Что надо знать о проверках персональных данных Роскомнадзором

Что такое персональные данные

Закон от 27.07.2006 № 152-ФЗ «О персональных данных» относит к ним любую личную информацию о физическом лице. Но конкретных указаний, какие сведения нужно считать личными, он не дает.

Роскомнадзор в Методических рекомендациях, утвержденных приказом от 30.05.2017 №94 разъясняет, что к персональным данным относятся в частности:

• паспортные данные: ФИО, дата и место рождения, адрес регистрации;

• социальное и семейное положение;

• имущество и размер дохода;

• образование и профессия;

• национальность, религия, политические взгляды;

• биометрические данные, которые позволяют установить личность.

Но список не ограничен информацией в приказе №94. К личным данным относят и другие сведения, позволяющие идентифицировать человека. Например, номер телефона, если он принадлежит конкретному физическому лицу, заключившему договор с оператором связи.

Адрес электронной почты можно отнести к персональным данным, только если он включает в себя личную информацию, например: ФИО или дату рождения — например, адрес вида kirienko1984@mail.du.

Все юридические и физические лица, которые собирают и обрабатывают личную информацию, называются операторами персональных данных. Их деятельность в этой области контролирует Роскомнадзор. 

Как Роскомнадзор проверяет работу с персональными данными

Роскомнадзор проводит три вида проверок.

Выездные

Плановые проверки. Их график специалисты Роскомнадзора составляют до начала года. Скачайте его и можете заранее узнать, в каком месяце к вам придут контролеры — подготовитесь к проверке. Если вы не знали или забыли о такой возможности, проверяющие предупредят о визите за три дня.

В общем случае плановую проверку могут проводить не чаще, чем раз в три года. Для отдельных категорий операторов период сокращается до двух лет (пп. 6 и 7 правил, утвержденных постановлением Правительства РФ от 13.02.2019 №146). Более короткие промежутки между плановыми проверками предусмотрены, например, для тех, кто собирает биометрические данные или передает персональную информацию за границу.

Внеплановые проверки. Их в графике нет. Такие проверки обычно назначают по жалобам сотрудников, клиентов и других лиц, которые считают, что их права нарушили. Также проверку вне графика могут провести по требованию прокурора или по решению руководителя территориального органа Роскомнадзора. В этом случае вы узнаете о проверке лишь накануне — за 24 часа до ее начала.

Здесь важно помнить, что общие ограничения по частоте проверок не распространяются на контроль в области персональных данных (пп. 20 п. 3.1 ст. 1 закона от 26.12.2008 № 294-ФЗ). Проще говоря, это означает, что внеплановых проверок Роскомнадзора может быть сколько угодно, и они никак не зависят от плановых. Теоретически контролеры могут прийти к вам с новой внеочередной проверкой на следующий день после завершения обычной.

Документарные 

Эти проверки проходят без выхода на предприятие. Специалисты Роскомнадзора присылают письмо, в котором просят предоставить документы или дать пояснения по направленной ранее информации. Чтобы избежать наказания, в этом случае важно соблюсти установленный срок для ответа (пять рабочих дней). Документарные проверки могут быть только плановыми.

Текущий контроль 

Если документарные проверки проводят без выхода на предприятие, то текущий контроль проводят вообще без какого-либо взаимодействия с проверяемой компанией.

Специалисты Роскомнадзора анализируют имеющуюся у них информацию о бизнесе, а также изучают сайт компании и другие сведения, размещенные в открытом доступе: например, рекламу в СМИ.

В этом случае вы узнаете о проверке, только если у вас найдут нарушения. Тогда Роскомнадзор пришлет требование об устранении недостатков, а если его не выполнить — наложит штраф. 

С 2022 года в России действует мораторий на проверки бизнеса: плановые проверки ограничены до 2030 года (постановление № 372 от 10 марта 2023 года), внеплановые — до конца 2024 года (постановление № 2140 от 14 декабря 2023 года). Но проверить бизнес все-таки могут, если:

• произошла утечка данных;

• сотрудники или клиенты пожалуются на компанию в Роскомнадзор;

• данные, которые компания подает в Роскомнадзор, окажутся недостоверными.

Проверьте себя: самые частые нарушения, которые выявляет Роскомнадзор

Компания не направила в Роскомнадзор уведомление об обработке персональных данных. 

Одно из самых распространенных нарушений, которые выявляют контролеры. Статья 22 закона № 152-ФЗ содержит перечень случаев, когда оператор может не уведомлять контролеров о работе с личной информацией. Например, к таким исключениям относится обработка персональных данных, связанных только с трудовыми отношениями. Поэтому некоторые бизнесмены считают, что могут не уведомлять Роскомнадзор, если работают только с кадровыми данными.

Но при проверке контролеры часто приходят к выводу, что работа с личной информацией выходит за рамки трудовых отношений. Например, компания обрабатывает персональные данные не только действующих сотрудников, но и кандидатов на вакансии.

Поэтому лучше подстраховаться и в любом случае уведомить Роскомнадзор. Для этого используйте форму на сайте ведомства. Информацию также следует продублировать в бумажном виде.

