Чек-лист при работе с персональными данными: проверьте, все ли есть в компании

Не во всех компаниях налажена работа с персональным данными. Бывает, что необходимые документы отсутствуют полностью или когда-то специалист их оформлял, но уже многое изменилось. Какие документы должны быть у всех, кто обрабатывает персональные данные? Кому придется направить в Роскомнадзор уведомление до 1 сентября 2022 года? Действительно ли выгоднее заплатить штраф? Рассказывает: Мария Маришина , руководитель юридического направления RTM Group П ерсональные данные (ПДн) – это личная информация о человеке, то есть о субъекте персональных данных. Это может быть адрес, ФИО, данные в аккаунтах в соцсетях, фото. Например, субъектом ПДн становятся посетитель сайта, заполнивший форму обратной связи для консультации, или будущий работник организации, предоставивший документы для оформления на работу. Все компании и ИП, которые осуществляют обработку персональных данных, являются операторами ПДн. Они собирают ПДн, хранят их, вносят в различные базы. Если компания или ИП не собирает никакие данные физических лиц, то она не является оператором. Например, если у ИП нет работников и он работает только с юридическими лицами и при этом не собирает и не хранит никаких данных физических лиц (допустим, ФИО курьеров). В этом случае можно не оформлять документы, связанные с обработкой ПДн. Если в компании или у ИП есть работники, значит они обрабатывают ПДн. [spacing size="20"] Что должно быть у всех, кто обрабатывает персональные данные? Вот примерный список документов, которые должен иметь оператор ПДн. Он составлен исходя из рекомендаций Роскомнадзора и собственного опыта в данной сфере (ссылки указаны на Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» , далее – Закон № 152-ФЗ). Документы ⇒ Уведомление об обработке персональных данных. Его нужно отправить в Роскомнадзор в момент начала обработки данных, форма есть здесь (ст. 22 Закона № 152-ФЗ)[spacing size="15"] ⇒ Приказ о назначении ответственного за организацию обработки персональных данных у оператора (подп. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона № 152-ФЗ)[spacing size="15"] ⇒ Формы согласий и сами согласия субъектов персональных данных на обработку персональных данных (ст. 9 Закона № 152-ФЗ)[spacing size="15"] ⇒ Политика (положение) об обработке персональных данных (ч. 2 ст. 18.1 Закона № 152-ФЗ). При составлении положения можно взять за основу рекомендации Роскомнадзора [spacing size="15"] ⇒ Документы, описывающие меры, предпринимаемые для защиты ПДн. Они могут включать: инструкцию по контролю доступа в помещения, где проводится обработка ПДн, инструкцию по парольной защите, инструкцию по антивирусной защите, инструкцию по порядку разрешительного доступа к персональным данным, положение о хранении носителей, содержащих ПДн. Такими носителями могут быть флешка, диск, бумага, список помещений, где обрабатываются персональные данные, перечень средств защиты информации. В нем указываются названия средств защиты, их количество, производитель и информация о наличии сертификатов ФСТЭК и ФСБ (Постановление Правительства РФ от 01.11.2012 № 1119, п. 8.12 Приказа ФСТЭК России от 18.02.2013 № 21, подп. 2 ч. 2 ст. 19 Закона № 152-ФЗ)[spacing size="15"] ⇒ Положение об обработке обращений и запросов, поступающих от субъектов ПДн (п. 3 ч. 4 ст. 22.1 Закона № 152-ФЗ). Его можно включить в политику об обработке персональных данных[spacing size="15"] ⇒ Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта. Необходим, если в компании пропускной режим (п. 8 Постановления Правительства РФ от 15.09.2008 № 687)[spacing size="15"] ⇒ Документ о классификации информационных систем. Например, информационными системами являются: 1С, в которой обрабатываются данные по сотрудникам, клиентам (в систему могут подгружать счета, договоры с клиентами); сайт, на котором есть форма обратной связи с клиентом, и т.д. При классификации информационных систем нужно учитывать: Приказ ФСТЭК России от 18.02.2013 № 21; Приказ ФСТЭК России от 11.02.2013 № 17 (для госучреждений); Постановление Правительства РФ от 01.11.2012 № 1119.[spacing size="15"] ⇒ Список лиц, которым необходим доступ к персональным данным (п. «в» ст.13 Постановления Правительства от 01.11.2012 № 1119, п.8 ч.2 ст.19 Закона № 152-ФЗ)[spacing size="15"] ⇒ Положение об обработке персональных данных работников[spacing size="15"] ⇒ Обязательства работников о неразглашении персональных данных (ст. 90 ТК РФ)[spacing size="15"] ⇒ Модели угроз. В этом документе указывается, как именно стоит защищать данные, какие угрозы со стороны злоумышленников возможны в отношении данных и т.