До недавнего времени многие считали, что законодательство о персональных данных далеко от практической работы бухгалтерской или кадровой службы обычной организации. Но когда вступили в силу поправки в КоАП России об ответственности за нарушение этого законодательства, пришлось задуматься и понять, что так или иначе персональные данные собирают все, и нужно по-новому организовывать работу. Ведь штрафы предусмотрены немаленькие.
Из письма в редакцию
С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП. Говорят, они связаны с нарушением Закона о персональных данных и касаются абсолютно всех. Что нужно знать про работу с личной информацией физлиц? Что является персональными данными? Как на практике распознать, кого касаются требования к работе с персональными данными, и как технически и организационно обеспечить их безопасность? Что грозит за нарушения? Все ли обязаны регистрироваться в Роскомнадзоре?
Мнение эксперта
Любая компания, которая собирает, систематизирует, анализирует информацию о своих клиентах, подпадает под действие поправок к статье 13.11 КоАП. Сбор данных о сотрудниках, который происходит на этапе заключения трудового договора, также относится к сбору персональных данных.
Если в вашей фирме хотя бы один работник или один клиент – физическое лицо, то законодательство о персональных данных налагает на вас серьезные обязательства.
Размеры штрафов с 1 июля 2017 года
До 1 июля штрафы за нарушения на сайтах в части сбора и защиты персональных данных для компании составляли 10 000 рублей вне зависимости от типа нарушения.
С 1 июля 2017 года вас могут оштрафовать, если:
- вы не разместили на сайте компании Политику конфиденциальности. Штраф для ИП – от 10 000 рублей, для компании – от 30 000 рублей.
- вы обрабатываете персональные данные, не получив согласие от клиента. Штраф для компании – до 75 000 рублей, для директора или ИП – до 20 000 рублей.
Законом также предусмотрено уведомление Роскомнадзора. Но санкции за нарушение этого требования пока не введены. О том, кто должен регистрироваться, расскажем в этой статье чуть дальше.
Читайте также «Персональные данные: компании оштрафуют за сокрытие «утечек»»
Персональные данные собирают все
Персональные данные – это любая информация о человеке, по которой его можно идентифицировать. В том числе: Ф. И. О., год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы и другая информация.
Вот так персональные данные описаны в законе: «Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Для идентификации достаточно иметь фамилию, имя и отчество и какую-нибудь еще дополнительную информацию. Как правило, сочетание двух значимых типов данных позволят идентифицировать личность. Например, Ф. И. О. и номер телефона являются персональными данными и позволяют идентифицировать личность.
А вот сочетание даты рождения и адреса электронной почты персональными данными назвать нельзя, поскольку только по этим данным идентифицировать личность нельзя. Или, например, наличие у вас адреса электронной почты клиента и его телефона, без Ф. И. О., также не позволит установить личность.
Сбор персональных данных внутри компании
Заключая трудовой договор с новым сотрудником, вы получаете от него множество персональной информации: данные паспорта, место прописки, номера телефонов, СНИЛС, информацию о семейном положении и т. д. Все вместе – это персональные данные.
В соответствии с законом вы должны получить согласие на обработку персональных данных. Такое согласие пишется в произвольной форме. Вам нужно всего лишь вложить в личное дело каждого сотрудника такую бумагу. Второй вариант – включить пункт о персональных данных в трудовой договор.
Читайте также «Согласие на обработку персональных данных сотрудника стало обязательным»
Сбор персональных данных на рынке
Закон о персональных данных требует обеспечить конфиденциальность при обработке персональных данных. Получать данные, хранить, систематизировать, создавать базы адресов для рассылки и базы телефонов для обзвона разрешено только с письменного согласия человека, чьи данные обрабатываются.
Правда, важно помнить, что мы говорим о клиентах – физических лицах. Если вы продаете свои товары и услуги юридическим лицам, этот закон мало повлияет на вашу деятельность.
В законе есть семь исключений, но только одно из них можно применить к предпринимательской деятельности: когда обработка персональных данных осуществляется с целью исполнения конкретного договора, одной из сторон которого является обладатель персональных данных.
