Ошибки при работе с персональными данными — штрафы и новые правила

Если ваша компания или организация нанимает сотрудников, собирает и обрабатывает ту или информацию о клиентах (ведет базу данных клиентов, или делает почтовые рассылки), имеет форму обратной связи на своем сайте, где посетители оставляют свои номера телефонов и адреса электронной почты, то с точки зрения законодательства вы уже являетесь оператором персональных данных, а из этого следует и ваша ответственность за обеспечение законной обработки этих сведений.

А ответственность за нарушение требования по обработке и хранению личных данных немалая: сейчас, во втором квартале 2017 года, штраф за нарушения составляет до 10 000 рублей, а уже с 01.07.2017 новый штраф за нарушения при работе с персональными данными вырастет до 70 000 рублей.

Обработка и хранение персональных данных

Кто является оператором персональных данных?

Статья №3 в пункте 2 Федерального закона N 152-ФЗ «О персональных данных» определяет кто является оператором персональных данных:

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом в Российской Федерации нет такой компании, которая не имела бы отношения к оперированию персональными данными: даже если ваша компания просто набирает сотрудников, она уже подпадает под это понятие со всей вытекающей ответственностью перед законом.

С лета 2017 года кроме увеличения размера штрафа за нарушение требований хранения и обработки персональных данных, законодатели расширяют поле ответственности предпринимателей, вводя новые основания для наложения штрафа в статью 13.11 КоАП РФ (см. Закон № 13-ФЗ от 07 февраля 2017). К основаниям для наложение штрафа на оператора персональных данных относятся:

  • невыполнение требований по уничтожению персональных данных,
  • невыполнение требований по их обезличиванию,
  • игнорирование запросов субъекта и отсутствие политики конфиденциальности при работе с персональными данными.

Ниже мы рассмотрим подробности данного вопроса: основные ошибки при работе с персональными данными, которые могут привести к штрафным санкциям со стороны Роскомнадзора.

Обработка персональных данных при найме работников без их согласия

Пример: при проведении проверки компании контролер Роскомнадзора не нашел в листе кандидата на должность специального поля, в котором ставится отметка о согласии на обработку персональных данных. Директор компании получил административное наказание в виде предупреждения. Пытаясь обжаловать полученное предупреждение в суде, руководитель компании предъявил свои доводы о том, что специальная комиссия, созданная на предприятии для работы с персональными данными, следит за соблюдением на предприятии должных мер по поддержанию законного порядка сбора, использования и хранения личных данных работников, и заполнение личных карточек работников производится в присутствии данной комиссии. А положение о согласии работника на обработку его личных данных есть в тексте трудового договора. Но Самарский суд в постановлении № 4а-907/2016 от 22 августа 2016 г. не нашел эти доводы убедительными для отмены наказания.

Официальный сайт Роскомнадзора

Как не избежать штрафа за подобное нарушение: в каждой форме документов, в которой подразумевается наличие персональных данных, должно присутствовать поле, в котором владелец персональных данных мог бы согласиться на их обработку. Проведение аудита кадровых документов поможет быстро найти возможные дефекты документов, способных стать причиной штрафных санкций.

Передача персональных сведений клиентов третьим лицам

Например: стандартная ситуация, когда у абстрактного гражданина Иванова есть задолженность по кредиту перед банком. Банк передает персональные данные «гражданина Иванова» коллекторской конторе, с которой у кредитной организации заключен договор. После этого «гражданин Иванов» и все его родственники получают каждый день множество неприятных минут общения с коллекторами. Важно при этом, что «гражданин Иванов» не давал банку разрешения на передачу своих личных данных третьим лицам в подписанном сторонами кредитном договоре.

Персональные данные и штрафы за нарушения их обработки

Потребовав у банка уничтожить его личные данные и прекратить незаконные действия, гражданин получил отказ и был вынужден обратиться в суд. В своем заявлении гражданин указал, что коллекторы требовали погасить долг, угрожая ему в грубой форме, чем нанесли ему и его семье моральный ущерб, который он требует компенсировать, поскольку он переживал за жизнь и здоровье своих родных, которым поступали угрозы от коллекторов.

В данном случае суд удовлетворил требования истца, признал действия банка незаконными, обязал коллекторскую организацию уничтожить персональные данные гражданина, а также взыскал с банка и с коллекторов требуемую компенсацию (см. решение Ярославского областного суда по делу №33-939/2012 от 05 марта 2012 года).

