Не во всех компаниях налажена работа с персональным данными. Бывает, что необходимые документы отсутствуют полностью или когда-то специалист их оформлял, но уже многое изменилось. Какие документы должны быть у всех, кто обрабатывает персональные данные? Кому придется направить в Роскомнадзор уведомление до 1 сентября 2022 года? Действительно ли выгоднее заплатить штраф?
Рассказывает:
Мария Маришина,
руководитель юридического направления RTM Group
Персональные данные (ПДн) – это личная информация о человеке, то есть о субъекте персональных данных. Это может быть адрес, ФИО, данные в аккаунтах в соцсетях, фото. Например, субъектом ПДн становятся посетитель сайта, заполнивший форму обратной связи для консультации, или будущий работник организации, предоставивший документы для оформления на работу.
Все компании и ИП, которые осуществляют обработку персональных данных, являются операторами ПДн. Они собирают ПДн, хранят их, вносят в различные базы.
Если компания или ИП не собирает никакие данные физических лиц, то она не является оператором. Например, если у ИП нет работников и он работает только с юридическими лицами и при этом не собирает и не хранит никаких данных физических лиц (допустим, ФИО курьеров). В этом случае можно не оформлять документы, связанные с обработкой ПДн. Если в компании или у ИП есть работники, значит они обрабатывают ПДн.
Что должно быть у всех, кто обрабатывает персональные данные?
Вот примерный список документов, которые должен иметь оператор ПДн. Он составлен исходя из рекомендаций Роскомнадзора и собственного опыта в данной сфере (ссылки указаны на Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ).
Документы
⇒ Уведомление об обработке персональных данных. Его нужно отправить в Роскомнадзор в момент начала обработки данных, форма есть здесь (ст. 22 Закона № 152-ФЗ)
⇒ Приказ о назначении ответственного за организацию обработки персональных данных у оператора (подп. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона № 152-ФЗ)
⇒ Формы согласий и сами согласия субъектов персональных данных на обработку персональных данных (ст. 9 Закона № 152-ФЗ)
⇒ Политика (положение) об обработке персональных данных (ч. 2 ст. 18.1 Закона № 152-ФЗ). При составлении положения можно взять за основу рекомендации Роскомнадзора
⇒ Документы, описывающие меры, предпринимаемые для защиты ПДн.
Они могут включать:
- инструкцию по контролю доступа в помещения, где проводится обработка ПДн,
- инструкцию по парольной защите,
- инструкцию по антивирусной защите,
- инструкцию по порядку разрешительного доступа к персональным данным,
- положение о хранении носителей, содержащих ПДн. Такими носителями могут быть флешка, диск, бумага,
- список помещений, где обрабатываются персональные данные,
- перечень средств защиты информации. В нем указываются названия средств защиты, их количество, производитель и информация о наличии сертификатов ФСТЭК и ФСБ (Постановление Правительства РФ от 01.11.2012 № 1119, п. 8.12 Приказа ФСТЭК России от 18.02.2013 № 21, подп. 2 ч. 2 ст. 19 Закона № 152-ФЗ)
⇒ Положение об обработке обращений и запросов, поступающих от субъектов ПДн (п. 3 ч. 4 ст. 22.1 Закона № 152-ФЗ). Его можно включить в политику об обработке персональных данных
⇒ Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта. Необходим, если в компании пропускной режим (п. 8 Постановления Правительства РФ от 15.09.2008 № 687)
⇒ Документ о классификации информационных систем. Например, информационными системами являются:
- 1С, в которой обрабатываются данные по сотрудникам, клиентам (в систему могут подгружать счета, договоры с клиентами);
- сайт, на котором есть форма обратной связи с клиентом, и т.д.
При классификации информационных систем нужно учитывать:
- Приказ ФСТЭК России от 18.02.2013 № 21;
- Приказ ФСТЭК России от 11.02.2013 № 17 (для госучреждений);
- Постановление Правительства РФ от 01.11.2012 № 1119.
