Документ предоставлен КонсультантПлюс
Собирать… Хранить… Так и представляется корзинка, грибы. Вкусно, полезно, питательно. Но если набрать «не тех», можно сильно отравиться. Если неправильно приготовить вполне съедобные грибы — тоже. Такие вот аналогии. За неосторожное обращение с персональными данными бизнесу может грозить штраф. Мало не допускать утечек информации, нужно правильно собирать и хранить такие сведения.
В законодательстве предусмотрены разные нарушения ЗоПД, за которые следуют финансовые санкции.
Юристы среди самых частых нарушений называют такие:
— нет согласия на обработку персональных данных;
— нет политики обработки таких сведений;
— Роскомнадзору не сообщили о намерении обрабатывать ПД или данные в уведомлении расходятся с реальными процессами.
Имейте в виду. Если компании не будут сообщать о намерении проводить трансграничную передачу ПД, то это тоже станет довольно частым нарушением в ближайшей практике, предполагают юристы.
Удается ли оспорить штрафы?
Чаще всего штрафы оспаривают банки и IT-компании. Это достаточно крупные участники рынка, и они дорожат своей репутацией, а потому обжалуют даже незначительные суммы взысканий, например 30 000 — 60 000 рублей.
Но в подавляющем большинстве случаев штрафы оспорить не удается. Например, в 2021 году мировой судья оштрафовал Twitter, Facebook и WhatsApp на 17, 15 и 4 миллиона рублей за отказ локализовать данные россиян на территории РФ. Таганский райсуд впоследствии «засилил» эти штрафы.
Практика показывает, что у компаний не так много шансов обжаловать штрафы. Лучше заранее принять меры, чтобы минимизировать риски финансовых санкций.
Как снизить риски штрафов
Для этого юристы, опрошенные «Право.ru», рекомендуют компаниям:
— разработать документы, которые регламентируют обработку данных, например политику и локальные акты;
— хранить данные в российской базе данных;
— обеспечить правомерные основания обработки данных — получить согласия на обработку, заключить договоры;
— принимать меры по защите данных — ограничить доступ, использовать средства компьютерной защиты.
«Личное. Но ничего лишнего». Какие данные нужны бизнесу
Чтобы уменьшить вероятность получить штраф, важно также определить, зачем бизнесу нужны персданные.
По закону оператор (компания, которая обрабатывает ПД) обязан собирать данные в соответствии с целями их обработки. Он не должен требовать избыточную информацию.
Чрезмерность в этом плане определяется по отношению к целям обработки ПД. Например, как уже отмечено, если салон красоты собирает информацию о месте работы, образовании и источниках дохода клиентов, очевидно, что в этом нет необходимости.
А в деле N А60-24551/2021 кассация признала незаконным требование ресурсоснабжающей компании к клиенту представить паспорт, чтобы сделать перерасчет. Суд округа указал: по закону для этого не нужен паспорт, потому его запрос незаконный и избыточный.
Обратите внимание! Для начала стоит получить согласие на обработку данных. Не стоит запрашивать лишние сведения. Например, салону красоты ни к чему информация о месте работы или образовании клиентов. Такие требования можно признать незаконными. Еще важно разработать четкую и доступную политику обработки персданных. Документ должен быть понятен обычным людям.
Юристы выделяют несколько основных целей, для которых бизнес собирает ПД.
Оказание услуги. Например, для доставки товара потребителю, для связи с клиентом.
Маркетинг. ПД активно используют для эффективного продвижения товаров и услуг. Например, чтобы стимулировать новые продажи, рассылать рекламу, сообщать об акциях, скидках, новых поступлениях, реализовывать бонусную и накопительную программы, получать обратную связь.
Еще сбор ПД позволяет отслеживать покупки всех клиентов, а значит, анализировать потребительское поведение через анализ «больших данных» (big data).
Такой подход позволяет предлагать персонализированные скидки и акции и разрабатывать маркетинговую стратегию компании в целом.
Ну и, конечно, сбор и обработка персональных данных работников и кандидатов для приема на работу. Цели можно сформулировать более широко или же узко. Бизнес очень разный, поэтому общего универсального перечня типовых задач нет.
Объем необходимой информации зависит от цели обработки. В качестве первого «теста» оператор должен задать себе два вопроса: какие данные минимально необходимы для достижения данной цели и без каких данных точно можно обойтись.
При этом есть НПА, которые прямо обязывают оператора хранить определенный набор данных. Например, есть требования в области архивного хранения, в том числе по уволенным работникам, чтобы потом можно было предоставить сведения по запросам уполномоченных органов.
Стандартный набор ПД, необходимых бизнесу, — это те данные, которые позволяют идентифицировать клиентов, поддерживать с ними связь, производить доставку при необходимости и фиксируют их потребительскую активность.
Перечня персональных данных, который подходил бы каждой компании, нет, так как он зависит от целей сбора таких сведений.