д. Его обязательно нужно составлять на каждую информационную систему, в которой производится обработка персональных данных. Форму модели угроз и методику ее написания смотрите здесь . Для подготовки этого документа нужно учитывать: Постановление Правительства РФ от 01.11.2012 № 1119, Методику оценки угроз безопасности информации, утв. ФСТЭК 05.02.2021, Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСТЭК 15.02.2008 Данный перечень включает основные документы, которые должны быть у оператора ПДн. Также могут быть и другие документы, например: журнал учета проверок контролирующими органами (Роскомнадзором); поручение на обработку персональных данных, если ПДн передаются другим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Например, при передаче компании, которая ведет бухгалтерию на аутсорсинге. На заметку Нужно ознакомить работников с документами, которые регулируют в компании обработку ПДн. Желательно также провести обучение и зафиксировать этот факт. Такое требование содержится в п. 6 ч. 1 ст. 18.1 Закона № 152-ФЗ. [spacing size="20"] Всем ли нужно уведомлять Роскомнадзор? Компании и ИП, которые обрабатывают ПДн, должны соблюдать правила обработки, однако не всем нужно уведомлять Роскомнадзор о том, что она ведется. До 1 сентября 2022 года действует прежний обширный список случаев, когда можно не уведомлять Роскомнадзор (поправки введены Федеральным законом от 14.07.2022 № 266-ФЗ). Однако после этой даты он резко сократится (ст. 22 Закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ). Так, с 1 сентября 2022 года можно не уведомлять Роскомнадзор об обработке ПДн, только если: ПДн включены в государственные электронные ресурсы, которые созданы для защиты безопасности государства и общественного порядка; оператор обрабатывает ПДн исключительно без использования средств автоматизации, то есть на бумаге; это предусмотрено законами о транспортной безопасности, для обеспечения безопасности транспортного комплекса государства, защиты общества в этой сфере. Таким образом, после 1 сентября 2022 года останется совсем мало случаев, когда можно будет не уведомлять Роскомнадзор об обработке ПДн. Например, потребуется отправлять уведомление в Роскомнадзор, даже если компания обрабатывает только ПДн своих сотрудников или собирает данные для выдачи одноразовых пропусков. [spacing size="15"] Читайте также: Поправки в сфере персональных данных с 1 сентября 2022 года: что придется изменить компаниям? [spacing size="20"] Разберем несколько ситуаций: [spacing size="10"] Компания получает только личные данные своих сотрудников и не передает их третьим лицам . До 1 сентября 2022 года можно не уведомлять Роскомнадзор. Но после этой даты уведомление Роскомнадзора в этой ситуации станет обязательным. Кроме того, если работодатель передает данные сотрудников третьим лицам (например, для оформления зарплатного проекта, ДМС), то в любом случае требуется направить в Роскомнадзор уведомление об обработке ПДн.[spacing size="15"] Компания собирает на проходной личные данные посетителей и работников. Если пропуск нужен посетителю для многократного использования, то нужно уведомлять Роскомнадзор об обработке ПДн. Если данные требуются для оформления однократного пропуска посетителям, то до 1 сентября 2022 года сообщать об обработке ПДн в Роскомнадзор не требуется. Но к этой дате в любом случае придется отправить уведомление. В случае с работниками, если данные не передаются третьим лицам и организациям, а пропуск - многократный, то сообщать в Роскомнадзор не нужно до 1 сентября 2022 года (после этой даты уведомления станут обязательными). Но если сведения предоставляются третьей стороне (например, ЧОП, осуществляющему пропускной режим), то уведомление регулятора в любом случае обязательно.[spacing size="15"] Компания собирает фото клиентов. Это биометрические ПДн, поэтому уведомление Роскомнадзора об обработке персональных данных является обязательным.[spacing size="15"] Для заказа нужно сообщить ФИО, адрес электронной почты, адрес для доставки. Если эти данные нужны исключительно для исполнения условий договора, они не передаются третьим лицами и еще не наступило 1 сентября 2022 года, то уведомление Роскомнадзора не требуется. А вот когда компания передает сведения курьеру, который не является ее сотрудником, отправлять уведомление в Роскомнадзор нужно обязательно – так было и до поправок, которые вступают в силу 1 сентября 2022 года.[spacing size="15"] На сайте есть форма обратной связи и нужно заполнять ФИО и телефон или только телефон. До 1 сентября 2022 года можно не уведомлять Роскомнадзор, если данные не передаются третьим лицам. Но если сведения поступают рекламным агентам для маркетинговых целей, тогда сообщать об обработке нужно. После 1 сентября уведомлять Роскомнадзор нужно независимо от того, передаются сведения третьим лицам или нет. Если же компания собирает только данные о номере телефона клиента (без ФИО), то не нужно отправлять в Роскомнадзор уведомление (в том числе после 1 сентября 2022 года), так как сам по себе номер телефона не характеризует субъекта персональных данных.[spacing size="15"] Компания собирает cookie s. Нужно отправить в Роскомнадзор уведомление об обработке ПДн ( Определение Мосгорсуда от 10.11.2016 по делу № 33-38783/2016 ). Допустим, компания давно собирает ПДн. Когда она начинала работать, у нее не было обязанности направлять в Роскомнадзор уведомление об обработке ПДн. Например, потому что она собирала только ПДн сотрудников и никуда эти данные не направляла. Но с 1 сентября 2022 года вступают в силу поправки, согласно которым при обработке ПДн сотрудников нужно уведомлять Роскомнадзор о начале обработки ПДн (введены Федеральным законом от 14.07.2022 № 266-ФЗ). Следовательно, этой компании нужно до 1 сентября направить такое уведомление несмотря на то, что она давно работает и обрабатывает такие ПДн. [spacing size="20"] Какие штрафы грозят? *Если Вы читаете с мобильного устройства, переверните его