Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» является основным документом, регулирующим деятельность по обработке и использованию персональных данных. Он вступил в силу шесть лет назад, в 2011 году, и за это время претерпел некоторые изменения и был не раз дополнен. С 1 июля 2017 года вступает в силу новое изменение – ужесточение административной ответственности работодателя (оператора персональных данных). Закон от 7 февраля 2017 г. №13-ФЗ расширил перечень оснований для привлечения работодателя к ответственности в области защиты персональных данных, штрафы также увеличились. Так, в частности, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., ИП – на сумму от 5 000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб.
Финансовые взыскания можно получить в том случае, если:
- была произведена обработка персональных данных в случаях, не предусмотренных российским законодательством; штраф также будет наложен, если субъект, чьи данные были обработаны, не дал своего письменного согласия на это;
- оператор не опубликовал или не предоставил возможность неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите;
- субъекту персональных данных не была предоставлена информация по их обработке;
- оператор отказался предоставить по требованию субъекта персональных данных или его представителя информацию об уточнении, блокировке, уничтожении данных. В случае, если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки;
- оператором при обработке персональных данных без использования средств автоматизации не была обеспечена должная сохранность персональных данных при хранении их материальных носителей, в том случае, если это повлекло за собой неправомерный или случайный доступ к персональным данным. А это, в свою очередь, стало причиной их уничтожения, распространения, блокирования, изменения, копирования, предоставления, либо любого другого действия, являющегося неправомерным;
- невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу.
В данной статье мы рассмотрим варианты, при которых компания сможет обезопасить себя от возможных санкций, а также расскажем какие обязательные документы в области обработки персональных данных должны быть в организации.
Согласие на обработку персональных данных
Говоря о таком понятии, как «персональные данные» необходимо понимать, что оно имеет довольно широкий смысл. Как гласит пункт 1 статьи 3 Федерального закона от 27 июля 2006 №152-ФЗ: под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу. Иными словами, персональными данными считаются и ФИО, и место проживания, и место рождения, и другие сведения, относящиеся к конкретному субъекту, чьи данные будет обрабатывать компания.
Интересно, что благодаря расплывчатой трактовке, практика различных судов и Роскомнадзора показывает, что даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени могут считаться персональными данными. Таким образом, закон РФ обязывает компанию охранять и защищать любую информацию о работнике или клиенте, которая касается персональных данных.
Многие работодатели заблуждаются, считая, что согласие на обработку персональных данных от нанимаемого специалиста не требуется. Ошибочно полагать, что если получаемая от работника информация используется не для личных целей компании, а для поддержания трудовых отношений и соблюдения российского законодательства, то получение согласия работника на такие действия не требуется. К такому укоренившемуся и ошибочному мнению привела неверная трактовка п. 5 ч. 1 ст. 6 Закона №152-ФЗ, который допускает обработку персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной либо выгодоприобретателем или поручителем которого является субъект персональных данных.
В данном пункте закона №152-ФЗ не учитывается тот факт, что помимо исполнения прямых договорных обязательств, например, выплаты заработной платы, работодатель использует персональные данные и для других целей. В частности, оформляет банковскую карту, ДМС, поздравляет с днем рождения или в качестве поощрения выставляет фотографию лучшего работника месяца на всеобщее обозрение (на сайте или доске почета). Таким образом, без получения разрешения на обработку персональных данных обойтись нельзя, в противном случае это может привести к негативным последствиям для компании-работодателя.
Помимо этого, получение работодателем от каждого работника согласия на обработку персональных данных обязательно для возможности получения и хранения копии предоставленных сотрудником при приеме на работу документов, содержащих в себе информацию, не являющейся необходимой для исполнения трудового договора (например, информацию о месте рождения), в том числе паспорта (постановление ФАС Северо-Кавказского округа от 11.03.2014 №Ф08-480/14 по делу №А53-10287/2013, постановление Пятнадцатого арбитражного апелляционного суда от 28.10.2013 №15АП-15175/13, решение Арбитражного суда Ростовской области от 14.11.2013 №А53-12557/2013). В ином случае действия работодателя будут связаны по рукам и ногам. Ведь без согласия работника все выше перечисленное работодатель не имеет право делать.
Разумеется, что закон предъявляет ряд требований к содержанию согласия на обработку персональных данных. Так, в соответствии с п. 4 ст. 9 Закона о персональных данных письменное согласие на обработку персональных данных должно включать:
- ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (ФИО) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Стоит отметить, что в том случае, если вид деятельности компании связан с предоставлением услуг, подразумевающих сбор и обработку персональных данных клиентов, то письменное согласие на обработку персональных данных необходимо также получить и у клиентов,поскольку, как как мы с вами уже выяснили, к персональным данным может относится даже просто фамилия, имя и отчество, человека.
Положение о защите персональных данных
Статью 87 Трудового кодекса РФ, которая определяет Положение о защите персональных данных, обязательно должны знать сотрудники компании, которые будут заниматься обработкой и хранением персональных данных нанятых работников.
