Если хотите построить успешный бизнес и не бояться проверок Роскомнадзора, нужно:
- четко понимать, что и какой последовательности делать при приведении обработки ПДн в соответствие требованиям законодательства;
- выяснить, какие документы и действия потребуются с учетом специфики деятельности компании;
- позаботиться об оформлении необходимых документов в установленном порядке;
- определить для себя, что изначальное приведение деятельности под действующие законодательные требования выгоднее, чем уплата штрафов и другие последствия нарушений правовых норм.
План действий при обработке ПДн
В современных реалиях любой бизнес (офлайн или онлайн) предполагает работу с персональными данными. К ним относятся все сведения, позволяющие идентифицировать личность, начиная от фамилии и имени, заканчивая фотографией, адресом проживания, номером телефона и т.д. Даже если нет физического взаимодействия с владельцами ПДн (например, при запуске интернет-магазина, где клиенты заполняют анкеты, указывая номер мобильного телефона, адрес получения товара, дату рождения и т.д.), все равно нужно выполнить предусмотренные законом требования для обработки этих сведений.
Основные этапы приведения работы предприятия в соответствие с правилами обработки ПДн в РФ:
1. Установление целей обработки ПДн. От них будет зависеть заполнение документов в дальнейшем, а также вероятность претензий со стороны субъектов персональных данных. Допускается определение нескольких целей, но только при условии формирования под каждую из них отдельной информационной базы. Чем конкретнее будет формулировка, тем лучше.
2. Составление документации по защите ПДн. Среди обязательных документов:
- Политика в отношении обработки персональных данных;
- Приказ о назначении ответственного за организацию работы с ПДн;
- Определенный приказом руководителя перечень сотрудников, которые могут совершать операции с личными данными;
- Соглашение о соблюдении конфиденциальности с персоналом, которому доступ к ПДн необходим для исполнения ими должностных обязанностей;
- Согласие на обработку ПДн;
Политика должна быть размешена на официальном сайте компании и находиться в распечатанном виде в офисе (доступ к этому документу должен быть неограниченным);
3. Обеспечение защиты ПДн. Задачей оператора является предупреждение несанкционированного доступа к информационным базам, быстрое устранение последствий хакерских атак и т.д. Для этого нужно установить процессы, где задействованы ПДн, провести определение уровня защищенности и разработать модель угроз для всех ИСПДн, а также решить вопрос с составлением организационно-распорядительной и технической документации по защите персональных данных. Дополнительно может потребоваться проведение проверки соответствия безопасности ПДн контрагентом в случае трансграничной передачи на территорию другой страны.
4. Формирование и отправка уведомления в Роскомнадзор. Сообщить о начале обработки ПДн в контролирующий орган (Роскомнадзор) нужно в обязательном порядке. Допускается передача уведомления в бумажном и электронном виде, но есть условие — документ в том или ином формате должен соответствовать форме, установленной Роскомнадзором. Стоит помнить также, что при изменении процессов обработки либо прекращении операций с личной информацией необходимо подать в РКН соответствующее информационное письмо о внесении изменений или об исключении из реестра операторов.
5. Разработка и получение согласия от субъектов на использование их ПДн. Основные требования к документу — конкретность, сознательное получение и максимальная информативность. В некоторых случаях обязательно получение согласия только в письменном виде с указанием большого количества обязательных сведений, которые установлены статьей 9 закона о персональных данных.
6. Оформление согласия на распространение сведений. Необходимость в дополнительном документе законодательством предусмотрена с 2021 года, чтобы ограничивать операторов в передаче данных третьим лицам без осознанного разрешения субъекта. Необходимо понимать, что распространение — это действия направленные на раскрытие персональных данных неограниченному кругу лиц. Примером распространения может быть размещение персональных данных на общедоступном сайте в сети Интернет.
7. Уничтожение или обезличивание при окончании срока хранения, отзыве согласия, неправомерном использовании и т.д. Иногда приходится продолжать обрабатывать данные даже без согласия, к примеру, после увольнения сотрудника, но в таком случае все ненужные сведения должны быть удалены.
Если какой-то из пунктов вы пропустили, есть два пути — попробовать собственными силами оформить недостающие документы либо привлечь специалистов, которые все сделают за вас. Важно не откладывать решение вопроса «на потом», иначе есть риск столкнуться со штрафными санкциями, приостановкой деятельности и потерей годами нарабатываемой репутации.
Особые ситуации
Большинству компаний необходимо выполнить все действия, указанные в списке выше, но есть и исключения. Иногда для легального использования ПДн нужны дополнительные документы и процедуры, а в других случаях можно обойтись без некоторых формальностей. Рассмотрим такие ситуации детальнее.
Не требуется получать согласие на обработку при:
- заключении сделки, где субъект выступает стороной, выгодоприобретателем либо выполняет функцию поручителя, например, в случае указания реквизитов в момент заключения договора;
- получении электронной почты клиента с целью отсылки кассового чека;
- фиксации сведений о посетителях в целях однократного пропуска на территорию в специальном журнале;
- обработке информации, касающейся трудоустройства гражданина — речь идет только о тех данных, которые нужны работодателю в рамках трудовых взаимоотношений (образование, ФИО, повышение квалификации и т.д.).
Штрафы и другие последствия за нарушение требований работы с персональными данными
Статистика говорит об увеличении незаконных операций с ПДн на 80%, поэтому неудивительно, что власти постоянно ужесточают наказание за несоблюдение правил обработки личных сведений граждан. Последние масштабные изменения произошли в 2021 году, когда после вступления в силу ФЗ-19 штрафы увеличились в два раза. Если заблаговременно не позаботиться о приведении деятельности в соответствие с требованиями по обработке персональных данных, то придется платить (указаны максимальные суммы штрафов для юр. лиц):
- до 150 тыс. рублей за обработку ПДн без согласия субъекта или иных законных оснований (до 500 тыс. рублей при повторном нарушении);
- до 100 тыс. рублей за использование сведений с неправильно указанными в документах целями (до 300 тыс. при повторном нарушении);
- до 60 или до 80 тыс. рублей за отсутствие публикации или доступа пользователей к политике обработки ПДн;
- до 90 или до 500 тыс. рублей за несвоевременное уточнение, удаление или уничтожение ПДн по запросу гражданина либо его представителя;
- до 100 тыс. за недостаточную защиту сведений при обработке без применения средств автоматизации;
- до 6 млн. или до 18 млн. рублей за нарушение правил сбора ПДн и их хранения в базах данных, расположенных на территории Российской Федерации.
Неприятная новость для нарушителей — все перечисленные штрафы суммируются. То есть при выявлении нескольких нарушений, размер санкций может достигать сотен тысяч и даже миллионов рублей, причем от проверок не защищены ни крупные корпорации, ни малый и даже микро-бизнес. Просто отделаться штрафом не получится. Вместе с ним вы получите предписание об устранении нарушений, которое необходимо будет выполнить в любом случае. Кроме того, надзорный орган может заблокировать сайт и установить запрет на осуществление деятельности, соответственно, грозит простой до устранения нарушений.
Очевидно, что разумнее изначально инвестировать средства в подготовку документов и выполнение необходимых процедур, чем потом рисковать огромными суммами, временным закрытием бизнеса и утратой репутации. Роскомнадзор проводит как документальные и выездные проверки, так и инспекционные визиты, поэтому лучше, что у вас в компании все было в порядке изначально, и наша компания в этом поможет!