Как не допустить санкции за передачу ПД третьим лицам: помните, что передача чужих персональных данных законна только в том случае, если сам субъект дал на это свое согласие. Единственное исключение из этого правила может быть только в случае, когда банк или другая компания продает долг гражданина по договору переуступки. При этом кредитор, купивший право на долг, обязан оповестить субъект персональных данных о том, что теперь его персональные данные находятся у него.

Сбор персональных данных через форму обратной связи на сайте без публикации политики конфиденциальности

Пример: компания ООО «Тамбовская Городская Юридическая Компания» (ООО «ТГЮК») имела на своем сайте стандартную форму обратной связи, через которую посетители сайта могли отправлять сообщения администратору сайта. Форма была предельно простой и имела всего три поля: имя (причем вводить его было необязательно), тема сообщения и само сообщение. Роскомнадзор на основании того, что на сайте не было политики конфиденциальности, оштрафовал компанию на 1 000 рублей, в соответствии со статьей 13.11 КоАП РФ. ООО «ТГЮК» не согласилась с таким положением вещей, поскольку идентифицировать пользователя на основании такой контактной формы, в которой единственное идентифицирующее поле (имя) было необязательным, и направила заявление в суд. Но суд не внял доводам компании и оставил меру наказания без изменения (см. постановление Тамбовского областного суда по делу №4А-288 от 04 октября 2016 г.

Постановление Тамбовского областного суда

Как избежать штрафа за подобное нарушение: необходимо помнить, что размещение на своем сайте формы обратной связи с посетителями, через которую собираются личные данные, является работой с персональными данными и, соответственно, требует выполнения обязанностей оператора персональных данных. К этим обязанностям относится:

  • обязательное уведомление Роскомнадзора о намерении компании собирать и обрабатывать персональные данные посетителей сайта;
  • получение согласия субъекта на сбор его данных;
  • разработать и опубликовать на своем сайте политику конфиденциальности при работе с персональными данными.

Штраф за отсутствие опубликованной на сайте политики конфиденциальности с 1.07.2017 года будет составлять 30 000 рублей. Соответствие требованиям Роскомнадзора требует при разработке контактной формы предусмотреть необходимость согласиться с политикой конфиденциальности предприятия до момента отправки формы.

Игнорирование отказа клиента от получения рекламы в сообщениях

Пример: согласие на обработку персональных данных Сбербанком было отозвано клиентом через почту России. Но это не помешало банку выслать на мобильный телефон этого клиента предложение рекламного характера, где ему предлагалось заключить договор кредитования. Клиент был вынужден подать в суд иск о незаконном использовании его персональных данных.

Банк, защищаясь, приводил доводы о том, что, во-первых, в тексте сообщения не называлось персональных данных клиента, по которым можно было бы его идентифицировать, и, во-вторых, данное сообщение было индивидуальным предложением этому клиенту, а вовсе не рекламой. Однако суд настоял на том, что сообщение было выслано исходя из того, что банк имел у себя такую личную информацию клиента, как его номер телефона, что позволило ему выслать рекламу, не считаясь с отзывом клиента согласия на обработку его данных.

То есть в суде было доказано использование персональных данных банком без получения согласия клиента и ответчику присужден штраф в 100 000 рублей в пользу истца для компенсации морального вреда (см. решение Новосибирского обл. суда по делу № 33-2662/2015 от 02 апреля 2015 года).

Как избежать штрафа и санкций за рассылку рекламных сообщений: нарушение воли субъектов персональных данных о недопущении использования их данных игнорировать нельзя, поскольку с 01.07.2017 г. штрафные санкции за подобное нарушение составляют до 40 000 рублей. Субъект персональных данных между тем имеет право отказаться от обработки его данных, а также может получить информацию о том, кто имеет доступ к его данным, какие именно данные у него имеются и с какой целью и каким способам обрабатываются. Поэтому контакты лиц, имеющего доступ к персональным данным клиентов и предоставляющего информацию по клиентским запросам, должны быть открыто опубликованы и доступны для изучения.