Если к вам придут с проверкой, по умолчанию будет считаться, что согласие владельца персональных данных отсутствует, если вы не докажете, что оно было получено.
Законом также предусмотрено, что ваш клиент в любой момент по своему усмотрению может отозвать ранее данное согласие на обработку персональных данных. И вы обязаны по его требованию немедленно прекратить обработку его данных, в том числе рассылки писем и звонки с предложениями по телефону.
Обратите внимание
Так или иначе, но сегодня все компании собирают персональные данные, будь то данные клиентов или сотрудников. Скорее всего, вы являетесь оператором персональных данных, если получаете информацию о текущих или потенциальных клиентах.
Вообще, согласно закону, согласие человека на обработку его персональных данных не должно быть письменным. Но в случае проверки или судебного спора вам придется доказывать наличие такого согласия. Поэтому, если у вас немного клиентов, во избежание претензий со стороны проверяющих или самого клиента получите у них согласие под роспись. Скажем, одновременно с подписанием договора или заказа.
Если у вас много клиентов, письменное согласие получить будет проблематично. Вам лучше организовать процесс сбора согласий на сайте. Обязательное письменное согласие от клиента требуется для обработки так называемых специальных персональных данных. Это информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Обязательное письменное согласие необходимо, если данные клиента впоследствии будут опубликованы в открытых источниках. Если вы размещаете объявления от имени физических лиц в прессе или в сети Интернет, например, о поиске работы или сдаче в аренду квартиры, вы обязаны получать письменные согласия. Это требование создает дополнительные ограничения для включения персональных данных в справочники, адресные и телефонные книги, деловые базы данных, базы данных различных специалистов: репетиров, домработниц, художников, дизайнеров, швей и т. д.
Но даже при наличии письменного согласия сведения о владельце персональных данных должны быть удалены из общедоступных источников по решению суда, проверяющих государственных органов или самого владельца.
Еще одно важное требование закона. Вы можете использовать персональные данные только в соответствии с теми целями, для которых их получили. Использовать информацию в иных целях незаконно.
Читайте также «Рекомендации по обработке персональных данных»
Безопасность обработки персональных данных
В любой компании должны быть приняты «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» в соответствии с пунктом 1 статьи 19 Федерального закона о персональных данных.
Довольно непростое требование для многих компаний с организационной и финансовой точек зрения. Ранее Правительством РФ были приняты Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных и Положение о методах и способах защиты информации в информационных системах персональных данных.
Вы имеете право самостоятельно выбрать методы и способы защиты информации в своей компании. Сделать это нужно на основе выявленных вами угроз безопасности персональных данных и в зависимости от класса информационной системы.
Что такое оператор персональных данных
Так или иначе, но сегодня все компании собирают персональные данные, будь то данные клиентов или сотрудников. Скорее всего, вы являетесь оператором персональных данных, если получаете информацию о текущих или потенциальных клиентах в любом сочетании двух типов данных:
- фамилия, имя, отчество;
- адрес: почтовый адрес или адрес доставки, адрес прописки, места проживания;
- электронная почта;
- телефон, мобильный либо стационарный;
- дата или место рождения;
- место работы;
- национальность;
- гражданство;
- ссылки на соцсети;
- профессия;
- образование;
- уровень доходов;
- семейное положение;
- наличие детей.
Под действие Закона о персональных данных подпадают все владельцы сайтов, на которых есть формы заказа либо обратной связи, анкеты, формы подписки и регистрации, личные кабинеты.
Кто должен регистрироваться в Роскомнадзоре
По Закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно письменно и до начала обработки данных. Если вы не сделали это заранее, сделайте как можно скорее. Для этого нужно заполнить форму уведомления на сайте ведомства. Роскомнадзор внесет информацию о вас в общий реестр операторов, осуществляющих обработку персональных данных.
Не нужно подавать уведомление, если в вашей компании:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более – распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть ограниченные данные, по которым невозможно идентифицировать личность. Например, только Ф. И. О. клиента или адрес его электронной почты.
Ответственность за неуведомление уполномоченного органа законодательством не установлена.