горизонтально, чтобы просмотреть таблицу Нарушение Наказание Норма КоАП Обработка ПДн не предусмотрена законом или несовместима с целями сбора данных (например, в положении указаны одни цели для сбора данных, а их собирают и для других, допустим, для маркетинговых целей) Штраф: должностному лицу - от 10 000 до 20 000 рублей юрлицу - от 60 000 до 100 000 рублей ч. 1 ст. 13.11 Нет согласия субъекта или есть другие нарушения обработки ПДн (например, компания неправильно хранит данные субъекта при их обработке на бумаге, бумажный носитель не убирают в шкаф, сейф) Штраф: для должностных лиц - от 20 000 до 40 000 рублей; для юрлиц - от 30 000 до 150 000 рублей ч. 2 ст. 13.11 Оператор не предоставил доступ к политике по обработке ПДн (например, не опубликовал на сайте) Штраф: для должностных лиц - от 6000 до 12 000 рублей; для ИП - от 10 000 до 20 000 рублей, для юрлиц - от 30 000 до 60 000 рублей. ч. 3 ст. 13.11 Оператор не предоставляет субъекту ПДн информацию, которая касается обработки его ПДн Штраф: для должностных лиц - от 8000 до 12 000 рублей, для ИП - от 20 000 до 30 000 рублей, для юрлиц - от 40 000 до 80 000 рублей ч. 4 ст. 13.11 Оператор не выполнил в срок требования субъекта ПДн, его представителя, либо Роскомнадзора об уточнении ПДн, их блокировании или уничтожении Штраф: для должностных лиц - от 8000 до 20 000 рублей, для ИП - от 20 000 до 40 000 рублей, для юрлиц - от 50 000 до 90 000 рублей ч. 5 ст. 13.11 Оператор не выполнил при обработке ПДн на бумажных носителях обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих незаконный к ним доступ, если это повлекло доступ к данным Штраф: для должностных лиц - от 8000 до 20 000 рублей, для ИП - от 20 000 до 40 000 рублей, для юрлиц - от 50 000 до 100 000 рублей ч. 6 ст. 13.11 Оператор обрабатывает ПДн с использованием баз данных, не находящихся на территории РФ Штраф: для должностных лиц - от 100 000 до 200 000 рублей; для юрлиц - от 1 млн до 6 млн рублей ч. 8 ст. 13.11 Оператор не предоставил или несвоевременно предоставил в Роскомнадзор сведения (либо в неполном объеме или в искаженном виде) Штраф: для должностных лиц - от 300 до 500 рублей, для юрлиц - от 3000 до 5000 рублей ст. 19.7 Если компанию оштрафовали, но она оплачивает штраф в течение 20 дней, то она может заплатить половину суммы (ч. 3.4-1 ст. 4.1 КоАП в редакции Федерального закона от 14.07.2022 № 290-ФЗ). А при совершении правонарушения впервые штраф заменяется на предупреждение (ч. 1 ст. 4.1.1 КоАП в редакции Федерального закона от 14.07.2022 № 290-ФЗ). Еще нужно помнить, что за повторные нарушения штрафы, наоборот, гораздо выше. [spacing size="20"] Проводит ли Роскомнадзор проверки в 2022 году? В 2022 году Роскомнадзор не проводит плановые проверки и надзорные мероприятия в компаниях и ИП, осуществляющих обработку персональных данных (п. 1 Постановления Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля»). Но внеплановые проверки могут провести. Так, проверки по заявлениям и жалобам физических лиц - субъектов персональных данных активно идут, поэтому надеяться на отсутствие контроля не приходится. [spacing size="20"] Что выгоднее: заплатить штраф или за оформление всех документов? Многие считают, что выгоднее заплатить штраф, чем потратить деньги на оформление всего комплекта документов, необходимых при обработке персональных данных, а Роскомнадзор штрафует редко. На самом деле нужно учитывать, что достаточно одной жалобы клиента в Роскомнадзор, чтобы инициировать проверку, а штрафы будут считать за каждое нарушение. Например, есть интернет-магазин, который продает строительные материалы. На его сайте можно приобрести товар, но для этого покупатель должен указать свои персональные данные: ФИО, адрес для доставки, номер телефона, адрес электронной почты. Также предусмотрена форма обратной связи для клиентов, которые могут поинтересоваться у сотрудников интернет-магазина о дополнительных свойствах продаваемого товара. На сайте отсутствуют необходимые документы по защите персональных данных: согласие на обработку ПДн и политика по обработке ПДн. Также интернет-магазин игнорирует запросы клиентов по поводу обработки их данных. Верхнего потолка суммы в данном случае нет, поэтому посчитаем только минимальный штраф для юрлица в таком случае: нет согласия на обработку персональных данных – от 30 000 рублей (такой штраф будет, если нарушение совершено впервые, за повторное нарушение штрафы будут выше – для юрлиц от 300 000 рублей. Каждый случай считается индивидуально, то есть указанный размер штрафа можно получить как за нескольких клиентов, которые не дали согласие на обработку данных, так и за одного); нет политики об обработке персональных данных – от 30 000 рублей; компания не отвечает на запросы клиентов-физлиц по поводу обработки ПДн – от 40 000 рублей за каждую жалобу в Роскомнадзор. При этом стоимость оформления документов у сторонних специалистов – от 60 000 до 150 000 рублей, а периодическая корректировка документации и поддержание в актуальном состоянии составят около 40 000 - 50 000 рублей в год. Если нанимать отдельного специалиста в компанию, то это от 40 000 до 150 000 рублей в месяц в зависимости от региона и объема работы. [spacing size="30"] [jnews_block_10 first_title="Читайте также" header_type="heading_1" include_post="1774,2611,1842,7648"]

