Предписание о разработке системы защиты персональных данных - правда или развод?

За какие нарушения штрафует Роскомнадзор?

Нарушения закона 152-ФЗ «О персональных данных»

В результате проверок, проведённых с мая по ноябрь, было установлено, что 50% компаний нарушают ч. 4 ст. 20 закона 152-ФЗ, которая обязывает в течение 30 дней отвечать на письменный запрос надзорного органа. Как правило, в таком запросе содержится требование направить уведомление об обработке персональных данных.

Согласно ч. 2 ст. 18.1 152-ФЗ оператор персональных данных должен опубликовать политику в отношении обработки персональных данных. Это требование нарушили 7 % организаций, проверенных Роскомнадзором. Зачастую клиенты оставляют online-заявки на сайтах Интернет-магазинов, а также передают свои персональные данные, записываясь в автосервис или на приём к врачу. Согласно 152-ФЗ политика обработки персональных данных должна быть общедоступной: если у компании нет своего сайта, то её необходимо разместить хотя бы на информационном стенде.

5 % компаний нарушили ч. 3 ст. 22 152-ФЗ, согласно которой при уведомлении Роскомнадзора необходимо указывать актуальные и соответствующие действительности сведения, такие как наименование, адрес оператора, ФИО ответственного лица, категории персональных данных, цель их обработки и иные сведения, предусмотренные данной статьёй.

Если организация не уведомит Роскомнадзор об изменении этих сведений, то в случае проведения проверки она будет оштрафована.

Наименее распространёнными нарушениями закона «О персональных данных» оказались:

* — отсутствие согласия на обработку персональных данных (ч. 1 ст. 6);

* — раскрытие и распространение персональных данных в нарушение ст. 7 закона;

* — незаконная передача персональных данных другой компании (ч. 4 ст. 9);

* — незаконная обработка специальных категорий персональных данных (ч. 1 ст. 10).

Нарушения постановления Правительства № 687

Постановление Правительства № 687 от 15.09.2008 является подзаконным актом к закону 152-ФЗ «О персональных данных». Нарушения его требований были выявлены у 5% проверяемых компаний. Этот документ регламентирует хранение и использование бумажных документов, содержащих персональные данные.

Чаще всего компании нарушают требования к форме документов (п.7). Например, в них необходимо указывать перечень действий, совершаемых с персональными данными, а также срок и цель их обработки. Также нарушаются требования к местам хранения документов (п.13). Разные документы (например, трудовые договоры и договоры с клиентами) должны храниться раздельно в заранее определённых местах. Работники допускаются к использованию документов на основании приказа.

Нужно проинформировать работников, что они допущены к использованию документов (п. 6), а также ознакомить с локальными актами компании (например, положением об обработке персональных данных).

Нарушения постановления Правительства № 211

Постановление Правительства № 211 от 21.03.2012 ужесточает требования 152-ФЗ, но данный подзаконный акт обязателен к исполнению только государственными и муниципальными органами. В ходе проведения проверок Роскомнадзором были выявлены нарушения требований этого документа в 3% случаев.

В нём перечислены дополнительные документы и требования (п. 1), а также сказано, что государственный или муниципальный орган должен публиковать политику на сайте в течение 10 дней после её утверждения (п. 2).

Нарушение требований главы 14 Трудового кодекса РФ

За нарушение требований Трудового Кодекса был оштрафован 1% компаний. Работники этих компаний не были ознакомлены под роспись с документами, регламентирующими обработку их персональных данных, или же у работодателей и вовсе не оказалось таких документов.

В таком случае Роскомнадзор привлекает компанию к ответственности и передаёт информацию в Трудовую инспекцию.

Какова ответственность за нарушение закона «О защите персональных данных»?

Чаще всего организации-нарушители и их сотрудники подвергаются штрафам, но возможное наказание не ограничивается только штрафами. Ответственность за нарушение 152-ФЗ предусмотрена Трудовым кодексом, Кодексом об административных правонарушениях, а также Гражданским и Уголовным кодексами.

Административную ответственность предусматривает КоАП: согласно статье 13.11 на граждан может быть наложен штраф в размере от 300 до 500 руб, а организацию могут оштрафовать на сумму до 10.000 руб. Если компания не выполнит предписание Роскомнадзора в срок или не ответит на его запрос, штраф может составить до 20.000 руб.

Штраф до 50.000 руб. предусмотрен за нарушения трудового законодательства, в том числе главы 14 ТК РФ.

Дисциплинарная ответственность предусмотрена главой 14 Трудового Кодекса и касается защиты персональных данных работников. Работники могут в судебном порядке обжаловать действия работодателя при обработке их персональных данных, в результате чего виновные в нарушениях работники могут получить замечание, выговор или быть уволены. В случае разглашения любой охраняемой законом тайны, в том числе персональных данных другого работника, работник может быть уволен по инициативе работодателя.

Гражданско-правовая ответственность предусмотрена законом «О персональных данных», который предоставляет физическим лицам право на возмещение морального и имущественного вреда, а также компенсацию понесённых убытков.

Уголовная ответственность может наступить за нарушение неприкосновенности частной жизни, к которому можно отнести незаконный сбор или распространение сведений, составляющих личную или семейную тайну. Статья 137 УК РФ предусматривает наказание в виде штрафа до 300.000 руб., принудительных работ или лишения свободы на срок до 4 лет.

Как защититься от штрафа?

Лучший способ обезопасить себя и свою компанию от штрафов и иных видов ответственности – это обеспечить соответствие деятельности компании требованиям действующего законодательства и заблаговременно подготовиться к возможной проверке Роскомнадзора.