Персональные данные и их определение не в полной мере конкретизированы в соответствующем законе. Под это понятие попадает неограниченный круг информации, раскрывающей отдельные аспекты публичной и частной жизни гражданина. Организации, которые в силу служебной необходимости осуществляют обработку этих сведений, признаются операторами персональных данных.

Персональные данные и работающие с ними организации

Закон «О персональных данных» вводит понятие оператора персональных данных. Это организация любой формы собственности или индивидуальный предприниматель, которые по роду деятельности собирают персональные данные граждан для обработки. Далеко не все компании осознают, что они являются участниками процессов, связанных с обработкой персональных данных. Закон четко определяет, что оператором становится любая организация, получающая сведения о гражданах с целями, которые не связаны с обработкой информации о персонале. 

К лицам, обрабатывающим персональные данные, относятся: 

• частные организации, например, поставщики услуг связи или владельцы интернет-магазинов;
• индивидуальные предприниматели, размещающие на своем сайте форму обратной связи;
• муниципальные органы;
• государственные органы, например, при проведении ЕГЭ, при сборе налоговой информации или сведений персонального учета.

Размеры штрафов за нарушения зависят от категории организации, например, частные компании будут привлечены к более серьезной материальной ответственности, чем индивидуальные предприниматели. При этом государственные органы, работающие с огромными объемами ПД граждан, за нарушение законодательства будут отвечать по тем же нормам КоАП, что и частная компания. Но сами требования по программным и техническим средствам, которые предъявляются к государственным информационным системам (ГИС), строже и трудновыполнимее, чем задачи, поставленные перед небольшой частной организацией. Для ГИС обязательны аттестация и приемочные испытания, частные компании могут вводить в действие систему без дополнительного контроля со стороны регулятора.

Обязанности оператора

Начиная работу с персональными данными, оператор обязан сообщить об этом в надзорное ведомство – Роскомнадзор. Организации необходимо:

• заполнить электронную форму уведомления о начале деятельности, связанной с обработкой персональных данных, на сайте ведомства, подписав его ЭП;
• направить бумажный экземпляр уведомления в ведомство почтой.

Закон не преследует участников обработки персональных данных за подачу уведомления после того, как они фактически приступили к процессу обработки персональных данных. Если в уставные документы или коды ОКВЭД не вносились изменения, связанные со сменой вида деятельности и получением нового кода ОКВЭД, на основании которого осуществляется обработка ПД, то в качестве даты начала такой обработки лучше поставить дату регистрации организации.

Уведомлять Роскомнадзор не нужно в следующих случаях:

• организация работает только с персональными данными собственных сотрудников;
• компания получает данные при заключении договора с клиентом, но они используются только в целях исполнения этого договора;
• обрабатываемая информация является общедоступными персональными данными;
• к обрабатываемым сведениям относятся только ФИО;
• сведения необходимы для оформления разового пропуска на территорию, где располагается организация, получающая ПД;
• данные обрабатываются в ГИС (государственных информационных системах) федерального уровня;
• оператор работает с данными без применения средств автоматизации.

Подать уведомление необходимо в течение трех лет после начала занятия деятельностью, связанной с обработкой персональных данных. Также компания должна выполнять обязанности, предусмотренные законом и подзаконными нормативными актами, издаваемыми регуляторами – ФСТЭК РФ, отвечающей за программную и техническую организацию системы защиты персональных данных, и Роскомнадзором, следящим за соблюдением организационных требований. Через три года могут быть первые проверки, и во избежание преследования в рамках КоАП РФ организации нужно решить основные задачи по охране персональных данных:

• обязательно получать согласие субъекта персональных данных на их обработку, передачу третьим лицам или трансграничную передачу;
• разработать и разместить на сайте организации в открытом доступе правильно подготовленную Политику по работе с персональными данными;
• выполнять правила ФСТЭК РФ по соответствию программных и технических средств защиты информации рекомендациям ведомства по работе с персональными данными.

Скрупулезное выполнение закона и подзаконных актов поможет избежать административной и гражданско-правовой ответственности. Штрафы за нарушения повысились с 2017 года, при неоднократном отказе от соблюдения правил возможно приостановление деятельности организации. 

Минимальные меры, необходимые для защиты персональных данных и избегания ответственности:

• под любым окном на сайте или формой, в которую пользователь заносит любые персональные данные, поместить фразу о предоставлении согласия на обработку ПД и чек-бокс для проставления галочки, говорящей о согласии;
• разместить в окне, в котором проставляется согласие, гиперссылку на Политику обработки персональных данных. Документ должен включать всю информацию, связанную с целями и методами обработки ПД; 
• разместить на сайте всплывающее окно с информацией об использовании файлов cookie или схожих технологий, собирающих информацию о посещаемости.

Роскомнадзор вправе даже без назначения специальной проверки контролировать выполнение этих требований. 

