Ко всем статьям 

Федеральный закон ФЗ-152 «О персональных данных» был принят еще в 2006 году, но он неизменно вызывает нарекания со стороны участников рынка и критические замечания экспертов.

Изменения 2011 года расширили круг обязанностей операторов персональных данных (ПД): помимо технической защиты информации на предприятии должен быть обеспечен целый комплекс организационно-правовых мероприятий. За нарушение предписаний компаниям грозят реальные штрафы.

С одной стороны, самые ожесточенные дискуссии на тему защиты ПД давно прошли, были получены ответы на многие вопросы. Однако, регуляторы устраивают проверки и постоянно штрафуют нарушителей. Более того, законодательство продолжает меняться, ужесточаются условия, повышаются штрафы. А это значит, что тема будет актуальна еще долго.

Итак, на какие вопросы компаниям стоит ответить в первую очередь, чтобы избежать санкций со стороны Роскомнадзора?


Кто является оператором персональных данных? 

Согласно ФЗ-152, это - муниципальный орган, юридическое или физическое лицо, <…осуществляющие обработку персональных данных…действия (операции), совершаемые с персональными данными>. 

Вот лишь несколько сфер, подпадающих под действие ФЗ: ЖКХ, любые кредитные организации, операторы мобильной связи, медицинские учреждения, онлайн-магазины. 

Задача об организации комплекса мероприятий по защите ПД в организации ложится не только и не столько на сотрудников, отвечающих за IT-поддержку, как многим кажется на первый взгляд. Львиная доля задач в этом направлении равным образом ложится на плечи юристов и бухгалтеров.


Что делать в первую очередь?

Проверить, присутствует ли компания в реестре операторов персональных данных. В реестре обязаны присутствовать все организации, если они не подпадают под список исключений, обозначенный в ч. 2 ст. 22 ФЗ-152. Отсутствие уведомления в реестре - уже повод для регулятора оштрафовать Вашу организацию.

Уточнить, насколько актуально содержание уведомления. Практика показывает, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием между содержанием уведомления и реальной ситуацией в организации. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, номер телефона», а компания также обрабатывает сведения о судимости.


Принятие документов, регламентирующих обработку ПД

Увы, но строгого перечня таких документов как такового не существует - есть только перечень аспектов, необходимых к указанию: 

  • назначение ответственного за организацию обработки персональных данных Данный сотрудник отвечает за «бумажную» часть вопроса и указывается в уведомлении;

  • назначение администратора безопасности персональных данных. Данный сотрудник отвечает за «техническую» часть вопроса.  Формулировки при составлении приказов о назначении настоятельно рекомендуется согласовывать с текстом законодательства. Например, если  ответственного за организацию обработки ПД обозначить как ответственного за обработку ПД, то регулятор наверняка в процессе проверки попросит внести изменения в документ;

  • определение категорий персональных данных, которые подлежат защите. Роскомнадзор при проверках проверяет отдельный приказ с перечнем согласно  соответствующему указа президента РФ. 

Конечно, полный перечень документов сложно уместить в формат отдельной статьи. Также, следует учитывать, что содержание документов для тех или иных организаций может сильно отличаться. Процесс затрудняет, как уже говорилось выше, отсутствие строгого перечня документов.


Какие штрафы?

В марте этого года проект закона "О внесении изменений в КоАП РФ" был направлен в Минэкономразвития после публичного обсуждения и доработки. 

Согласно проекту, обработка персональных данных без согласия влечет наложение административного штрафа на граждан от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей - от двадцати тысяч до тридцати пяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

Незаконная обработка специальных категорий персональных данных влечет наложение административного штрафа на граждан от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати пяти тысяч рублей; на индивидуальных предпринимателей - от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от ста пятидесяти тысяч до трехсот тысяч рублей.


Выражаем благодарность за экспертную помощь в написании статьи Светлане Лоскутовой - директору НОУ ДПОВ УЦ "Кадровик Плюс", специалисту в области защиты персональных данных. Светлана - приглашенный спикер на семинарах Смарт Консалт по защите персональных данных.


Смарт Консалт регулярно проводит практические семинары по защите персональных данных для компаний различного профиля. Среди приглашаемых спикеров – как сотрудники Роскомнадзора, так и практикующие юристы, работающие с компаниями непосредственно по вопросам организации соответствия требованиям регуляторов. 

С графиком мероприятий Смарт Консалт Вы можете ознакомиться здесь

У Вас есть предложения по тематике статей для раздела «Интересное в отрасли»? Есть вопросы по законодательству и хотите получить независимое мнение с нашей стороны?

Пишите нам на info@smart-consult.pro. 

Мы обязательно рассмотрим все предложения.

С уважением, команда Смарт Консалт