⇒ Список лиц, которым необходим доступ к персональным данным (п. «в» ст.13 Постановления Правительства от 01.11.2012 № 1119, п.8 ч.2 ст.19 Закона № 152-ФЗ)
⇒ Положение об обработке персональных данных работников
⇒ Обязательства работников о неразглашении персональных данных (ст. 90 ТК РФ)
⇒ Модели угроз. В этом документе указывается, как именно стоит защищать данные, какие угрозы со стороны злоумышленников возможны в отношении данных и т.д. Его обязательно нужно составлять на каждую информационную систему, в которой производится обработка персональных данных.
Форму модели угроз и методику ее написания смотрите здесь.
Для подготовки этого документа нужно учитывать:
- Постановление Правительства РФ от 01.11.2012 № 1119,
- Методику оценки угроз безопасности информации, утв. ФСТЭК 05.02.2021,
- Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСТЭК 15.02.2008
Данный перечень включает основные документы, которые должны быть у оператора ПДн. Также могут быть и другие документы, например:
- журнал учета проверок контролирующими органами (Роскомнадзором);
- поручение на обработку персональных данных, если ПДн передаются другим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Например, при передаче компании, которая ведет бухгалтерию на аутсорсинге.
На заметку
Нужно ознакомить работников с документами, которые регулируют в компании обработку ПДн. Желательно также провести обучение и зафиксировать этот факт. Такое требование содержится в п. 6 ч. 1 ст. 18.1 Закона № 152-ФЗ.
Всем ли нужно уведомлять Роскомнадзор?
Компании и ИП, которые обрабатывают ПДн, должны соблюдать правила обработки, однако не всем нужно уведомлять Роскомнадзор о том, что она ведется. До 1 сентября 2022 года действует прежний обширный список случаев, когда можно не уведомлять Роскомнадзор (поправки введены Федеральным законом от 14.07.2022 № 266-ФЗ). Однако после этой даты он резко сократится (ст. 22 Закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ).
Так, с 1 сентября 2022 года можно не уведомлять Роскомнадзор об обработке ПДн, только если:
- ПДн включены в государственные электронные ресурсы, которые созданы для защиты безопасности государства и общественного порядка;
- оператор обрабатывает ПДн исключительно без использования средств автоматизации, то есть на бумаге;
- это предусмотрено законами о транспортной безопасности, для обеспечения безопасности транспортного комплекса государства, защиты общества в этой сфере.
Таким образом, после 1 сентября 2022 года останется совсем мало случаев, когда можно будет не уведомлять Роскомнадзор об обработке ПДн. Например, потребуется отправлять уведомление в Роскомнадзор, даже если компания обрабатывает только ПДн своих сотрудников или собирает данные для выдачи одноразовых пропусков.
Читайте также:
Поправки в сфере персональных данных с 1 сентября 2022 года: что придется изменить компаниям?
Разберем несколько ситуаций:
Компания получает только личные данные своих сотрудников и не передает их третьим лицам. До 1 сентября 2022 года можно не уведомлять Роскомнадзор. Но после этой даты уведомление Роскомнадзора в этой ситуации станет обязательным. Кроме того, если работодатель передает данные сотрудников третьим лицам (например, для оформления зарплатного проекта, ДМС), то в любом случае требуется направить в Роскомнадзор уведомление об обработке ПДн.
Компания собирает на проходной личные данные посетителей и работников. Если пропуск нужен посетителю для многократного использования, то нужно уведомлять Роскомнадзор об обработке ПДн. Если данные требуются для оформления однократного пропуска посетителям, то до 1 сентября 2022 года сообщать об обработке ПДн в Роскомнадзор не требуется. Но к этой дате в любом случае придется отправить уведомление.