Не нарушить закон
В компании собираются и хранятся персональные данные сотрудников. Чтобы обезопасить себя от штрафов и претензий со стороны проверяющих, нужно:
- разработать Положение о защите персональных данных. В него включить информацию о мерах как технического, так и организационного плана по защите данных. В том числе установить запрет на копирование, редактирование, пересылку и любое несанкционированное использование данных;
- приказом утвердить список лиц, имеющих доступ к персональным данным;
- внести пункт об использовании персональных данных во внутренние правила трудового распорядка, если такой документ есть в вашей компании;
- получить от каждого сотрудника письменное согласие на обработку данных. Или включать соответствующие условия по обработке персональных данных сотрудника в трудовые договоры.
Чтобы безопасно работать с персональными данными клиентов, заказчиков, подрядчиков, если они физические лица, нужно выполнить ряд требований законодательства, провести ревизию договоров, сайтов, дополнить документы необходимыми пунктами и обеспечить контроль.
Как минимум с 1 июля 2017 года нужно:
- получать письменное согласие у каждого посетителя сайта, клиента или подписчика на обработку, хранение и распространение его персональных данных. Для этого внизу формы заказа или регистрации поставьте галочку «Согласен на обработку персональных данных»;
- опубликовать в открытом доступе на сайте информацию обо всем, что касается персональных данных клиентов и посетителей. Это могут быть разные документы, вы можете выбрать Пользовательское соглашение, или Правила продажи, или Уведомление об использовании персональных данных, или документ под названием «Политика конфиденциальности», и т. п.
Условия обработки персональных данных можно прописать в обычном договоре или в договоре оферты.
Обратите внимание
Законом предусмотрено, что ваш клиент в любой момент по своему усмотрению может отозвать ранее данное согласие на обработку персональных данных. И вы обязаны по его требованию немедленно прекратить обработку его данных, в том числе рассылки писем и звонки с предложениями по телефону.
Вы можете создать и разместить на сайте новый документ или включить информацию о персональных данных в уже имеющийся.
Разместите документ на сайте так, чтобы он был доступен на каждой странице.
Утвердите в компании Положение о защите персональных данных (далее – Положение). Это может быть одно Положение, в котором в разных пунктах описаны защита данных сотрудников и защита персональных данных клиентов.
В Положении опишите ПО, аппаратные средства, физические носители, системы ключей и т. п. – все, что используете для хранения и защиты данных. Утвердите приказ о назначении лиц, имеющих доступ к персональным данным. Разработайте регламенты по работе с персональными данными. Продумайте ответственность всех, кто работает с данными клиентов. В должностные инструкции сотрудников, которые имеют доступ к персональным данным клиентов, внесите соответствующие пункты и пропишите их ответственность.
Проверьте перечень данных, запрашиваемых вами у клиентов. Запрашивать можно только те данные, которые нужны для конкретной цели. Например, нельзя спрашивать о семейном положении и получать адрес прописки для подписки на электронную рассылку.
Используйте данные только для тех целей, которые указаны в документах, либо внесите в документы дополнительные цели. По запросу клиента предоставляйте информацию о том, какие данные о нем у вас есть. Удаляйте по первому требованию данные из рассылок, телефонных баз, которые используете для рекламы либо продвижения своих товаров и услуг. Храните базы данных в надежном месте. Обсудите с сотрудниками меры по защите персональных данных клиентов. Если защита данных клиентов – ключевой вопрос для вашего бизнеса, включите требования к сотруднику по защите данных клиентов в трудовой договор. Зарегистрируйтесь в Роскомнадзоре, если вы попадаете в категорию тех, кто обязан регистрироваться. Не забудьте, что бухгалтерии нужно будет добавить пункт о персональных данных в учетную политику компании. На самом деле все не так страшно. Нужно всего лишь потратить время на бумажную работу и подготовить документы.
Читайте также «Штрафы за нарушение закона о персональных данных»
ПРАКТИЧЕСКАЯ ЭНЦИКЛОПЕДИЯ БУХГАЛТЕРА
Полная информация о правилах учета и налогах для бухгалтера.
Только конкретный алгоритм действий, примеры из практики и советы экспертов.
Ничего лишнего. Всегда актуальная информация.
Подключить бератор