Последствия не соблюдения 152-фз

Правильный сбор: как обезопасить себя от штрафов в работе с персональными данными

С июля 2017 года в России вступили в силу поправки к в статью 13.11 Кодекса РФ об административных правонарушениях (КоАП РФ) и Федеральному закону № 152  «О персональных данных», которые ужесточили ответственность операторов (коими являются не только банки или страховые компании, но и работодатели по отношению к своим сотрудникам) за нарушения при хранении, передаче, а также сборе персональных данных.

В России поправки к закону 152-ФЗ привели к увеличению максимального штрафа при его нарушении для юридических лиц с 10 000 рублей до 75 000 рублей. В Евросоюзе соответствующие санкции намного жестче: максимальный штраф достигает 20 млн евро или 4% от годового оборота компании за финансовый год.

При этом ответственность юридических и физических лиц при работе с ПДн не ограничивается административными штрафами. Нарушители 152-ФЗ могут также подвергнуться санкциями, предусмотренными Уголовным, Гражданским и Трудовым кодексами РФ.

Оператор, занимающийся сбором, обработкой и передачей персональных данных, должен иметь четкое понимание, какие данные являются персональными.

Согласно статье 3 Федерального закона № 152 «О персональных данных», это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу.

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • сведения о заработной плате;
  • сведения о состоянии здоровья.

Как избежать штрафа при работе с персональными данными

Чтобы избежать наказания за нарушения в работе с ПДн, необходимо разработать и принять Положение об обработке персональных данных или проверить на соответствие законодательству уже принятое Положение. Оператор должен иметь форму согласия субъекта на обработку персональных данных и закрепить ее в локальном нормативном акте, и получать такое письменное согласие во всех случаях, предусмотренных законодательством. Юридическое лицо, занимающееся сбором персональных данных, во избежание санкций, предусмотренных законодательством РФ, должно провести комплекс мероприятий, направленных на соответствие принципам работы по сбору, передаче и хранения ПДн.

Законы по работе с ПДн

Работа с персональными данными в России четко регламентируется федеральными законами, которым оператор обязан следовать. К ним можно отнести:

  1.         Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2.         Федеральный закон от 27 июля 2006 № 149 «Об информации, информационных технологиях и о защите информации».
  3.       Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ.
  4.       Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ.
  5.       Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ.
  6.       Гражданский кодекс РФ.

Принципы работы с персональными данными

  1. Размещение личного фото. Операторам необходимо помнить, что личное фото также является персональным данным. Соответственно, размещение фото человека без согласия является нарушением законодательства.
  2. Раса, национальность, мировоззрение, судимость и проч. Государственным и муниципальным органам в соответствии со статьей 13.11 КоАП РФ запрещено разглашать личные данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, персональных данных о судимости. Должностные лица государственных и муниципальных органов несут ответственность за невыполнение обязанности по обезличиванию персональных данных (методы и требования в данной работе оператора утверждены приказом Роскомнадзора от 05.09.2013 № 996).
  3. Сведения о здоровье. Кроме того, работодатель не вправе собирать данные о состоянии здоровья подчиненных. Исключение составляют ситуации, когда деятельность работника связана с движением транспортных средств (водители автобусов, пилоты самолетов и т. д.). В таком случае сбор этих данных не будет нарушать законодательство.
  4. Политика оператора в отношении обработки ПДн. Также оператор обязан опубликовать и обеспечить субъекту доступ к Политике оператора в отношении обработки ПДн. Исключением являются случаи, если обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка, в целях противодействия легализации доходов, полученных преступным путем, и финансированию терроризма, а также, если доступ субъекта к ПДн нарушает права третьих лиц.
  5. Блокировка и удаление персданных. В случае обращения к оператору со стороны человека о блокировании или удалении его персональных данных с обоснованием причины, оператор должен выполнить требования в полном или частичном объеме в установленные сроки.
  6. Сохранность носителей. Оператор также несет ответственность за сохранность носителей, на которых размещены персональные данные субъекта, в том числе, контролировать невозможность передачи или копирования данных третьими лицами.
  7. Если сотрудник нарушил процедуру работы с ПДн. Работодатель имеет право привлекать к дисциплинарной и материальной ответственности сотрудника, допустившего нарушения в работе с персональными данными. Меры предусмотрены Трудовым кодексом РФ, а также могут быть детально описаны внутренним регламентом компании или предприятия.