Шортрид
ПРАВОВЫЕ НОВОСТИ И АНАЛИТИКА
ДЛЯ ТЕХ, КТО ЦЕНИТ ВРЕМЯ
Суббота, 20 августа, 2022
  • Все
  • Рубрики
    • Административная ответственность
    • Банкротство
    • Договоры
    • Конкуренция и реклама
    • Земля и недвижимость
    • Интеллектуальная собственность
    • Корпоративные отношения
    • Личные вопросы
    • Налоги
    • Трудовые споры
    • Процесс
    • Сервисы
  • Новости
  • Аналитика
  • Ответы на вопросы
  • О проекте
Оформить подписку
  • Войти
  • Регистрация
Шортрид
  • Все
  • Рубрики
    • Административная ответственность
    • Банкротство
    • Договоры
    • Конкуренция и реклама
    • Земля и недвижимость
    • Интеллектуальная собственность
    • Корпоративные отношения
    • Личные вопросы
    • Налоги
    • Трудовые споры
    • Процесс
    • Сервисы
  • Новости
  • Аналитика
  • Ответы на вопросы
  • О проекте
Оформить подписку
  • Войти
  • Регистрация
Шортрид
Нет результатов
Показать все
Нет результатов
Показать все
Главная Административная ответственность

Чек-лист при работе с персональными данными: проверьте, все ли есть в компании

26.07.2022
Административная ответственность, Аналитика
13
1571
Просмотров

Не во всех компаниях налажена работа с персональным данными. Бывает, что необходимые документы отсутствуют полностью или когда-то специалист их оформлял, но уже многое изменилось. Какие документы должны быть у всех, кто обрабатывает персональные данные? Кому придется направить в Роскомнадзор уведомление до 1 сентября 2022 года? Действительно ли выгоднее заплатить штраф?

Рассказывает:

Мария Маришина шортрид

 

Мария Маришина,

руководитель юридического направления RTM Group

 


Персональные данные (ПДн) – это личная информация о человеке, то есть о субъекте персональных данных. Это может быть адрес, ФИО, данные в аккаунтах в соцсетях, фото. Например, субъектом ПДн становятся посетитель сайта, заполнивший форму обратной связи для консультации, или будущий работник организации, предоставивший документы для оформления на работу.

Все компании и ИП, которые осуществляют обработку персональных данных, являются операторами ПДн. Они собирают ПДн, хранят их, вносят в различные базы.

Если компания или ИП не собирает никакие данные физических лиц, то она не является оператором. Например, если у ИП нет работников и он работает только с юридическими лицами и при этом не собирает и не хранит никаких данных физических лиц (допустим, ФИО курьеров). В этом случае можно не оформлять документы, связанные с обработкой ПДн. Если в компании или у ИП есть работники, значит они обрабатывают ПДн.

Что должно быть у всех, кто обрабатывает персональные данные?

Вот примерный список документов, которые должен иметь оператор ПДн. Он составлен исходя из рекомендаций Роскомнадзора и собственного опыта в данной сфере (ссылки указаны на Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ).

Документы

⇒ Уведомление об обработке персональных данных. Его нужно отправить в Роскомнадзор в момент начала обработки данных, форма есть здесь (ст. 22 Закона № 152-ФЗ)

⇒ Приказ о назначении ответственного за организацию обработки персональных данных у оператора (подп. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона № 152-ФЗ)

⇒ Формы согласий и сами согласия субъектов персональных данных на обработку персональных данных (ст. 9 Закона № 152-ФЗ)

⇒ Политика (положение) об обработке персональных данных (ч. 2 ст. 18.1 Закона  № 152-ФЗ). При составлении положения можно взять за основу рекомендации Роскомнадзора

⇒ Документы, описывающие меры, предпринимаемые для защиты ПДн.

Они могут включать:

  • инструкцию по контролю доступа в помещения, где проводится обработка ПДн,
  • инструкцию по парольной защите,
  • инструкцию по антивирусной защите,
  • инструкцию по порядку разрешительного доступа к персональным данным,
  • положение о хранении носителей, содержащих ПДн. Такими носителями могут быть флешка, диск, бумага,
  • список помещений, где обрабатываются персональные данные,
  • перечень средств защиты информации. В нем указываются названия средств защиты, их количество, производитель и информация о наличии сертификатов ФСТЭК и ФСБ (Постановление Правительства РФ от 01.11.2012 № 1119, п. 8.12 Приказа ФСТЭК России от 18.02.2013 № 21, подп. 2 ч. 2 ст. 19 Закона № 152-ФЗ)