В соответствии со статьей 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и других федеральных законов. В силу ст. 85 ТК РФ работодатель осуществляет обработку персональных данных работников, которая включает в себя действия по получению, хранению, передаче или иному их использованию. Кроме этого, работодатель должен обеспечивать их защиту от неправомерного использования и утраты в порядке, установленном ТК РФ и иными федеральными законами (п. 7 ст. 86 ТК РФ), за счет своих средств. Подтверждением выполнения норм закона выступает положение о защите персональных данных работников. Ниже рассмотрим более подробно, что должен включать в себя этот документ.
Разумеется, что вопросы защиты персональных данных в организации лица, ответственные за организацию обработки персональных данных, должны быть прописаны в общих положениях компании – основных актах (законах, подзаконных актах, локальных актах), именно здесь указывается, каким образом регулируются данные вопросы (ст. 22.1 152 ФЗ «О персональных данных»); далее должны быть прописаны общие требования при обработке персональных данных сотрудника и гарантии их защиты (ст. 86 ТК РФ, ст. 5, ст. 6 152 ФЗ «О персональных данных»). В Положении также должен быть указан порядок, применяемый в компании по хранению и использованию персональных данных работников (ст. 87 ТК РФ) и процессу передачи их персональных данных (ст. 88 ТК РФ, ст. 7, ст. 8 152 ФЗ «О персональных данных»)). Для обеспечения защиты персональных данных, хранящихся у работодателя, Положение должно уточнять права сотрудников (ст. 89 ТК РФ, ст. 14-17 152 ФЗ «О персональных данных»), а также закон обязывает указывать обязанности работодателя как оператора персональных данных (ст. 18 152 ФЗ «О персональных данных»). Но и это еще не все – в обязанности работодателя входит разработка и описание в документе меры, направленной на обеспечение выполнения оператором обязанностей, предусмотренных 152 ФЗ «О персональных данных» (ст. 18.1, 19 152 ФЗ «О персональных данных»).
В Положении обязательно должна быть прописана ответственность компании за нарушение норм, регулирующих обработку и защиту персональных данных работника (ст. 90 ТК РФ, ст. 24 152 ФЗ «О персональных данных»).
Хотим акцентировать еще раз ваше внимание на том, что если деятельность компании связана с обработкой персональных данных не только сотрудников, но и сбором и обработкой персональной информации клиентов, то стоит упомянуть об этом. А лучше, если вы разработаете отдельное положение, в котором пропишете все тонкости и нюансы взаимодействия с клиентом по данному вопросу. Также рекомендуется приложить к документу шаблон письменного согласия на обработку персональных данных, который используется в организации.
Помните, что еще до подписания трудового договора с сотрудниками руководитель компании обязан ознакомить их с локально-нормативными актами (ЛНА). Этот момент очень важен, поскольку, получая согласие на обработку персональных данных, компания минимизирует свои риски.
Сайт Компании
Однако составлением необходимой документации дело не ограничивается. К сайтам в интернете также предъявляются особые требование. На большинстве ресурсов имеются форма обратной связи, «кнопка», подписывающая пользователя на рассылку новостей компании, функция «зарегистрироваться» или личный кабинет, а это по закону также является обработкой персональных данных. Теперь если на сайте компании в форме обратной связи нет ссылки на соглашение на обработку персональных данных, организация должна будет выложить 75 000 рублей, а индивидуальных предпринимателей оштрафуют на 20 000 рублей.
Для того, чтобы избежать штрафных санкций необходимо привести информацию на сайте в соответствии с требованиями 152-ФЗ. Требования этого федерального закона применимы для всех – физических лиц и компаний. В частности, сайт должен соответствовать следующим пунктам:
- на территории России должен располагаться хостинг и база данных с персональными данными. Данные проверок Роскомнадзора прямо на это указывают, также закон №242-ФЗ обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года;
- согласие на обработку персональных данных должно быть размещено под каждой формой сбора данных;
- пользователь должен быть осведомлен о том, что все его персональные данные, включая метаданные (cookie, IP-адрес и местоположение) собираются для функционирования сайта. Именно поэтому на ресурсе в общем доступе должна быть размещена Политика организации в отношении персональных данных, – то самое положение, о котором мы говорили выше.
Кто проверит?
Контроль за соблюдением 152- ФЗ «О персональных данных» осуществляет Роскомнадзор (http://rkn.gov.ru/). Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Однако на это уповать не стоит, поскольку контролирующие органы имеют право осуществлять и внеплановую проверку, например, если поступают жалобы на организацию. О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка, о внеплановых проверках информируют за 24 часа. Кстати, информацию о плановых проверках ведомства любая российская компания может узнать на официальном сайте Роскомнадзора.
В любом случае, есть ли ваша компания в списках на проверку или нет, стоит позаботиться заранее о подготовке обязательной документации и исправлении всех нарушений до того, как будут наложены штрафные санкции.