Положение или Политику обработки персональных данных можно подготовить самостоятельно, закон не регламентирует ее структуру, главное, чтобы в документе содержалась следующая информация:

• данные об операторе персональных данных;
• цели обработки персональных данных, совпадающие с описанными в законодательстве;
• перечень персональных данных, на обработку которых правообладатель оставляет свое согласие;
• указание информации о третьем лице, если ему поручена обработка персональных данных, и цель такого поручения;
• перечень действий, которые будут осуществляться с персональными данными;
• срок действия согласия на обработку персональных данных;
• порядок корректировки или удаления данных.

Существуют ситуации, когда на организацию, связанную с обработкой персональных данных не возлагается ответственность за необходимость обеспечения их конфиденциальности:

• если персональные данные обезличены и из массива информации невозможно выделить сведения, позволяющие идентифицировать конкретного человека;
• если персональные данные обрабатываются в рамках конкретного договора;
• если ПД предоставлены общественной или религиозной организации ее членами для выполнения целей, определенных законом или уставом.

В ряде случаев закон «О персональных данных» не требует получения от правообладателя согласия на обработку ПД:

• если обработка производится на основании закона или международного договора, заключенного Россией;
• обработка проводится в целях статистического или иного научного исследования, а данные субъекта ПД обезличены;
• обработка ПД необходима для защиты жизни, здоровья, жизненно важных интересов конкретного лица в условиях, когда получить его согласие проблематично;
• обработка ПД проводится на почте для оказания услуг связи;
• обработка производится в случаях, прямо предусмотренных федеральными законами.

Далеко не всегда правообладатель может проконтролировать, насколько правильно обрабатываются его персональные данные и насколько точно оператор придерживается заявленных им целей. 

В рамках национального проекта «Цифровая экономика» планируется создание единого портала персональных данных, где операторы будут размещать информацию о своей деятельности, а субъекты ПД смогут уточнить:

• кому было предоставлено согласие на обработку ПД;
• кем, с какой целью и какие данные обрабатываются.

При помощи ресурса пользователь должен иметь возможность отозвать свое согласие или откорректировать данные.

Ответственность за несоблюдение законодательства по обработке персональных данных

Большинство мер ответственности реализуется в сфере административного судопроизводства. 

Статья 13.11 КоАП вводит следующие штрафы за нарушение законодательства РФ в сфере защиты персональных данных и отказ от выполнения обязанностей оператора:

• за обработку персональных данных в случаях, не предусмотренных российским законодательством, или с целями, прямо не заявленными оператором, – до 50 тысяч рублей; 
• за обработку ПД без согласия их обладателя – до 70 тысяч рублей;
• за отказ от разработки или публикации Политики по правилам обработки ПД – до 30 тысяч рублей;
• за отказ от представления информации об обработке персональных данных правообладателю – до 40 тысяч рублей;
• за отказ от блокировки, корректировки или уничтожения недостоверной информации по требованию правообладателя – до 45 тысяч рублей;
• за хранение персональных данных российских граждан на иностранных серверах – до 6 миллионов рублей за первое нарушение и до 18 миллионов – за повторное.

Высокие штрафы – не проблема для Фейсбука или Твиттера, но не для небольшой компании. Если организация, обрабатывающая персональные данные, своими действиями причиняет ущерб правообладателю, против него может быть подан иск о возмещении убытков или морального ущерба. 

Правила проверки организаций, обрабатывающих персональные данные

Чтобы привлечь оператора персональных данных к ответственности, Роскомнадзор должен соблюдать правила проведения проверок, утвержденные весной 2019 года. Ранее действовал только ведомственный регламент, позволяющий отступать от строгих правил. Теперь ответственность ведомства устанавливается за соблюдение регламента проверок в полной мере. 

Регламент проверок соблюдения требований законодательства о персональных данных следующий: 

• плановая проверка проводится раз в три года, срок ее проведения без продления составляет 20 рабочих дней. Узнать о планируемых проверках по защите персональных данных можно на сайте Генпрокуратуры, о конкретной дате визита инспекторов организацию предупредят за три дня;
• срок предоставления документов организацией в рамках плановой проверки сокращен до пяти дней, ранее оператору предлагали подготовить запрошенные материалы за 20 дней;
• внеплановая проверка проводится вне графика в случае получения жалобы. Срок ее проведения составляет 10 рабочих дней, организацию предупредят за сутки;
• внеплановая проверка не может быть документарной, для нее предусмотрена только выездная форма;
• добавились дополнительные основания для продления срока проверки, например, разветвленность организационной структуры компании, обработка персональных данных в нескольких информационных системах;
• запрос документов в связи с обращениями граждан проверкой не считается;
• Роскомнадзор вправе следить за деятельностью операторов в Интернете и при выявлении нарушений проводить внеочередные выездные проверки.

Регулирующая деятельность ведомства усилилась. Возможно, это связано с участившимися случаями утечек персональных данных российских граждан, особенно когда они публикуются на зарубежных сайтах. Операторы, являющиеся российскими организациями, должны уделить повышенное внимание соблюдению требований законодательства. Это поможет избежать ответственности и обеспечить надлежащую защиту персональных данных.

25.02.2020