С точки зрения практики примерно понятен объем данных для работников. В него входят паспортные данные, сведения об образовании, ИНН, СНИЛС, информация, связанная с трудовой деятельностью.
Тем не менее все равно в разных компаниях могут быть отличия. Например, для отдельных направлений бизнеса обязательны медосмотры работников. Соответственно, эти данные тоже можно обрабатывать.
А если все клиентские отношения строятся на долгосрочном и дружеском взаимодействии, то компании могут собирать и данные о днях рождения контрагентов или их работников. Если компания подобрала надлежащее правовое основание, по закону это допустимо.
Бизнес может просить у субъектов нетипичную информацию, если это обосновано видом его работы.
Например, фирма, которая оценивает персонал, может запрашивать сведения об образовании, роде деятельности, поле, возрасте и иных факторах, которые учитывает компания при анализе когнитивных способностей.
А медорганизация собирает информацию о состоянии здоровья пациентов. Однако их не может требовать любая другая компания.
Пример. Неправомерный сбор ПД
Еще пример — компании, которые используют технологию «умный дом». Устройства собирают такие сведения, как время прихода домой, данные о местоположении. Подобная информация может формально подпадать под ПД и при этом собираться компаниями, например, чтобы оказывать техподдержку.
А в европейской практике есть кейс, где работодатель обрабатывал данные о психологическом здоровье работников.
Его признали нарушителем, так как он использовал эти данные на основании договора, чтобы оценить прохождение испытательного срока. Но такие сведения не нужны для заявленной цели. Исполнение договора в этом случае — это ненадлежащее правовое основание.
Как правильно собирать и хранить ПД: позиции Роскомнадзора
1. Сократить перечень данных, которые компания собирает и обрабатывает.
2. Раздельно хранить различные данные разных групп, например клиентов, работников, соискателей.
3. Хранить идентификаторы человека — Ф.И.О., имейл, телефон, адрес и данные о взаимодействии с ним, например об оказанных услугах, проданных товарах, переписки, договоры, в разных базах данных.
4. Не копить ПД «на всякий случай». Своевременно уничтожать сведения, когда цель их обработки достигнута.
5. Использовать технические и программные средства, которые принадлежат оператору, чтобы обеспечить безопасность данных.
6. Своевременно сообщать РКН о потенциальных утечках персональных данных и уже состоявшихся.
7. Контролировать физический доступ к ПД.
8. Назначить ответственного за защиту данных и наделить его необходимыми полномочиями (рекомендации РКН операторам персональных данных).
Как составить политику обработки ПД
Чтобы структурировать сбор и обработку персональных данных, компании необходима политика обработки. Более того, каждый оператор ПД обязан ее иметь. А компании, которые собирают такие сведения в Интернете, должны по закону размещать политику на сайте.
Также документ поможет предупредить и риски назначения штрафов. Грамотно составленная политика позволяет правильно урегулировать вопрос сбора и обработки персональных данных. Компания будет ей следовать и избегать нарушений.
Тогда у субъектов персональных данных также будет куда меньше поводов жаловаться на компанию в РКН из-за неверно описанных процессов и излишнего сбора данных.
Подробная политика обработки ПД упрощает жизнь и работникам организации. Они понимают, как надо действовать в различных ситуациях. По сути, это в какой-то мере сценарий верного поведения.
Одна из практических целей политики — сообщить субъектам ПД, как их данные обрабатываются.
Хорошая политика должна отвечать на возможные вопросы среднестатистического пользователя.
Сведения стоит представлять в понятной неспециалисту и хорошо структурированной форме. Например, описывать цели обработки данных, их основания и конкретный состав в виде таблицы.
Можно оформить документ в две колонки. В одной будет полноценная формально-юридическая версия политики. А во второй — краткое изложение простым языком.
На заметку. В России документы в сфере защиты ПД необязательно должны быть понятными обычным людям, но это хорошая мировая практика, ориентированная на человека.
Сторонняя организация просит персданные работников. Когда нельзя отказать?
Расскажем о том, на чьи запросы о представлении персональных данных организация обязана отвечать, в какие сроки (показываем нормативно закрепленные правила и практику) и как организовать этот процесс.
В настоящее время многие организации сталкиваются с необходимостью представлять по запросам внешних организаций персональные данные, обработка, сбор и хранение которых находятся в их ведении.
В соответствии с определением Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Ф.И.О., СНИЛС, дата и место рождения, место регистрации и проживания, факт получения и размер заработной платы и иных выплат (пенсии, пособия, предоставляемые льготы, иное материальное вознаграждение), сведения о работодателе, уплачивающем страховые взносы и сдающем отчетность в государственные контролирующие органы, информация о состоянии здоровья, уровне образования — все это примеры персональных данных.
Персональные данные относятся к категории конфиденциальной информации, доступ к которой и ее обработка ограничены федеральным законодательством.
При этом согласие должно быть оформлено в соответствии с требованиями статьи 9 Закона о персональных данных на бумажном носителе или в форме электронного документа.
