При обработке персональных данных физлиц, к примеру членов вашего СНТ, клиентов и партнеров, вы должны принять меры, чтобы не допустить любые противоправные действия в отношении этих данных, в частности их копирование, распространение.
Для этого вам нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.
Сложнее всего организовать защиту данных, которые вы храните в электронном виде. Для этого вам придется предварительно определить тип угрозы и подобрать нужный уровень защищенности данных.
1. Какие требования предъявляются к защите персональных данных
Если вы обрабатываете персональные данные (являетесь оператором), то вы должны принять меры для их защиты. Вы сами решаете, какие именно меры и в каком составе будете принимать, кроме случаев, когда закон обязывает вас принять конкретные меры, например назначить ответственное лицо (ч. 1 ст. 22.1 Закона об обработке персональных данных).
Учтите, что эти меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними (ч. 1 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных). В противном случае вас могут привлечь к ответственности за нарушение законодательства о персональных данных.
Вы должны принять меры нескольких видов:
- правовые. Это создание комплекта документов, необходимых для защиты персональных данных;
- технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. Например, установить шифрование, обучить сотрудников.
Специальные требования по защите персональных данных предусмотрены для отдельных категорий операторов. Например, существует специальный Перечень мер для операторов-госорганов. А компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR) (к примеру, если они продают товары гражданам Евросоюза), должны учитывать также требования этого регламента.
2. Какие действия нужно совершить, чтобы обеспечить защиту персональных данных при их обработке
Чтобы обеспечить защиту персональных данных физлиц при их обработке, вам нужно принять ряд организационных и технических мер.
В основном эти меры совпадают с мерами по защите персональных данных работников, поскольку Закон о персональных данных не проводит различий между персональными данными работников и прочих физлиц.
Конкретный перечень этих мер зависит от того, как вы храните данные - в электронном виде или на бумажном носителе. В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе).
Сложнее организовать защиту электронных данных. Для этого вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности (п. п. 7 - 12 Требований к защите персональных данных при их обработке в информационных системах). От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять (п. п. 13 - 16 указанных Требований).
3. Какие документы нужно создать для защиты персональных данных при их обработке
Четкий перечень этих документов законом не установлен. Рекомендуем подробно отразить в документах весь процесс обработки персональных данных. Это позволит вам, в частности, избежать претензий со стороны контролирующих органов в случае проверки.
Создайте следующий комплект основных документов:
1) политика в отношении обработки персональных данных или иной локальный нормативный акт (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Это самый главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению.
Если у вас уже есть подобный локальный акт по персональным данным работников, вы можете в нем же предусмотреть положения о защите прав иных физлиц (например, добавить специальный пункт по физлицам).
Если у вас есть интернет-сайт, через который вы получаете персональные данные, разместите на нем политику в отношении обработки персональных данных (или иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных);
2) приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных). Им может стать любой ваш работник, например руководитель отдела по работе с клиентами. Если у вас уже назначен ответственный за персональные данные работников, вы можете назначить его же ответственным за данные прочих физлиц. Это удобно, поскольку обязанности ответственного лица не зависят от того, чьи данные вы обрабатываете - работников или, например, клиентов;
3) приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц. Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных;
4) соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.
Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета и движения персональных данных или подробные регламенты по работе с персональными данными.
1. Какая административная ответственность грозит за нарушение законодательства о персональных данных
Административная ответственность установлена:
- за нарушение правил обработки персональных данных;
- неисполнение обязанностей при взаимодействии с гражданином - субъектом персональных данных;
- невыполнение требований по защите персональных данных;
- неисполнение обязанностей при взаимодействии с Роскомнадзором.
Если в ходе проверки будет выявлено несколько нарушений, к ответственности вас привлекут за каждое из них. Также обратите внимание, что к ответственности за нарушение могут одновременно привлечь и организацию, и виновное физическое лицо (ч. 3 ст. 2.1 КоАП РФ).
Основной вид административного наказания за нарушение законодательства о персональных данных - штраф. Его размер зависит от конкретного нарушения. Например, максимальный штраф для организации за обработку персональных данных без письменного согласия гражданина, когда согласие требуется, или за отсутствие в нем всех необходимых сведений составляет 150 000 руб., за повторное правонарушение - 500 000 руб. (ч. 2, 2.1 ст. 13.11 КоАП РФ).
Далее рассмотрим подробнее группы нарушений и размеры штрафов за них.
Когда вместо административного штрафа возможно предупреждение. Это возможно, если такая санкция предусмотрена за ваше нарушение, вы совершили его впервые и при этом соблюдены условия, перечисленные в ч. 2 ст. 3.4 КоАП РФ. Если вы некоммерческая организация или субъект малого и среднего предпринимательства, штраф вам и вашим работникам могут заменить предупреждением, даже если норма этого не предусматривает (ч. 3 ст. 3.4 КоАП РФ).