Работа с персональными данными без локализации на территории РФ

Пример: Роскомнадзор обнаружил, что персональные данные пользователей из России в социальной сети Linkedin записываются, накапливаются, систематизируются и хранятся за рубежом, что является нарушением российского законодательства. Направив требование об устранении нарушений в компанию, контролеры не добились его исполнения и в результате доступ к данной сети был ограничен, компания была внесена в реестр нарушителей прав субъектов персональных данных и деятельность linkedin была признана незаконной. (МосГосСуд по делу №33-38783/2016 г. от 10 ноября 2016г.).

Санкции против Linkedin за нарушения обработки персональных данных

Как избежать санкции за подобную ошибку: обеспечение локализации персональных данных граждан ложится на плечи оператора персональных данных, согласно закона от 1.09.2015г. Для устранения нарушения необходимо провести инвентаризацию баз данных и информационных систем. По каждой базе необходимо определить ее местонахождение. Локализация персональных данных касается в первую очередь этапа ее сбора. Хранение и обработка собранных персональных данных может производиться и за пределами территории РФ.

Рекомендации по соблюдению требований ФЗ «О персональных данных»

Чтобы обеспечить соответствие требованиям законодательства в области защиты персональных данных, требуется или привлечение сторонних специалистов, что выливается в изрядные расходы, или работа внутри компании силами сотрудников.

Во-первых, необходим аудит сложившейся ситуации с обработкой и хранением персональных данных, ведь в любой компании личные данные обрабатываются в таких подразделениях, как отдел кадров, отдел маркетинга, служба продаж, доставки и пр. Проведя анализ движения и обработки персональных данных, можно выяснить степень защищенности информационной системы предприятия, эта степень зависит от количества субъектов, категории обрабатываемых данных и от типа информационных угроз.

Рекомендуется создать такой документ, как модель угроз, в котором перечислить виды предполагаемых нарушителей и распределить угрозы информационной безопасности по рассчитанной их актуальности. Рекомендуется использовать на данном этапе базовую модель угроз, которую можно взять на официальном сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК РФ). Проводя аудит, не обойтись без анализа действующей на предприятии организационно-распорядительной документации, то есть приказов, журналов, регламентов, положений и пр. В первую очередь рассматриваются документы, связанные с персональными данными: согласие на обработку персональных данных, порядок из передачи третьим лицам, список членов комиссии, допущенных к обработке личной информации и порядок ее уничтожения.

Во-вторых, лицу ответственному за информационную безопасность поручается задача по проектированию технического решения сбора, обработки и хранения персональных данных. Он разрабатывает комплекс мер для обеспечения нужного уровня защиты, а именно: разработка подсистем, обеспечивающих ограничение программной среды, управление доступом, защита информационных носителей и т.п. Разработка плана процесса защиты персональных данных может быть выполнена как силами сотрудников компании, так и с привлечением внешних подрядчиков и исполнителей. На этом этапе составляется перечень лиц, ответственных за обработку персональных данных, затем устанавливается уровень доступа к данным. Рассчитываются затраты, формулируются требования к уровню защиты, создается план проекта и определяются риски.

Хранение персональных данных

После планирования и разработки системы безопасности информации идёт собственно её внедрение на предприятии (в компании), то есть покупка и установка оборудования из реестра сертифицированных средств защиты информации, программного обеспечения, настройка оборудования, пуско-наладочные работы и испытания по приемке, а также разрабатывается эксплуатационная документация. Реестр средств защиты, прошедших сертификацию, находится на сайте Федеральной службы по техническому и экспортному контролю РФ.

Далее идёт прохождение аттестации информационных систем организацией, имеющей лицензию ФСТЭК РФ на защиту конфиденциальной информации. Аттестация добровольна для частных организаций и обязательна для государственных информационных ресурсов. Теперь можно запускать в действие непрерывный процесс защиты персональной информации. Процесс защиты зависит от многих переменных: от изменения в законодательстве, от использования нового оборудования и программного обеспечения.

При любом изменении в деятельности предприятия требуется вносить изменения в документацию по защите личных данных и, при необходимости, внедрять необходимые инструменты и средства защиты информации в дополнение к имеющимся, чтобы не допустить ошибки при работе с персональными данными. Имейте в виду, что за прошлый год количество проверок Роскомнадзора на соответствие требованиям о защите персональных данных выросло на 70 %, а повышение штрафов за нарушения требований хранения и обработки персональных данных лишь подстегнет проверяющие органы к более активным рейдам.

(3 оценок, среднее: 5,00 из 5)
Загрузка...