Юридическое право в сфере защиты персональных данных

Что относят к персональным данным

Большинство компаний тем или иным образом работает с персональными данными. Даже если они не имеют информации о своих клиентах. Работа начинается еще при приеме на работу сотрудников. Соискатели присылают резюме, проходят собеседования, предъявляют документы. Они могут и не занять в итоге искомую должность, но компания уже несет ответственность за те сведения, что получила от людей.

Персональные данные (ПД) — это вся информацию, с помощью которой человека можно идентифицировать. К ним относят даже косвенные сведения, если они позволяют определить личность.

Примеры персональных данных:

• ФИО;
• Реквизиты удостоверений личности;
• Дата и место рождения;
• Возраст;
• Семейное положение;
• Образование;
• Семейный статус, факт наличия детей;
• Адрес регистрации и проживания;
• СНИЛС;
• Уровень и источники дохода;
• Состояние здоровья;
• Биометрические данные и т.д.

Данные оценивают по совокупности. Просто фамилии может быть недостаточно, чтобы ее считали конфиденциальной информацией, т.к. есть однофамильцы, тезки и т.п.

Компании, работающие с персональными данными, несут ответственность за их сохранность. Конфиденциальную информацию запрещено разглашать третьим лицам, если только это не предусмотрено законом. Например, когда сведения запрашивают правоохранительные органы в рамках уголовного дела, их надо представить по требованию.

Владелец персональных данных может дать свое согласие на передачу информации третьему лицу. Тогда процедура разрешена законом. Например, когда клиент позволяет использовать свое фото с отзывом на услуги фирмы в рекламном блоке на сайте. Если же согласия нет, отзыв можно разместить, но лицо придется заблюрить и полное имя скрыть.

Основные операторы персональных данных — владельцы компаний. Они же несут ответственность за сохранение конфиденциальности. Если кто-то собирает данные о членах своей семьи без намерения использовать их в коммерческих целях, он не является оператором ПД.

Надзор за работами по обработке персональных данных осуществляет Роскомнадзор. Он руководствуется нормами ФЗ РФ № 152 (от 27.07.2006), ТК РФ, Приказами ФСТЭК и прочими нормативными актами.

Как работать с персональными данными

Организовать обработку ПД сотрудниками компании обязан ее руководитель. Процесс проходит в несколько этапов, и требует некоторой подготовки.

Нормативная документация

Помимо федеральных законов компания должна руководствоваться внутренними нормативными актами. Если вопрос касается конфиденциальной информации, прежде всего — Положением о работе с ПД. В документе указывают:

1. Виды документации, в которой содержатся персональные данные.
2. Требования к обработке ПД. Они касаются всех работ с информацией: получения, фиксации, хранения, передачи, уничтожения.
3. Список должностей, сотрудников, допускаемых к персональным данным.
4. Порядок передачи ПД внутри компании между сотрудниками и третьим лицам.
5. Меры взысканий за нарушения условий Положения (штрафы, выговоры и пр.).

В ходе плановых и внеплановых проверок представители Роструда требуют от компаний представить Положения о работе с ПД. При отсутствии документа, с руководства фирмы взыскивают штраф в размере до 50 тыс. рублей.

Отправка уведомления

Работать с персональными данными без разрешения надзорного органа нельзя даже при условии соблюдения прочих требований законодательства. Если компания намерена обрабатывать ПД, ей нужно направить заявление в Роскомнадзор. Подают его один раз. Никаких продлений не требуется.

Способы обращения в РКН:

• Во время личного визита в территориальное отделение ведомства заполняется заявление на бумажном носителе
• На сайте РКН или через Госуслуги можно подать обращение в электронной форме. Его заверяют квалифицированной ЭЦП

В Роскомнадзоре ведут Реестр операторов ПД. Сведения о новом соискателе вносят в него в течение 30 дней с момента поступления заявления в ведомство.

Если компания намерена прекратить работы с персональными данными, ей тоже следует направить новое заявление в РКН.

Ответственный за работу

Руководитель компании должен издать Приказ о возложении дополнительных обязанностей на одного из сотрудников. Этот работник будет отвечать за работу с персональными данными.

Традиционно в небольших фирмах ответственным становится ее руководитель. В крупных компаниях — начальник отдела кадров, замдиректора, начальник отдела безопасности. Т.е. сотрудника выбирают из тех, кто занимает одну из руководящих должностей.

Доступ к персональным данным

Если компания официально обрабатывает ПД, это не значит, что все ее работники имеют доступ к конфиденциальной информации. Он предоставляется только тем, кому необходим для выполнения трудовых обязанностей. Например, сотрудникам отдела кадров, секретарю гендиректора, бухгалтерам.

Для каждого работников предусмотрены разные уровни допуска. Они могут пользоваться только определенными категориями данных. Все сотрудники, допущенные к ПД, подписывают обязательства о неразглашении информации. В случае невыполнения их сотрудники отвечают не только перед компанией, но могут быть привлечены к административной и даже уголовной ответственности.

Правильное хранение

Персональные данные можно хранить на бумажных и электронных носителях. Выбор остается за руководством фирмы.

Если предпочтение отдают электронной базе, ее хранение осуществляют в соответствии с Приказом ФСТЭК России № 21 (от 18.02.2013). Процесс предусматривает:

• Наличие антивирусной защиты
• Идентификацию объектов и субъектов доступа
• Предотвращение DDoS‑атак
• Создание, поддержание целостности системы хранения и пр.

Для ПД на бумажных носителях ответственный сотрудник вместе с руководством должен:

1. Выделить место хранения данных
2. Оборудовать место хранения сейфами, системой видеонаблюдения
3. Утвердить список сотрудников компании, имеющих прямой доступ к месту хранения

На любом предприятии обязательно хранят в ограниченном доступе следующие документы:

• Копии удостоверений личности, военных билетов, СНИЛС, ИНН сотрудников
• Анкеты, заполняемые при устройстве на работу
• Трудовые книжки
• Трудовые договоры
• Дополнительные соглашения
• Личные дела, учетные карточки
• Справки о доходах с предыдущих мест работы
• Исполнительные листы работников
• Прочие документы, в которых присутствуют ПД.

Согласие на обработку

Мало иметь разрешение от Роскомнадзора, чтобы работать с ПД. Нужно еще заручиться на это согласием лиц, чьи данные компания намерена обрабатывать: сотрудников, клиентов и прочих.

С 2025 года все работают по новым правилам, утвержденным кабмином — Распоряжение правительства РФ № 856-р (от 09.04.2024). Изменения коснулись форм согласия на обработку и передачу ПД — электронного и бумажного варианта.

С 2025 года расширился список организаций, обязанных брать согласие на обработку ПД. К ним добавились структуры, направляющие данные в ЕСИА и ЕБС и финансово-кредитные учреждения.

Ответственность за нарушения при обработке персональных данных

Роскомнадзор задействует разные методы, чтобы обнаружить нарушения, допускаемые при работе с ПД. Имеются прецеденты, когда для этих целей РКН применял даже искусственный интеллект. На сайтах фирм ИИ находит фотографии людей, пытается их идентифицировать. Если удается, сотрудники Роскомнадзора требуют от компании представить согласие от героев фото на публикацию.

За нарушения при обработке ПД наказывают в соответствии со ст.13.11 КоАП РФ. Административное взыскание предусматривает штраф от 20 тыс. рублей. С юридических лиц могут взыскать сумму до 6 млн. рублей.