Новые правила обработки персональных данных

Автор: Елена Рыбникова, руководитель группы контроля качества услуг и методологии

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при работе с персональными данными. Расширен перечень оснований для привлечения работодателя к административной ответственности, увеличен размер штрафов. При этом, уже есть первые инциденты, судебные разбирательства и случаи привлечения к административной ответственности. Давайте рассмотрим, что нужно сделать, чтобы не получить от Роскомнадзора письмо-предупреждение и как обезопасить свой бизнес в новых реалиях.

Как было?

Перечень оснований

Как такового перечня оснований для наложения штрафов ранее не было. Закон содержал общую формулировку: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Штрафы:

для должностных лиц – от 500 до 1 тыс. руб.;
для юридических лиц – от 5 тыс. до 10 тыс. руб.

Самый высокий штраф предусмотрен за обработку персональных данных без письменного согласия субъекта персональных данных.

Что изменилось?

Перечень оснований с 1 июля 2017 года:

  1. обработка персональных данных в «иных» целях;
  2. обработка персональных данных без согласия;
  3. доступ к политике по обработке персональных данных;
  4. сокрытие информации;
  5. уточнения или блокировка;
  6. сохранность персональных данных;
  7. обезличивание.

Штрафы:

Нарушение

Штрафные санкции

Должностное лицо

Юридическое лицо

ИП

Обработка персональных данных в случаях, не предусмотренных законодательством РФ

5 000 – 10 000 руб.

30 000 – 50 000 руб.

 

Обработка персональных данных, несовместимая с целями сбора персональных данных

5 000 – 10 000 руб.

30 000 – 50 000 руб.

 

Обработка персональных данных без согласия в письменной форме

10 000 - 20 000 руб.

15 000 – 75 000 руб.

 

Невыполнение условий, обеспечивающих сохранность персональных данных

4 000 – 10 000 руб.

25 000 – 50 000 руб.

10 000 – 20 000 руб.

Рассмотрим примеры

Бухгалтер не предоставил сотруднику расчетный листок. Теперь Роскомнадзор может квалифицировать такое нарушение как сокрытие от человека его персональных данных и назначить штраф как на компанию, так и на бухгалтера.

Также не стоит хранить второй экземпляр расчетного листка после выдачи сотруднику. В письме от 14.04.2016 № 02-06-05/21573 Минфин разъяснил, что организации не обязаны хранить вторые экземпляры расчетных листков. Учитывая новые положения N 152-ФЗ, расчетные листки не подлежат хранению. В компании остаются расчетные ведомости – данные учета заработной платы. 
Банк без согласия человека огласил данные о заработной плате/премии и передал данные «должника» в юридическую компанию для составления искового заявления. Теперь Роскомнадзор может квалифицировать такое нарушение как «разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями». 
Работодатель на сайте размещает имеющиеся вакансии и зачастую предлагает заполнить форму или анкету «О себе». Но при этом «Политика по обработке персональных данных» недоступна или не очевидна для пользователя. Теперь Роскомнадзор может квалифицировать такое нарушение как «невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите».

Хранение персональных данных

Не стоит хранить копии документов (паспорт, СНИЛС, диплом об образовании и т.п.), которые сотрудник предоставляет при приеме на работу, за исключением трудовой книжки. С остальной личной документации необходимо внести информацию в трудовой договор или в систему учета и вернуть документы работнику, не оставляя у себя копии.

Пример судебного дела

Постановление от 21 апреля 2014 г. по делу № А53-13327/2013. Арбитражный суд Северо-Кавказского округа (ФАС СКО). 

Работодатель хранил копии свидетельства о рождении ребенка работника и свидетельства о браке, содержащих сведения о национальности, а также копии страниц паспорта, копии страниц военного билета. «Суд постановил: Хранение копий данных документов превышает объем обрабатываемых персональных данных работника, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, противоречит федеральному законодательству». На работодателя была возложена административная ответственность.

Рекомендации

  • Проверьте на сайте Роскомнадзора, нет ли вашей компании в плане проверок на 2017 год.
  • Если вы еще не уведомили Роскомнадзор о намерении обрабатывать персональные данные, то это необходимо сделать.
  • Проверьте наличие уведомления на обработку персональных данных и актуальность указанных в нем данных. Для этого необходимо зайти на сайт Роскомнадзора и ввести ИНН.
  • Необходимо четко соблюдать все принципы обработки персональных данных.
  • Поправки к закону по сути теперь касаются практически всех компаний бизнес-сообщества, так, например, владельцев сайтов, которые собирают персональные данные посетителей в том или ином виде. Проверьте, опубликованы ли на сайте «Условия обработки персональных данных» и «Корпоративная политика в отношении персональных данных». Даже если ваша компания не работает в сфере товаров и услуг и не размещает формы запроса/заказа на услугу или продукта, любая форма обратной связи, анкета соискателя являются инструментом для сбора персональных данных.

Чем поможет Интеркомп

  • Подготовка требуемой законом N 152-ФЗ документации
  • Анализ бизнеса на предмет соблюдения закона «О защите персональных данных» N 152-ФЗ
  • Правовая поддержка и сопровождение проверки Роскомнадзора.