данных как любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 закона № 152-ФЗ).

Пример обработки персональных данных в компании:

  • сбор анкет с клиентов;
  • ведение картотеки (базы) клиентов;
  • передача контакты клиентов в колл-центр;
  • фиксация паспортных данных посетителей офиса в журнале посещений и т. д.

Таким образом, каждая компания занимается обработкой персональных данных своих работников и клиентов. Следовательно, в силу закона каждая компания является оператором персональных данных.

Уведомление в Роскомнадзор

Итак, мы выяснили, что если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 закона № 152-ФЗ).

Оператор персональных данных до начала их обработки обязан направить уведомление в Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ).

Исключение: не требуется направлять уведомление, если компания обрабатывает персональные данные:

  • для целей заключения и исполнения договоров (например, персональные данные партнеров и клиентов);
  • только своих работников;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • без использования средств автоматизации (постановление Правительства РФ от 15.09.08 г. № 687).

Полный перечень исключений указан в законе № 152-ФЗ.

Если ваша компания не подпадает под исключения, указанные в законе № 152-ФЗ, то составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утвержденному приказом Минкомсвязи России от 21.12.2011 г. № 346) и направьте его в территориальный орган Роскомнадзора.

Уведомление можно отправить на бумаге или в электронном виде через портал «Госуслуги» или официальный сайт Роскомнадзора.

Не позднее 30 дней Роскомнадзор внесет сведения о вашей компании в реестр операторов, о чем вы можете узнать через сайт ведомства.

Бесплатные консультации

До конца 2017 года проводим бесплатные консультации по защите прав потребителей!

 

Сбор персональных данных

Общее правило для сбора персональных данных – получение согласия субъекта. Причем закон требует, чтобы согласие было конкретным, информативным и сознательным (п. 1 ст. 9 закона № 152-ФЗ). Это значит, что в согласии должен быть указан конкретный перечень оснований для обработки, точно указан срок обработки и порядок отзыва согласия.

Форма письменного согласия законом не установлена, за исключением особых сведений. Субъект персональных данных может дать свое согласие даже путем заполнения формы на сайте компании.

Обратите внимание! Субъект персональных данных имеет право в любое время отозвать свое согласие, после которого компания обязан прекратить обработку.

Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форумах или в социальных сетях.

Согласие работников на обработку персональных данных

Напомним, что работников надо знакомить во всеми внутренними документами, касающимися их работы, в том числе порядка обработки персональных данных.

Согласие работника на обработку персональных данных не нужно, например, в следующих случаях:

обработки персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;

получения запросов от прокуратуры, правоохранительных органов, трудовой инспекции.

Защита персональных данных

Поскольку персональные данные являются конфиденциальными сведениями, необходимо обеспечить их безопасность.

Для защиты персональных данных можно создать внутреннее положение, в котором определить лиц, которые обрабатывают персональные данные и несут ответственность за их разглашение. Тем самым вы сужаете круг лиц, имеющих доступ к конфиденциальной информации. Кроме того, можно хранить носители разных баз данных раздельно (например, данные работников отдельно от базы клиентов и партнеров).

Ответственность за нарушения в сфере персональных данных

За нарушения законодательства о защите персональных данных компанию могут привлечь к ответственности до 1 июля 2017 это штраф в до 10 000 рублей по статье 13.11 КоАП РФ.

С 1 июля 2017 года ответственность усиливается:

  • за обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ), полагается штраф от 30 000 до 50 000 рублей;
  • обработка персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ), влечет штраф от 15 000 до 70 000 рублей;
  • неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ), повлечет штраф от 15 000 до 30 000 рублей.

Если вышеуказанные нарушения допущены сотрудником компании, ответственным за обработку и защиту персональных данных, то его могут привлечь не только к административной ответственности, но к дисциплинарной и даже уголовной ответственности.

На практике к ответственности привлекают как работника, нарушившего требования закона, так и компанию-нарушителя.

Именно поэтому требуется привести все внутренние документы компании в соответствие с требованиями трудового кодекса, закона № 152-ФЗ и требований контролирующих ведомств.

запись
Есть вопросы? Позвоните или закажите обратный звонок!