⇒ Положение об обработке обращений и запросов, поступающих от субъектов ПДн (п. 3 ч. 4 ст. 22.1 Закона № 152-ФЗ). Его можно включить в политику об обработке персональных данных

⇒ Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта. Необходим, если в компании пропускной режим (п. 8 Постановления Правительства РФ от 15.09.2008 № 687)

⇒ Документ о классификации информационных систем. Например, информационными системами являются:

  • 1С, в которой обрабатываются данные по сотрудникам, клиентам (в систему могут подгружать счета, договоры с клиентами);
  • сайт, на котором есть форма обратной связи с клиентом, и т.д.

При классификации информационных систем нужно учитывать:

  • Приказ ФСТЭК России от 18.02.2013 № 21;
  • Приказ ФСТЭК России от 11.02.2013 № 17 (для госучреждений);
  • Постановление Правительства РФ от 01.11.2012 № 1119.

⇒ Список лиц, которым необходим доступ к персональным данным (п. «в» ст.13 Постановления Правительства от 01.11.2012 № 1119, п.8 ч.2 ст.19 Закона № 152-ФЗ)

⇒ Положение об обработке персональных данных работников

⇒ Обязательства работников о неразглашении персональных данных (ст. 90 ТК РФ)

⇒ Модели угроз. В этом документе указывается, как именно стоит защищать данные, какие угрозы со стороны злоумышленников возможны в отношении данных и т.д. Его обязательно нужно составлять на каждую информационную систему, в которой производится обработка персональных данных.

Форму модели угроз и методику ее написания смотрите здесь.

Для подготовки этого документа нужно учитывать:

  • Постановление Правительства РФ от 01.11.2012 № 1119,
  • Методику оценки угроз безопасности информации, утв. ФСТЭК 05.02.2021,
  • Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСТЭК 15.02.2008

Данный перечень включает основные документы, которые должны быть у оператора ПДн. Также могут быть и другие документы, например:

  • журнал учета проверок контролирующими органами (Роскомнадзором);
  • поручение на обработку персональных данных, если ПДн передаются другим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Например, при передаче компании, которая ведет бухгалтерию на аутсорсинге.
На заметку

Нужно ознакомить работников с документами, которые регулируют в компании обработку ПДн. Желательно также провести обучение и зафиксировать этот факт. Такое требование содержится в п. 6 ч. 1 ст. 18.1 Закона № 152-ФЗ.


 

Всем ли нужно уведомлять Роскомнадзор?

Компании и ИП, которые обрабатывают ПДн, должны соблюдать правила обработки, однако не всем нужно уведомлять Роскомнадзор о том, что она ведется. До 1 сентября 2022 года действует прежний обширный список случаев, когда можно не уведомлять Роскомнадзор (поправки введены Федеральным законом от 14.07.2022 № 266-ФЗ). Однако после этой даты он резко сократится (ст. 22 Закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ).

Так, с 1 сентября 2022 года можно не уведомлять Роскомнадзор об обработке ПДн, только если:

  • ПДн включены в государственные электронные ресурсы, которые созданы для защиты безопасности государства и общественного порядка;
  • оператор обрабатывает ПДн исключительно без использования средств автоматизации, то есть на бумаге;
  • это предусмотрено законами о транспортной безопасности, для обеспечения безопасности транспортного комплекса государства, защиты общества в этой сфере.

Таким образом, после 1 сентября 2022 года останется совсем мало случаев, когда можно будет не уведомлять Роскомнадзор об обработке ПДн. Например, потребуется отправлять уведомление в Роскомнадзор, даже если компания обрабатывает только ПДн своих сотрудников или собирает данные для выдачи одноразовых пропусков.


Читайте также:
Поправки в сфере персональных данных с 1 сентября 2022 года: что придется изменить компаниям?

Разберем несколько ситуаций:

Компания получает только личные данные своих сотрудников и не передает их третьим лицам. До 1 сентября 2022 года можно не уведомлять Роскомнадзор. Но после этой даты уведомление Роскомнадзора в этой ситуации станет обязательным. Кроме того, если работодатель передает данные сотрудников третьим лицам (например, для оформления зарплатного проекта, ДМС), то в любом случае требуется направить в Роскомнадзор уведомление об обработке ПДн.