1.1. Административная ответственность за нарушение правил обработки персональных данных
К административной ответственности за нарушение правил обработки вашу организацию и ее должностных лиц могут привлечь, если вы будете обрабатывать персональные данные:
1) в не предусмотренных законом случаях (ч. 1 ст. 13.11 КоАП РФ).
Максимальный штраф для должностных лиц - 20 000 руб., для организации - 100 000 руб.
Перечень случаев, в которых допускается обработка персональных данных, установлен в ч. 1 ст. 6 Закона о персональных данных. К их числу относится и обработка с согласия физлица, но обратите внимание, что под него состав отдельный - по ч. 2 ст. 13.11 КоАП РФ;
2) в целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ).
Максимальный штраф для должностных лиц - 20 000 руб., для организации - 100 000 руб.
Учтите, что у вас должны быть заранее определены законные и конкретные цели обработки персональных данных и все ваши действия с персональными данными должны им соответствовать (ч. 2, 5 ст. 5 Закона о персональных данных).
За повторное нарушение правил обработки персональных данных максимальный штраф составит: для должностных лиц - 50 000 руб., для ИП - 100 000 руб., для организации - 300 000 руб. (ч. 1.1 ст. 13.11 КоАП РФ);
3) без согласия, когда оно требуется, или с согласия, но с неполными сведениями (ч. 2 ст. 13.11 КоАП РФ).
Максимальный штраф для должностных лиц - 40 000 руб., для организации - 150 000 руб.
За повторное нарушение максимальный штраф составит: для должностных лиц - 100 000 руб., для ИП - 300 000 руб., для организации - 500 000 руб. (ч. 2.1 ст. 13.11 КоАП РФ).
Обратите внимание, что согласие требуется далеко не всегда, есть большой перечень случаев, когда в нем нет необходимости;
4) без использования баз данных, находящихся в России, для записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ (ч. 5 ст. 18 Закона о персональных данных, ч. 8, 9 ст. 13.11 КоАП РФ).
Максимальный штраф за неисполнение этой обязанности для должностных лиц - 200 000 руб. (за повторное нарушение - 800 000 руб.), для организации либо индивидуального предпринимателя - 6 000 000 руб. (за повторное нарушение - 18 000 000 руб.).
1.2. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с гражданином
Вас могут привлечь к ответственности, если вы:
1) в определенный срок не представите гражданину запрошенную им информацию (ч. 4 ст. 13.11 КоАП РФ).
Максимальный штраф для должностных лиц - 12 000 руб., для организации - 80 000 руб., для ИП - 30 000 руб.
Вас могут привлечь к ответственности, если вы, например, не подтвердите, что вы обрабатываете персональные данные, в течение 30 дней с получения соответствующего запроса гражданина (ч. 7 ст. 14, ч. 1 ст. 20 Закона о персональных данных);
2) не выполните требование об уточнении, блокировании или уничтожении его персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5, 5.1 ст. 13.11 КоАП РФ).
Максимальный штраф для должностных лиц - 20 000 руб. (за повторное нарушение - 50 000 руб.), для организации - 90 000 руб. (за повторное нарушение - 500 000 руб.), для ИП - 40 000 руб. (за повторное нарушение - 100 000 руб.).
В частности, к ответственности вас могут привлечь, если вы не уточните персональные данные в течение семи рабочих дней со дня представления субъектом актуальных сведений (ч. 2 ст. 21 Закона о персональных данных).
1.3. Административная ответственность за невыполнение требований по защите персональных данных
К такой ответственности вас могут привлечь, если вы:
1) не опубликуете необходимые документы о вашей политике в отношении обработки персональных данных и о том, какие требования по их защите вы реализуете, или не обеспечите иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ).
Максимальный штраф для должностных лиц - 12 000 руб., для организации - 60 000 руб., для ИП - 20 000 руб.;
2) не обеспечите сохранность данных при их неавтоматизированной обработке, если это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (ч. 6 ст. 13.11 КоАП РФ).
Максимальный штраф для должностных лиц - 20 000 руб., для организации - 100 000 руб., для ИП - 40 000 руб.
1.4. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором
К административной ответственности при взаимодействии с Роскомнадзором - уполномоченным органом по защите прав субъектов персональных данных вас могут привлечь, если вы, в частности:
- не представите информацию, запрошенную им в порядке ч. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ);
- не выполните в срок законное предписание Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
- будете препятствовать проведению проверки либо уклоняться от нее (ч. 1 ст. 19.4.1 КоАП РФ);
- не выполните требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).
2. В чем состоит гражданско-правовая ответственность
Нарушение законодательства в области персональных данных может повлечь гражданско-правовую ответственность в форме компенсации морального вреда, возмещения убытков, взыскания неустойки, если она была предусмотрена вашим договором.
