Рекомендации в сфере персональных данных

С 1 июля 2017 года штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (сейчас максимальный штраф составляет 10 тыс.руб.). В этой связи Центр защиты прав СМИ подготовил актуальные рекомендации для операторов персональных данных.

Кто является оператором персональных данных?

Это любая организация или гражданин, которые обрабатывают персональные данные.  Под непонятным словом «обработка» следует понимать любые действия, совершаемые с персональными данными, а именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. 

В сфере медиа операторами персональных данных будут считаться редакции СМИ, издательские дома, типографии, владельцы интернет-ресурсов и др.

Что является персональными данными?

Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии с Законом о персональных данных, понятие «персональных данных» сформулировано предельно широко, что позволяет относить к ним практически любую информацию о конкретном индивиде, начиная от его анкетных данных (Ф.И.О., паспортные данные, местожительство, дата рождения и т.п.), и заканчивая более общими сведениями, из которых можно идентифицировать лицо (фотографии с изображениями гражданина, записи в блогах и социальных сетях, содержащие личную информацию и т.п.).

Что изменится после 1 июля?

Основной и наиболее распространенной формой ответственности за нарушение положений законодательства о персональных данных является административная ответственность.  За нарушение порядка сбора, хранения, использования или распространения персональных данных граждан согласно ст. 13.11 КоАП РФ предусмотрен административный штраф, максимальная сумма которого составляет 10 тыс. руб. 

Однако с 1 июля 2017 вступят в силу изменения, которые значительно увеличат суммы штрафов.  Кроме того, если сейчас за любое нарушение Закона о персональных данных полагается административный штраф до 10 тыс. руб., то с июля штрафы будут дифференцироваться по суммам в зависимости от вида нарушения. 

Суммы штрафов при этом увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.

Что должен делать оператор для соблюдения Закона о персональных данных?

Чтобы обрабатывать легитимно персональные данные граждан необходимо реализовать в организации все меры защиты личной информации, предусмотренные законом.  И здесь всё достаточно непросто. Закон о персональных данных в ст. 18.1 приводит неисчерпывающий перечень мер, направленных на обеспечение соблюдения оператором законодательства о персональных данных (например, оценка вреда, который может быть нанесён субъекту ПД, внутренний аудит соблюдения законодательства по обработке и др.).  Более того, Закон о персональных данных  предусматривает обширное подзаконное регулирование, которое, в свою очередь, отдает его детализацию на откуп регуляторам (в частности, ФСБ России и ФСТЭК России). В целом можно сказать, что обеспечение соответствия используемой оператором системы обработки персональных данных техническим требованиям является весьма трудозатратным и дорогостоящим процессом, который может потребовать помощи специализированных организаций и консультантов.

Однако в силах операторов реализовать организационно-технические меры защиты, которые заключаются в принятии множества локальных документов, регулирующих процесс обработки.  К таковым, например, относятся Положение о защите персональных данных субъектов, Положение об архиве, Акты классификации информационных систем и другие документы.

Надо ли кого-то уведомлять о том, что вы обрабатываете персональные данные?

 Оператор до начала обработки персональных данных должен направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, на основании которого он ведет общедоступный реестр операторов персональных данных.   Далеко не все операторы обязаны уведомлять Роскомнадзор об обработке.  Есть исключения, когда это делать не обязательно, например, в случае, если сбор, использование или хранение персональных данных граждан осуществляется только в связи с трудовыми отношениями.  Подробнее об исключениях вы можете прочитать в ст. 22 Закона о персональных данных. 

Юридическая служба Центра защиты прав СМИ