Компания собирает на проходной личные данные посетителей и работников. Если пропуск нужен посетителю для многократного использования, то нужно уведомлять Роскомнадзор об обработке ПДн. Если данные требуются для оформления однократного пропуска посетителям, то до 1 сентября 2022 года сообщать об обработке ПДн в Роскомнадзор не требуется. Но к этой дате в любом случае придется отправить уведомление.

В случае с работниками, если данные не передаются третьим лицам и организациям, а пропуск — многократный, то сообщать в Роскомнадзор не нужно до 1 сентября 2022 года (после этой даты уведомления станут обязательными). Но если сведения предоставляются третьей стороне (например, ЧОП, осуществляющему пропускной режим), то уведомление регулятора в любом случае обязательно.

Компания собирает фото клиентов. Это биометрические ПДн, поэтому уведомление Роскомнадзора об обработке персональных данных является обязательным.

Для заказа нужно сообщить ФИО, адрес электронной почты, адрес для доставки. Если эти данные нужны исключительно для исполнения условий договора, они не передаются третьим лицами и еще не наступило 1 сентября 2022 года, то уведомление Роскомнадзора не требуется. А вот когда компания передает сведения курьеру, который не является ее сотрудником, отправлять уведомление в Роскомнадзор нужно обязательно – так было и до поправок, которые вступают в силу 1 сентября 2022 года.

На сайте есть форма обратной связи и нужно заполнять ФИО и телефон или только телефон. До 1 сентября 2022 года можно не уведомлять Роскомнадзор, если данные не передаются третьим лицам. Но если сведения поступают рекламным агентам для маркетинговых целей, тогда сообщать об обработке нужно. После 1 сентября уведомлять Роскомнадзор нужно независимо от того, передаются сведения третьим лицам или нет.

Если же компания собирает только данные о номере телефона клиента (без ФИО), то не нужно отправлять в Роскомнадзор уведомление (в том числе после 1 сентября 2022 года), так как  сам по себе номер телефона не характеризует субъекта персональных данных.

Компания собирает cookies. Нужно отправить в Роскомнадзор уведомление об обработке ПДн (Определение Мосгорсуда от 10.11.2016 по делу № 33-38783/2016).


Допустим, компания давно собирает ПДн. Когда она начинала работать, у нее не было обязанности направлять в Роскомнадзор уведомление об обработке ПДн. Например, потому что она собирала только ПДн сотрудников и никуда эти данные не направляла. Но с 1 сентября 2022 года вступают в силу поправки, согласно которым при обработке ПДн сотрудников нужно уведомлять Роскомнадзор о начале обработки ПДн (введены Федеральным законом от 14.07.2022 № 266-ФЗ). Следовательно, этой компании нужно до 1 сентября направить такое уведомление несмотря на то, что она давно работает и обрабатывает такие ПДн.

Какие штрафы грозят?

*Если Вы читаете с мобильного устройства, переверните его горизонтально, чтобы просмотреть таблицу

Нарушение Наказание Норма КоАП
Обработка ПДн не предусмотрена законом или несовместима с целями сбора данных (например, в положении указаны одни цели для сбора данных, а их собирают и для других, допустим, для маркетинговых целей) Штраф:

  • должностному лицу — от 10 000 до 20 000 рублей
  • юрлицу — от 60 000 до 100 000 рублей
ч. 1 ст. 13.11
Нет согласия субъекта или есть другие нарушения обработки ПДн (например, компания неправильно хранит данные субъекта при их обработке на бумаге, бумажный носитель не убирают в шкаф, сейф) Штраф:

  • для должностных лиц — от 20 000 до 40 000 рублей;
  • для юрлиц — от 30 000 до 150 000 рублей
ч. 2 ст. 13.11
Оператор не предоставил доступ к политике по обработке ПДн (например, не опубликовал на сайте) Штраф:

  • для должностных лиц — от 6000 до 12 000 рублей;
  • для ИП — от 10 000 до 20 000 рублей,
  • для юрлиц — от 30 000 до 60 000 рублей.
ч. 3 ст. 13.11
Оператор не предоставляет субъекту ПДн информацию, которая касается обработки его ПДн Штраф:

  • для должностных лиц — от 8000 до 12 000 рублей,
  • для ИП — от 20 000 до 30 000 рублей,
  • для юрлиц — от 40 000 до 80 000 рублей
ч. 4 ст. 13.11
Оператор не выполнил в срок требования субъекта ПДн, его представителя, либо Роскомнадзора об уточнении ПДн, их блокировании или уничтожении Штраф:

  • для должностных лиц — от 8000 до 20 000 рублей,
  • для ИП — от 20 000 до 40 000 рублей,
  • для юрлиц — от 50 000 до 90 000 рублей
ч. 5 ст. 13.11
Оператор не выполнил при обработке ПДн на бумажных носителях обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих незаконный к ним доступ, если это повлекло доступ к данным Штраф:

  • для должностных лиц — от 8000 до 20 000 рублей,
  • для ИП — от 20 000 до 40 000 рублей,
  • для юрлиц — от 50 000 до 100 000 рублей
ч. 6 ст. 13.11
Оператор обрабатывает ПДн с использованием баз данных, не находящихся на территории РФ

 

 

Штраф:

  • для должностных лиц — от 100 000 до 200 000 рублей;
  • для юрлиц — от 1 млн до 6 млн рублей
ч. 8 ст. 13.11
Оператор не предоставил или несвоевременно предоставил в Роскомнадзор сведения (либо в неполном объеме или в искаженном виде) Штраф:

  • для должностных лиц — от 300 до 500 рублей,
  • для юрлиц — от 3000 до 5000 рублей
ст. 19.7

Если компанию оштрафовали, но она оплачивает штраф в течение 20 дней, то она может заплатить половину суммы (ч. 3.4-1 ст. 4.1 КоАП в редакции Федерального закона от 14.07.2022 № 290-ФЗ). А при совершении правонарушения впервые штраф заменяется на предупреждение (ч. 1 ст. 4.1.1 КоАП в редакции Федерального закона от 14.07.2022 № 290-ФЗ). Еще нужно помнить, что за повторные нарушения штрафы, наоборот, гораздо выше.

Проводит ли Роскомнадзор проверки в 2022 году?

В 2022 году Роскомнадзор не проводит плановые проверки и надзорные мероприятия в компаниях и ИП, осуществляющих обработку персональных данных (п. 1 Постановления Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля»). Но внеплановые проверки могут провести. Так, проверки по заявлениям и жалобам физических лиц — субъектов персональных данных активно идут, поэтому надеяться на отсутствие контроля не приходится.

Что выгоднее: заплатить штраф или за оформление всех документов?

Многие считают, что выгоднее заплатить штраф, чем потратить деньги на оформление всего комплекта документов, необходимых при обработке персональных данных, а Роскомнадзор штрафует редко.

На самом деле нужно учитывать, что достаточно одной жалобы клиента в Роскомнадзор, чтобы инициировать проверку, а штрафы будут считать за каждое нарушение.

Например, есть интернет-магазин, который продает строительные материалы. На его сайте можно приобрести товар, но для этого покупатель должен указать свои персональные данные: ФИО, адрес для доставки, номер телефона, адрес электронной почты. Также предусмотрена форма обратной связи для клиентов, которые могут поинтересоваться у сотрудников интернет-магазина о дополнительных свойствах продаваемого товара.

На сайте отсутствуют необходимые документы по защите персональных данных: согласие на обработку ПДн и политика по обработке ПДн. Также интернет-магазин игнорирует запросы клиентов по поводу обработки их данных.

Верхнего потолка суммы в данном случае нет, поэтому посчитаем только минимальный штраф для юрлица в таком случае:

  • нет согласия на обработку персональных данных – от 30 000 рублей (такой штраф будет, если нарушение совершено впервые, за повторное нарушение штрафы будут выше – для юрлиц от 300 000 рублей. Каждый случай считается индивидуально, то есть указанный размер штрафа можно получить как за нескольких клиентов, которые не дали согласие на обработку данных, так и за одного);
  • нет политики об обработке персональных данных – от 30 000 рублей;
  • компания не отвечает на запросы клиентов-физлиц по поводу обработки ПДн – от 40 000 рублей за каждую жалобу в Роскомнадзор.

При этом стоимость оформления документов у сторонних специалистов – от 60 000 до 150 000 рублей, а периодическая корректировка документации и поддержание в актуальном состоянии составят около 40 000 — 50 000 рублей в год.

Если нанимать отдельного специалиста в компанию, то это от 40 000 до 150 000 рублей в месяц в зависимости от региона и объема работы.

Читайте также

Ошибки в работе с персональными данными. За какие нарушения штрафует Роскомнадзор?

27.08.2020
2400
Административная ответственность

В 2017 году в КоАП РФ внесли поправки, ужесточающие административную ответственность за нарушения законодательства в области персональных данных. В результате...

Подробнее

Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?

16.12.2020
4669
Административная ответственность

Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что не...