Юридические новости и аналитика
для тех, кто ценит время

Юридические новости и аналитика
для тех, кто работает с бизнесом

Чек-лист при работе с персональными данными: проверьте, все ли есть в компании

ВС РФ рассказал, какое условие госконтракта позволит заказчику взыскать деньги с подрядчика, даже если он ранее принял работы

Юридические мероприятия в августе

СЕЙЧАС ЧИТАЮТ

ВС разъяснил, как работают заверения об обстоятельствах, которые могут проявиться в будущем

Работа с самозанятыми: как исключить налоговые риски и штрафы?

Субсидиарная ответственность контролирующих банк лиц за отсутствие системы оценки рисков: новый тренд в судебной практике

Долгожданная точка в вопросе о том, что такое диспозитивная норма договорного права. Комментарий Романа Бевзенко к Постановлению КС

ШОРТРИД В СОЦСЕТЯХ

Стрим с Романом Бевзенко

ПОДПИШИТЕСЬ НА НОВОСТИ

ВОПРОС ЭКСПЕРТУ

Обзор по рубрикам

Популярные новости

ВС разъяснил, как работают заверения об обстоятельствах, которые могут проявиться в будущем

Работа с самозанятыми: как исключить налоговые риски и штрафы?

Субсидиарная ответственность контролирующих банк лиц за отсутствие системы оценки рисков: новый тренд в судебной практике

ВС рассказал, как влияет предъявление претензии к поручителю на течение срока поручительства

В обществе есть участник или акционер из недружественной юрисдикции: как управлять рисками?

«Мертвые души» в акционерных обществах: как меняется практика? Колонка Александра Кузнецова

Восстановить пароль

Юридические новости и аналитика для тех, кто ценит время

Юридические новости и аналитика для тех, кто работает с бизнесом

Чек-лист при работе с персональными данными: проверьте, все ли есть в компании

Вы видите только часть этого материала

ОФОРМИТЬ ПОДПИСКУ

КУПИТЬ СТАТЬЮ

АВТОРИЗАЦИЯ

ВС РФ рассказал, какое условие госконтракта позволит заказчику взыскать деньги с подрядчика, даже если он ранее принял работы

Юридические мероприятия в августе

ШОРТРИД В СОЦСЕТЯХ

ПОДПИШИТЕСЬ НА НОВОСТИ

ВОПРОС ЭКСПЕРТУ

Обзор по рубрикам

Популярные новости

Восстановить пароль

Юридические новости и аналитика
для тех, кто ценит время

Юридические новости и аналитика
для тех, кто работает с бизнесом