Основы работы с персональными данными или как защитить бизнес от штрафов Роскомнадзора

Федеральным законом от 07.02.2017 N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» введена с 01.07.2017 редакция ст. 13.11 КоАП РФ, которой установлена административная ответственность за нарушение законодательства в области персональных данных и теперь статья предусматривает семь отдельных составов административных правонарушений. При этом размеры штрафных санкций также значительно увеличены.

Стоит отметить, что изменения в законодательстве о защите персональных данных коснулись только меры ответственности за его несоблюдение. Обязанности лиц, осуществляющих обработку персональных данных, определены Федеральным законом от 27.07.2006 г. N 152-ФЗ «О персональных данных» (далее также- Закон) и существуют уже длительное время. Поэтому особое внимание на ужесточение административной ответственности следует обратить в первую очередь предприятиям и организациям, которые должным образом не урегулировали порядок обработки персональных данных. Как проверить, правильно ли эта процедура установлена в организации с учетом новых видов составов, предусматривающих административную ответственность, и кого изменения коснутся в первую очередь?

Ввиду того, что персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона), обратить внимание на состоявшиеся изменения нужно всем без исключения организациям и предприятиям. Обратимся к правовым определениям: оператор персональных данных — это государственный орган, муниципальный орган, любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона); обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона). Учитывая содержание приведенных определений, например, лицом, которое может быть привлечено к административной ответственности по ст. 13.11 КоАП РФ, могут являться как предприятия, являющиеся работодателями, так и предприятия, продающие физическим лицам товары, работы или услуги. В связи с этим необходимо определить ряд правил, о которых следует помнить, чтобы обезопасить свой бизнес.

На мой взгляд, в первую очередь, предприятие обязано разработать документ, устанавливающий политику его как оператора в отношении обработки персональных данных граждан. Что должен содержать такой документ? Во-первых, политика должна определять цели обработки персональных данных, и эти цели должны быть соотносимы с исчерпывающим перечнем установленных законом целей. Нужно отметить, что избежать административной ответственности по ч. 1 ст. 13.11 КоАП РФ поможет правильное определение целей обработки персональных данных на предприятии и организация такой обработки в строгом соответствии с разработанной политикой.

Во-вторых, в рамках политики по обработке персональных данных предприятием должно быть разработано согласие в письменной форме субъекта персональных данных на обработку его персональных данных. По смыслу положений законодательства обработка персональных данных будет законной, если получено согласие физического лица в письменной форме. Содержание такого согласия также четко определено законом. Поэтому предприятие может быть привлечено к административной ответственности, предусмотренной ч. 2 ст. 13.11 КоАП РФ, только если согласие в письменной форме субъекта персональных данных на обработку его персональных данных не получено, либо будет доказано, что само по себе полученное согласие не отвечает требованиям закона к составу сведений, включаемых в согласие в письменной форме (ч. 4 ст. 9 Закона).

В-третьих, политика по обработке персональных данных должна определять права и обязанности как оператора по обработке персональных данных, так и гражданина. Кроме прочего, политикой должна быть закреплена обязанность оператора предоставить гражданину информацию о наличии относящихся к нему персональных данных, а также по просьбе предоставить возможность ознакомления с этими персональными данными в течение тридцати дней с даты получения запроса (ч. 1 ст. 20 Закона). Несоблюдение указанного требования закона повлечет привлечение организации к административной ответственности по ч. 4 ст. 13.11 КоАП РФ.

В-четвертых, политикой должно быть закреплено правило о том, что если персональные данные гражданина являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, то оператор по требованию гражданина или Роскомнадзора обязан уточнить, блокировать или уничтожить персональные данные в установленный законом срок. При этом следует помнить, что тридцатидневный срок рассмотрения обращения установлен только для заявлений Роскомнадзора. Требования граждан должны быть рассмотрены в срок, не превышающий семи рабочих дней со дня предоставления ими сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными. Нарушение установленных законом сроков повлечет привлечение предприятия к административной ответственности по ч. 5 ст. 13.11 КоАП РФ.

В-пятых, немаловажным обстоятельством является доведение разработанной политики до сведения неопределенного круга лиц. Ввиду того, что способ доведения до сведения гражданина политики предприятия в отношении обработки персональных данных законодатель не уточняет, оператор должен сам решить, каким образом это предписание закона будет исполнено. Я рекомендую разместить документ на сайте организации и на стенде по месту нахождения организации в общедоступном месте. Соблюдение названного требования закона поможет организации избежать административной ответственности, предусмотренной ч . 3 ст. 13.11 КоАП РФ.

С введением ч. 6 ст. 13.11 КоАП РФ и ответственности за необеспечение должной защиты персональных данных при хранении материальных носителей персональных данных, на мой взгляд, законодатель связывает стимулирование операторов осуществлять хранение персональных данных с использованием средств автоматизации в целях повышения степени защищенности таких данных. Во всяком случае, максимально обезопасить бизнес от возможности быть привлеченным по ч. 6 ст. 13.11 КоАП РФ можно путем принятия всех доступных мер к ограничению несанкционированного доступа к материальным носителям информации, содержащей персональные данные граждан.

Интересно, что дела об административных правонарушениях по ст. 13.11 КоАП РФ с 1 июля 2017 года будут возбуждать не прокуроры, а должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ), что существенно упрощает саму процедуру привлечения виновных лиц к административной ответственности. В связи с этим следует ожидать возрастания интереса контрольных органов к соблюдению законодательства о защите персональных данных, в целях пополнения бюджета за счет исполнения постановлений о привлечении лиц к административной ответственности. Наряду с этим нужно помнить о том, что если в ходе проведения проверок сотрудниками Роскомнадзора будут выявлены правонарушения, предусмотренные разными частями ст. 13.11 КоАП РФ, то и протоколы будут составлены по каждому административному правонарушению.

Таким образом, только правильная организация работы на предприятии, построенная в строгом соответствии с требованиями закона о защите персональных данных, поможет исключить или минимизировать риски привлечения предприятия к административной ответственности, предусмотренной ст. 13.11 КоАП РФ.