Подробнее

Юридический аудит сайта: что проверить в первую очередь?

06.09.2020
1927
Интеллектуальная собственность

Провести аудит сайта и оценить юридические риски – комплексная задача. Есть некоторые общие требования для всех сайтов и есть  индивидуальные...

Подробнее

ВС РФ рассказал, когда работника нельзя привлечь к полной материальной ответственности

15.12.2021
742
Трудовые споры

Работник - менеджер по закупкам подписал договор о полной материальной ответственности. При исполнении трудовых обязанностей он управлял автомобилем работодателя и...

Подробнее
Теги: обработка персональных данныхперсональные данныеРоскомнадзоршортридштрафы
Предыдущий

ВС РФ рассказал, какое условие госконтракта позволит заказчику взыскать деньги с подрядчика, даже если он ранее принял работы

Следующий

Юридические мероприятия в августе

Колонка главного редактора

Роман Бевзенко главный редактор ШОРТРИД

Роман Бевзенко:

«Мы отбираем самые важные юридические новости и приглашаем коллег объяснить простым языком сложные правовые вопросы»
читать >>

СЕЙЧАС ЧИТАЮТ

Поправки в сфере персональных данных с 1 сентября 2022 года: что придется изменить компаниям?

14.08.2022
806

ВС РФ рассказал, как работают нормы об индексации присужденных сумм

16.08.2022
360

Ликвидация ООО: сколько нужно времени, чтобы закрыть компанию, и как избежать проблем с налоговой инспекцией?

06.10.2020
7207

Переписка в мессенджерах: когда суды считают ее доказательством?

05.08.2022
2056

ШОРТРИД В СОЦСЕТЯХ

Чтобы не пропустить новую статью, подписывайтесь на ШОРТРИД в соцсетях:

Годовая подписка на ШОРТРИД

Теперь Вы можете оформить подписку на ШОРТРИД сразу на год.

Перейдите по ссылке или напишите на info@shortread.ru, чтобы мы выставили Вам счет.

ПОДПИШИТЕСЬ НА НОВОСТИ

Какой-то текст ошибки
Какой-то текст ошибки
Какой-то текст ошибки
ПОДПИСАТЬСЯ
Спасибо за подписку.
Одно или несколько полей содержат ошибку. Пожалуйста проверьте и попробуйте снова.
При отправке запроса произошла ошибка. Пожалуйста, попробуйте позже.

ВОПРОС ЭКСПЕРТУ

Вы можете задать вопросы, и мы подготовим ответы на самые интересные из них

ЗАДАТЬ ВОПРОС

Войти с помощью:

Шортрид

Правовые новости и аналитика
для тех, кто ценит время

Обзор по рубрикам

  • Административная ответственность
  • Банкротство
  • Договоры
  • Конкуренция и реклама
  • Земля и недвижимость
  • Интеллектуальная собственность
  • Корпоративные отношения
  • Личные вопросы
  • Налоги
  • Трудовые споры
  • Процесс
  • Сервисы

Популярные новости

ВС РФ рассказал, как работают нормы об индексации присужденных сумм

Поправки в сфере персональных данных с 1 сентября 2022 года: что придется изменить компаниям?

ВС РФ обязал городскую администрацию построить асфальтированную дорогу и организовать освещение в поселке

Переписка в мессенджерах: когда суды считают ее доказательством?

Недостроенный объект передали фонду защиты прав дольщиков: что делать залоговым кредиторам?

КС РФ ограничил срок расследования уголовного дела, когда обвиняемый против его прекращения по нереабилитирующему основанию

  • О проекте
  • Контакты
  • Политика конфиденциальности
  • Правила использования материалов
  • Пользовательское соглашение

© 2022 Шортрид. By Octoweb.

  • Войти
  • Регистрация
  • Корзина
  • Главная
  • Рубрики
  • Новости
  • Аналитика
  • Ответы на вопросы
  • О проекте
  • Установить приложение
  • ОФОРМИТЬ ПОДПИСКУ

© 2022 Шортрид. By Octoweb.

Добро пожаловать на ШОРТРИД!

Забыли пароль? Регистрация

Заполните форму ниже для регистрации

*Регистрируясь на сайте, я принимаю Политику конфиденциальности.
Все поля обязательны Войти

Восстановить пароль

Введите логин или e-mail, чтобы сбросить пароль

Войти

Мы используем файлы куки. Чтобы продолжить использовать сайт прочтите и примите наши условия.