В случае с работниками, если данные не передаются третьим лицам и организациям, а пропуск — многократный, то сообщать в Роскомнадзор не нужно до 1 сентября 2022 года (после этой даты уведомления станут обязательными). Но если сведения предоставляются третьей стороне (например, ЧОП, осуществляющему пропускной режим), то уведомление регулятора в любом случае обязательно.
Компания собирает фото клиентов. Это биометрические ПДн, поэтому уведомление Роскомнадзора об обработке персональных данных является обязательным.
Для заказа нужно сообщить ФИО, адрес электронной почты, адрес для доставки. Если эти данные нужны исключительно для исполнения условий договора, они не передаются третьим лицами и еще не наступило 1 сентября 2022 года, то уведомление Роскомнадзора не требуется. А вот когда компания передает сведения курьеру, который не является ее сотрудником, отправлять уведомление в Роскомнадзор нужно обязательно – так было и до поправок, которые вступают в силу 1 сентября 2022 года.
На сайте есть форма обратной связи и нужно заполнять ФИО и телефон или только телефон. До 1 сентября 2022 года можно не уведомлять Роскомнадзор, если данные не передаются третьим лицам. Но если сведения поступают рекламным агентам для маркетинговых целей, тогда сообщать об обработке нужно. После 1 сентября уведомлять Роскомнадзор нужно независимо от того, передаются сведения третьим лицам или нет.
Если же компания собирает только данные о номере телефона клиента (без ФИО), то не нужно отправлять в Роскомнадзор уведомление (в том числе после 1 сентября 2022 года), так как сам по себе номер телефона не характеризует субъекта персональных данных.
Компания собирает cookies. Нужно отправить в Роскомнадзор уведомление об обработке ПДн (Определение Мосгорсуда от 10.11.2016 по делу № 33-38783/2016).
Допустим, компания давно собирает ПДн. Когда она начинала работать, у нее не было обязанности направлять в Роскомнадзор уведомление об обработке ПДн. Например, потому что она собирала только ПДн сотрудников и никуда эти данные не направляла. Но с 1 сентября 2022 года вступают в силу поправки, согласно которым при обработке ПДн сотрудников нужно уведомлять Роскомнадзор о начале обработки ПДн (введены Федеральным законом от 14.07.2022 № 266-ФЗ). Следовательно, этой компании нужно до 1 сентября направить такое уведомление несмотря на то, что она давно работает и обрабатывает такие ПДн.
Какие штрафы грозят?
*Если Вы читаете с мобильного устройства, переверните его горизонтально, чтобы просмотреть таблицу
| Нарушение | Наказание | Норма КоАП |
| Обработка ПДн не предусмотрена законом или несовместима с целями сбора данных (например, в положении указаны одни цели для сбора данных, а их собирают и для других, допустим, для маркетинговых целей) | Штраф:
|
ч. 1 ст. 13.11 |
| Нет согласия субъекта или есть другие нарушения обработки ПДн (например, компания неправильно хранит данные субъекта при их обработке на бумаге, бумажный носитель не убирают в шкаф, сейф) | Штраф:
|
ч. 2 ст. 13.11 |
| Оператор не предоставил доступ к политике по обработке ПДн (например, не опубликовал на сайте) | Штраф:
|
ч. 3 ст. 13.11 |
| Оператор не предоставляет субъекту ПДн информацию, которая касается обработки его ПДн | Штраф:
|
ч. 4 ст. 13.11 |
| Оператор не выполнил в срок требования субъекта ПДн, его представителя, либо Роскомнадзора об уточнении ПДн, их блокировании или уничтожении | Штраф:
|
ч. 5 ст. 13.11 |
| Оператор не выполнил при обработке ПДн на бумажных носителях обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих незаконный к ним доступ, если это повлекло доступ к данным | Штраф:
|
ч. 6 ст. 13.11 |
| Оператор обрабатывает ПДн с использованием баз данных, не находящихся на территории РФ
|
Штраф:
|
ч. 8 ст. 13.11 |
| Оператор не предоставил или несвоевременно предоставил в Роскомнадзор сведения (либо в неполном объеме или в искаженном виде) | Штраф:
|
ст. 19.7 |
Если компанию оштрафовали, но она оплачивает штраф в течение 20 дней, то она может заплатить половину суммы (ч. 3.4-1 ст. 4.1 КоАП в редакции Федерального закона от 14.07.2022 № 290-ФЗ). А при совершении правонарушения впервые штраф заменяется на предупреждение (ч. 1 ст. 4.1.1 КоАП в редакции Федерального закона от 14.07.2022 № 290-ФЗ). Еще нужно помнить, что за повторные нарушения штрафы, наоборот, гораздо выше.