Кроме того, следите за тем, чтобы сведения в уведомлении были актуальными. Например, если у вас изменился список обрабатываемых персональных данных или был назначен другой ответственный сотрудник, об этом нужно в десятидневный срок сообщить в Роскомнадзор.

Отсутствуют необходимые документы. 

Официально утвержденного полного перечня документов, касающихся персональных данных, в законе нет. Но следующий набор в большинстве случаев гарантирует вам защиту от претензий проверяющих:

1. Политика по работе с персональными данными. Этот документ нужно не только разработать, но и обеспечить неограниченный доступ к нему. Лучше всего – опубликуйте его на сайте компании. Чтобы помочь бизнесменам, Роскомнадзор разработал рекомендации по составлению политики.

2. Приказ о назначении ответственного за работу с персональными данными.

3. Приказ, утверждающий перечень сотрудников, которые имеют право работать с персональными данными.

4. Документ, определяющий порядок хранения персональных данных. В частности, доступ в помещение, где находятся документы с личной информацией, должен быть ограничен.

5. Типовая форма согласия на обработку персональных данных, которая должна включать в себя:

• сведения об операторе: наименование (ФИО) и адрес;
• ФИО субъекта и реквизиты его документа, удостоверяющего личность;
• перечень персональных данных, на которые дается согласие;
• цель и способы обработки;
• срок действия согласия и способы его отзыва;
• подпись субъекта.

6. Порядок уничтожения персональных данных и их передачи третьим лицам.

7. Перечень информационных систем, используемых для работы с персональными данными и порядок организации защиты информации.

Работники не ознакомлены с законодательными актами и внутренними документами компании о персональных данных. 

Убедитесь, что ваши сотрудники понимают, какие данные о них вы храните, как их используете. Соберите подписи.

Работники не подписали согласие на обработку персональных данных. Или этот документ не соответствует установленной форме. 

Требования к нему описаны в статье 9 закона № 152-ФЗ.

В личных делах сотрудников «лишние» документы. 

Например, паспорт и свидетельство СНИЛС работник должен лишь предъявить при оформлении (ст. 65 ТК РФ). Поэтому после завершения процедуры приема на работу хранить их копии в отделе кадров нельзя.

Еще к частым нарушениям относится, если сведения по запросу Роскомнадзора в рамках документарной проверки не представлены или направлены с нарушением срока.

Какую ответственность предусматривает закон за нарушения правил работы с персональными данными

Административные санкции за отсутствие документов, обработку личных данных без согласия владельца и другие подобные нарушения предусмотрены ст. 13.11 КоАП РФ. Максимальные штрафы для должностных лиц и ИП могут достигать 1 млн  руб., а для юридических лиц — 1,5 млн руб.

За непредставление сведений по запросу Роскомнадзора виновные будут наказаны по ст. 19.7 КоАП РФ. Сумма штрафа здесь ниже: до 500 руб. для должностных лиц и до 5 тыс. руб. — для организаций.

Кроме того, лицо, которое пострадало из-за неправомерного использования его персональных данных, может подать гражданский иск о возмещении убытков и морального вреда.

В некоторых случаях незаконный сбор персональных данных может стать предметом уголовного дела. Например, если речь идет о незаконном распространении сведений о частной жизни (ст. 137 УК РФ). В этом случае сумма штрафа для виновного лица может составить 300 тыс. руб. или лишение свободы на срок до 4 лет и дисквалификацию на срок до 5 лет.

Хотя возмещение ущерба и расследование преступлений и не относятся напрямую к компетенции Роскомнадзора, но материалы его проверок могут использовать в качестве доказательств.

Если после проверки в организации выяснили, кто из сотрудников допустил нарушения в работе с персональными данными, то к виновному могут быть применены различные дисциплинарные взыскания, вплоть до увольнения (пп. «в» п. 6 ст. 81 ТК РФ).

Также с виновного сотрудника можно взыскать и ущерб, нанесенный компании, в частности — уплаченные штрафы. Но здесь нужно помнить, что если с работником не подписан договор о полной материальной ответственности, то взыскать можно только сумму, не превышающую его месячного заработка.

Запомнить

Все, кто работает с персональными данными, рано или поздно познакомятся со специалистами Роскомнадзора. Чтобы избежать проблем при проверке, выполняйте следующие правила:

1. Составьте все необходимые документы по работе с персональными данными и своевременно вносите изменения в них.

2. При приеме новых сотрудников не забывайте знакомить их с нормативными документами и оформлять согласие на обработку персональных данных.

3. Не храните в личных делах сотрудников документы, не предусмотренные законодательством.

4. Ежегодно во второй половине декабря просматривайте план проверок на сайте Роскомнадзора.

5. При поступлении запросов своевременно предоставляйте проверяющим всю необходимую информацию.

Больше по теме:

• Что бизнесу нужно знать про персональные данные
• Как попасть под налоговую проверку: ошибки предпринимателей
• Выездная налоговая проверка: порядок проведения
• Выездная налоговая проверка: как обжаловать акт
• Что делать, если к вам пришел с проверкой Роспотребнадзор
• Пожарная проверка на предприятии: к чему быть готовым
• Штрафы трудовой инспекции для ИП и юридических лиц
• За что можно привлечь директора к уголовной ответственности
• Что такое коммерческая тайна и как её защитить