Обратите внимание, что моральный вред вы обязаны возместить вне зависимости от того, возмещали ли вы имущественный вред физлицу и понесенные им убытки (ч. 2 ст. 24 Закона о персональных данных).
Ваша ответственность может наступить, если вы нарушаете:
- права субъекта, установленные Законом о персональных данных;
- правила обработки персональных данных;
- требования к их защите.
Компенсировать моральный вред вы будете в денежной форме, размер компенсации определит суд с учетом степени вашей вины и степени страданий гражданина (ст. ст. 151, 1101 ГК РФ).
Убытки суд взыщет, если будут доказаны наступление вреда, противоправность вашего поведения и ваша вина, а также причинно-следственная связь между ними (см. Позицию КС РФ, ВС РФ, ВАС РФ). Учтите, что вина презюмируется и ее отсутствие придется доказывать вам (п. 2 ст. 1064 ГК РФ).
Обратите внимание, что возмещать вред будет организация, а не должностные лица, поскольку вред, причиненный работником, должен возмещать работодатель (п. 1 ст. 1068 ГК РФ).
3. Какую ответственность несут работник и работодатель за нарушения законодательства о персональных данных
Работодатель в этом случае может понести материальную ответственность перед своими сотрудниками.
Работника можно привлечь как к дисциплинарной, так и к материальной ответственности, если по его вине при обработке персональных данных произошло нарушение законодательства в области персональных данных.
3.1. Какую ответственность несет работодатель перед своими работниками
Вы несете материальную ответственность перед своими работниками, если, нарушив по своей вине законодательство в области персональных данных, причините им материальный ущерб и (или) моральный вред (ст. 90, ч. 1 ст. 232, ч. 1 ст. 233 ТК РФ).
Например, такое возможно, если вы не обеспечили защиту персональных данных работника (не организовали особый режим доступа, хранение в особых местах и так далее), из-за чего они стали доступны посторонним лицам.
В таком случае вы обязаны возместить работнику ущерб в полном объеме, а моральный вред - в той сумме, о которой договоритесь с работником или которую определит суд (ч. 1 ст. 235, ст. 237 ТК РФ).
Дисциплинарная ответственность для работодателя законодательством не предусмотрена.
3.2. К какой ответственности работодатель может привлечь работника
Вы можете привлечь работника к дисциплинарной и материальной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту персональных данных других работников. Но потребуется соблюсти определенные условия (ч. 1 ст. 22, ст. 90 ТК РФ).
3.2.1. Дисциплинарная ответственность работника
Работника можно привлечь к дисциплинарной ответственности, если он виноват в неисполнении (ненадлежащем исполнении) своих трудовых обязанностей по обработке персональных данных (ч. 1 ст. 192 ТК РФ). Например, такое возможно, если работник отдела кадров разгласит персональные данные других лиц, которые стали ему известны в связи с исполнением своих трудовых обязанностей и которые он обязался не разглашать.
Такие действия могут быть признаны однократным грубым нарушением работником трудовых обязанностей. И в этом случае вы вправе применить к нему дисциплинарное взыскание вплоть до увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ.
Учтите только, что нельзя уволить по этому основанию беременную женщину, работника, который находится в отпуске или на больничном, а также несовершеннолетнего, если нет на это согласия трудинспекции и комиссии по делам несовершеннолетних и защите их прав (пп. "в" п. 6 ч. 1, ч. 6 ст. 81, ч. 1 ст. 261, ст. 269 ТК РФ).
Чтобы привлечь работника к дисциплинарной ответственности, в том числе в виде увольнения, вам потребуется соблюсти специальный порядок, в частности: затребовать у него письменное объяснение, составить акт, если работник не представит его по истечении двух рабочих дней, оформить приказ о наложении дисциплинарного взыскания и ознакомить с ним работника (ч. 1, 2 ст. 192, ч. 1, 6 ст. 193 ТК РФ).
3.2.2. Материальная ответственность работника
Вы можете привлечь работника, ответственного за обработку персональных данных, в том числе за их неразглашение, если он нарушил свои обязанности и причинил вам тем самым ущерб (ст. 90, ч. 1 ст. 238 ТК РФ). То есть если вам пришлось возмещать материальный ущерб и (или) моральный вред пострадавшим по его вине работникам или третьим лицам.
Взыскать можно только прямой действительный ущерб, в том числе сумму ущерба и (или) морального вреда, выплаченную вами пострадавшим по его вине работникам или третьим лицам (ст. 90, ч. 1 ст. 238 ТК РФ).
Но сначала обязательно проведите проверку для определения размера ущерба и причин его возникновения, истребуйте от работника письменное объяснение, а также учтите другие обязательные требования, предусмотренные ст. ст. 246, 247, 248 ТК РФ.