Проводит ли Роскомнадзор проверки в 2022 году?
В 2022 году Роскомнадзор не проводит плановые проверки и надзорные мероприятия в компаниях и ИП, осуществляющих обработку персональных данных (п. 1 Постановления Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля»). Но внеплановые проверки могут провести. Так, проверки по заявлениям и жалобам физических лиц — субъектов персональных данных активно идут, поэтому надеяться на отсутствие контроля не приходится.
Что выгоднее: заплатить штраф или за оформление всех документов?
Многие считают, что выгоднее заплатить штраф, чем потратить деньги на оформление всего комплекта документов, необходимых при обработке персональных данных, а Роскомнадзор штрафует редко.
На самом деле нужно учитывать, что достаточно одной жалобы клиента в Роскомнадзор, чтобы инициировать проверку, а штрафы будут считать за каждое нарушение.
Например, есть интернет-магазин, который продает строительные материалы. На его сайте можно приобрести товар, но для этого покупатель должен указать свои персональные данные: ФИО, адрес для доставки, номер телефона, адрес электронной почты. Также предусмотрена форма обратной связи для клиентов, которые могут поинтересоваться у сотрудников интернет-магазина о дополнительных свойствах продаваемого товара.
На сайте отсутствуют необходимые документы по защите персональных данных: согласие на обработку ПДн и политика по обработке ПДн. Также интернет-магазин игнорирует запросы клиентов по поводу обработки их данных.
Верхнего потолка суммы в данном случае нет, поэтому посчитаем только минимальный штраф для юрлица в таком случае:
- нет согласия на обработку персональных данных – от 30 000 рублей (такой штраф будет, если нарушение совершено впервые, за повторное нарушение штрафы будут выше – для юрлиц от 300 000 рублей. Каждый случай считается индивидуально, то есть указанный размер штрафа можно получить как за нескольких клиентов, которые не дали согласие на обработку данных, так и за одного);
- нет политики об обработке персональных данных – от 30 000 рублей;
- компания не отвечает на запросы клиентов-физлиц по поводу обработки ПДн – от 40 000 рублей за каждую жалобу в Роскомнадзор.
При этом стоимость оформления документов у сторонних специалистов – от 60 000 до 150 000 рублей, а периодическая корректировка документации и поддержание в актуальном состоянии составят около 40 000 — 50 000 рублей в год.
Если нанимать отдельного специалиста в компанию, то это от 40 000 до 150 000 рублей в месяц в зависимости от региона и объема работы.
Читайте также
Ошибки в работе с персональными данными. За какие нарушения штрафует Роскомнадзор?
В 2017 году в КоАП РФ внесли поправки, ужесточающие административную ответственность за нарушения законодательства в области персональных данных. В результате...
Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?
Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что не...
Юридический аудит сайта: что проверить в первую очередь?
Провести аудит сайта и оценить юридические риски – комплексная задача. Есть некоторые общие требования для всех сайтов и есть индивидуальные...
ВС РФ рассказал, когда работника нельзя привлечь к полной материальной ответственности
Работник - менеджер по закупкам подписал договор о полной материальной ответственности. При исполнении трудовых обязанностей он управлял автомобилем работодателя и...
