Меню

Кругом штрафы. Как бизнесу работать с персональными данными?

Иллюстрация: ЮС КОГЕНС

С 2022 г. работодатели считаются операторами персональных данных в отношении сотрудников, а компании, ведущие учет клиентов в электронном виде, должны официально хранить и обрабатывать эту информацию.

Год назад в России вступили в силу новые требования к Закону «О персональных данных». Как только компания начинает вести учет клиентов в электронном виде, это признается хранением и обработкой персональных данных, а сама компания становится оператором персональных данных.

Партнер ЮС КОГЕНС Мария Козлова говорит, что закон не содержит конкретного перечня персональных данных и к ним может быть отнесена любая информация о человеке: ФИО, возраст, адрес, телефон и другие. Компания или индивидуальный предприниматель, например, являются операторами персональных данных в отношении своих сотрудников, а также клиентов, с которыми работают. При этом работодатель не имеет права без согласия гражданина распространять какие-либо персональные сведения о нем.

Например, если звонит представитель банка или коллекторского агентства и просит подтвердить, что такой-то сотрудник работает в компании, делать этого без письменного согласия нельзя. В этом случае стоит отвечать, что вы не имеете права разглашать данную информацию.  

Мария Козлова добавляет, что на оператора персональных данных возлагается ряд обязанностей. Во-первых, нужно уведомить Роскомнадзор о намерении осуществлять обработку персональных данных, причем сделать это нужно до начала их обработки:

— Уведомление составляется по утвержденной форме и направляется в Роскомнадзор в бумажном виде или в форме электронного документа и подписывается уполномоченным лицом.

Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов. Информация об этом размещается на официальном сайте Роскомнадзора.

Непредставление в Роскомнадзор уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением и чревато штрафом:

на граждан — от 100 до 300 руб.;  
на должностных лиц и ИП — от 300 до 500 руб.;  
на юридических лиц — от 3 тыс. руб. до 5 тыс. руб.  

Также оператор персональных данных обязан получать согласие на обработку персональных данных от граждан. Согласие должно содержать сведения о субъекте и операторе персональных данных, цель обработки таких данных, перечень действий с персональными данными, срок, в течение которого действует согласие, и другие.

Кроме того, оператор обязан опубликовать Политику в отношении обработки персональных данных. К документу необходимо обеспечить неограниченный доступ, поэтому его можно разместить на официальном сайте компании или на информационном стенде в офисе.

Юридическое лицо должно назначить ответственного за организацию обработки персональных данных, который будет вести внутренний контроль. При  этом при хранении персональных данных должны использоваться базы данных, которые находятся исключительно на территории РФ (ч. 5 ст. 18 Закона № 152).

За невыполнение обязанностей оператора могут привлечь к административной ответственности. Например, если персональные данные обрабатываются в целях, несовместимых с целями сбора, установлен штраф в размере: 

на граждан — от 2 тыс. руб. до 6 тыс. руб.;  
на должностных лиц и ИП — от 10 тыс. руб. до 20 тыс. руб.;
на юридических лиц — от 60 тыс. руб. до 100 тыс. руб.

За обработку персональных данных без согласия гражданина грозит штрафа в размере:

на граждан — от 6 тыс. руб. до 10 тыс. руб.;  
на должностных лиц и ИП — от 20 тыс. руб. до 40 тыс. руб.;  
на юридических лиц — от 30 тыс. руб. до 150 тыс. руб.

Но даже когда оператор соблюдает все нормы закона, он рискует быть привлеченным к ответственности. Утечка персональных данных — самое страшное, что может произойти с оператором.

При этом причина утечки для надзорных органов не имеет значения. Это могут быть действия мошенников или неосторожность со стороны сотрудников компании. Также причинами могут быть технические проблемы, связанные с уязвимостями информационных систем. В СМИ всё чаще появляется информация о массовых утечках данных с различных сервисов. Во всех этих случаях конечная вина будет лежать на операторе персональных данных.

КоАП не содержит прямых санкций именно за утечку персональных данных. Как правило, компании привлекаются к ответственности за «обработку персональных данных» в случаях, где установлена ответственность в виде штрафа для ИП — от 10 тыс. руб. до 20 тыс. руб., а для юридических лиц — от 60 тыс. руб. до 100 тыс. руб.

Сейчас Минцифры активно обсуждает идею ввести оборотный штраф за утечку персональных данных, в этом случае их размер существенно вырастет.

Особенно рискуют попасть под штрафы рекламораспространители, которые используют непроверенные базы данных. Дело в том, что распространение рекламы по телефону или электронной почте допускается только при условии предварительного согласия абонента или адресата на получение рекламы.  

Таким образом, если рекламораспространитель не докажет, что абонент или адресат заранее выразил желание получать рекламу от него, то он может быть привлечен к ответственности по ч. 1 ст. 14.3 КоАП РФ. В этом случае штраф составит для юридических лиц полумиллиона, а для должностных лиц и ИП до 20 тыс. руб.  
Реклама,  ООО «ЮС КОГЕНС»

Читайте также на DK.RU: Штрафы для работодателей, повышение зарплат, маркировка пива. Что изменится с октября?