Рассказываем в подробностях, почему закон о персональных данных касается 85% российских организаций и как работать с личной информацией в соответствие с требованиями закона.
С персональными данными физических лиц работают практически все российские организации. Но не все руководители знают, как правильно обрабатывать полученную личную информацию, чтобы не нарушить административный закон.
Почему это важно сейчас?
До недавнего времени размер штрафа за нарушение обработки персональных данных был относительно несущественным. С июля текущего года начнет действовать закон, который увеличит ответственность в десятки раз.
Кроме того, сейчас протоколы о нарушениях может выписывать только прокуратура, с 1 июля такая возможность появится у Роскомнадзор, который имеет право не уведомлять о плановых проверках коммерческих организаций и ИП (с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках»), а регулирует свою деятельность только внутренним административным регламентом.
Что изменил Федеральный закон от 07 февраля 2017 года №13-ФЗ?
Данный нормативный акт внес поправки в действующий КоАП, которые существенно увеличат ответственность организаций за нарушение правил обработки персональных данных.
Также законодатель вводит семь новых составов административных правонарушений в данной сфере. Уже с 01 июля 2017 года указанные поправки вступят в юридическую силу.
Штрафы увеличены в несколько раз
До изменений законодательства максимальный штраф для юридического лица составлял 10 тысяч рублей, а для должностного лица – 1 тысячу рублей.
Сейчас размер максимального штрафа вырос до 75 тысяч рублей, также увеличилось количество составов правонарушения.
Ниже представлена таблица, в которой наглядно показано изменения размеров штрафа для юридических лиц (ПД – персональные данные):
Руководителям организаций следует знать, что помимо привлечения к административной ответственности, и соответственно уплаты штрафа, нарушитель несет также материальную, дисциплинарную, а в особых случаях и уголовную ответственность. Оплата административного штрафа грозит не только юридическому лицу-нарушителю, но и непосредственно работнику, совершившему правонарушение, а также сотруднику, ответственному за обработку таких данных на предприятии, в том числе и юристу организации, разрабатывающему локальные акты о конфиденциальности информации.
Какие личные сведения попадают под действие закона?
Персональными данными можно называть любые сведения о жизни гражданина, с помощью которых возможно идентифицировать его личность.
Например,
• ФИО, дата рождения.
• Адрес регистрации, фактического проживания, мобильный телефон.
• Данные общегражданского и заграничного паспорта.
• Семейное, имущественное, социальное положение.
• Национальность, вероисповедание.
• Образование, место работы, занимая должность, уровень доходов.
• Биометрические персональные данные.
• Иная аналогичная информация.
Кто является операторами персональных данных?
Практически любая организация в РФ в своей работе сталкивается с хранением и обработкой персональных данных своих штатных работников.
Кроме того, в работу попадают личные данные клиентов компании, контрагентов, посетителей территории предприятия (если действует пропускная система), пользователей сайта.
Операторами персональных данных автоматически становятся все гостиницы, отели, хостелы и подобные организации, которые в силу своей деятельности обязаны собирать, обрабатывать, направлять в ИФМС личные данные своих постояльцев.
По самым приблизительным подсчетам экспертов операторами ПД можно назвать более 85% всех российских юридических лиц.
Приведем примерный перечень организаций, на которых распространяется действие указанного закона:
• Банки и иные кредитные финансовые учреждения.
• Государственные учреждения.
• Операторы мобильной связи.
• Туристические агентства.
• Гостиницы, хостелы, отели.
• Организации здравоохранения (больницы, санатории, частные клиники).
• Учреждения образования (школы, дошкольные учреждения, высшие учебные и средне-специальные заведения).
• Компании, имеющие официальный сайт с возможностью регистрации пользователей.
• Предприятия, которые хранят данные о сотрудниках, клиентах, посетителях.
Следует иметь в виду, что закон не касается случаев, когда личная информация передается в личных или семейных целях. К примеру, если ваш приятель дал номер своего телефона или домашний адрес, это безусловно не сделает вас субъектом вышеуказанных правоотношений.
Как правильно работать с личными данными физлиц, чтобы не нарушить закон?
Для начала необходимо убедиться, что вы являетесь оператором персональных данных.
Если все-таки действие закона распространяется на вашу организацию, необходимо в должной степени обеспечить безопасность обрабатываемой информации. Осуществить это возможно с помощью определенных организационных и технических мер.
К организационным мерам относится:
• Создание на предприятии Положения о защите персональных данных персонала.
• Получение согласия субъекта на обработку его личных данных. Согласие дается в свободной форме, но обязательно должно быть изложено максимально конкретно, содержать перечень способов обработки, срок и порядок отзыва.
К техническим мерам относится:
• Если в компании отсутствует автоматизированная обработка данных, рекомендуется определить перечень лиц, имеющих доступ к сведениям и уполномоченных на работу с ними, а также раздельно хранить материальные носители информации, которая обрабатывается в разных целях.
• В случае если в организации заведена обработка данных с помощью автоматизированных систем, она попадает под требования приказа ФСТЭК, а для обеспечения безопасности привлекаются IT-специалисты. Все ПК, на которых ведется работа с использованием конфиденциальной личной информации, должны быть аттестованы, иметь сертифицированное ФСТЭКом программное обеспечение, а сама сеть должна иметь защиту сертифицированного межсетевого экрана.
Согласно «Требования к межсетевым экранам» (ФСТЭК России, 2016) для защиты логической границы сети достаточно сертифицированного программного обеспечения, для физической границы необходим сертифицированный аппаратно-программный комплекс.
Список полезных ресурсов:
Информация о сертифицированных межсетевых экранах
Основные понятия в законе о персональных данных
Требования ФСТЭК к безопасности данных
Постановление правительства о защите данных
Ваш комментарий станет первым!