Однако из этого правила есть исключения, о чем будет сказано ниже. Под запросами внешних организаций в статье понимаются оформленные в установленном порядке письма корреспондентов о представлении персональных данных, находящихся в распоряжении организации.
У адресата таких запросов часто возникают сомнения: правомерен ли запрос, правомочна ли организация давать ответ, в какие сроки необходимо представить информацию, какие сведения относятся к персональным данным, каким образом направить ответ, как отказать в представлении персональных данных?
На заметку. Передавать персональные данные, ставшие известными организации в ходе основной деятельности, третьей стороне можно только с письменного согласия субъекта персональных данных — самого гражданина.
Кто может запросить персональные данные
Законодательно ни одна организация не ограничена в праве запросить интересующие ее персональные данные в отношении любого гражданина.
А вот организация, обрабатывающая персональные данные, не вправе раздавать их по первому требованию. В соответствии с частью 4 статьи 21 Уголовно-процессуального кодекса РФ запросы прокуроров, руководителей следственных органов, следователей, органов дознания и дознавателей, предъявленные в пределах их полномочий, подлежат обязательному исполнению.
Статья 6 Федерального закона от 17.01.1992 N 2202-1 «О прокуратуре Российской Федерации» обязывает безусловно исполнять требования прокурора в установленные им сроки. Неукоснительному исполнению подлежат и обращения судов — подобная норма закреплена в статье 6 Федерального конституционного закона от 31.12.1996 N 1-ФКЗ «О судебной системе Российской Федерации».
Персональные данные также вправе запросить:
— финансовые управляющие — в рамках дела о банкротстве гражданина в соответствии с пунктом 7 статьи 213.9 Федерального закона от 26.10.2002 N 127-ФЗ «О несостоятельности (банкротстве)»;
— государственные и муниципальные учреждения, в том числе органы власти, и иные организации — в целях предоставления государственных и муниципальных услуг в рамках исполнения Федерального закона от 27.07.2010 N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (в случаях, установленных законом, потребуется письменное согласие субъекта персданных);
— нотариусы — в целях совершения нотариальных действий, в том числе выявления состава наследства в соответствии с пунктом 3 статьи 1171 Гражданского кодекса РФ. Право запрашивать непосредственно персональные данные закреплено в статье 15 Основ законодательства Российской Федерации о нотариате, утвержденных Постановлением Верховного Совета Российской Федерации от 11.02.1993 N 4462-1;
— уголовно-исполнительные инспекции — в целях контроля исполнения наказания в виде запрета занимать определенные должности или заниматься определенным видом деятельности. Их полномочия регулируются статьей 14 Федерального закона от 21.07.1997 N 118-ФЗ «Об органах принудительного исполнения в Российской Федерации»;
— судебные приставы-исполнители — при совершении исполнительных действий в соответствии со статьей 12 Федерального закона от 21.07.1997 N 118-ФЗ.
За утечки персданных компании смогут оштрафовать на 20 миллионов рублей
Парламентарии завершили разработку новеллы о введении для бизнеса оборотных штрафов за утечки персональных данных.
Как сообщила первый зампред комитета Совфеда по конституционному законодательству и госстроительству Ирина Рукавишникова, в ближайшее время документ внесут в Госдуму.
Пока что компанию могут оштрафовать только на сумму до 300 000 рублей. Документ предлагает увеличить размер санкции по статье 13.11 КоАП РФ за действия или бездействие оператора в случае утечки биометрии:
— для физлиц — до 400 000 — 500 000 рублей;
— должностных лиц — до двух-трех миллионов рублей;
— юрлиц — до 15 — 20 миллионов рублей.
За нарушение правил обработки и уничтожения биометрии должностные лица будут обязаны заплатить штраф в размере от 100 000 до 300 000 рублей, а юрлица — от 500 000 до одного миллиона рублей.
Для операторов-госорганов ответственность за нарушение безопасности данных будет серьезнее: для должностных лиц — от 300 000 до 500 000 рублей, для юрлиц — от 1 до 1,5 миллиона рублей. Административную ответственность не будут применять к банкам.
Законопроект предлагает ввести дифференциацию наказания в зависимости от количества и вида утекших данных. Юрлица заплатят:
— от трех до пяти миллионов рублей — при утечке данных от 1 000 до 10 000 субъектов;
— от 5 до 10 миллионов рублей — если нарушение касается 10 000 — 100 000 субъектов;
— от 10 до 15 миллионов рублей — в случае утечки данных более чем 100 000 субъектов.
На заметку. При повторном нарушении наказание ужесточат, и тогда штраф для физлиц составит от 500 000 до 800 000 рублей, для должностных лиц — от трех до пяти миллионов рублей, для компаний — от 0,1% до 3% совокупной выручки компании за прошедший год или часть года, но не менее 20 миллионов и не более 500 миллионов рублей.
С ужесточением штрафов и способом их расчета не согласились ни бизнес-сообщество, ни Минэкономразвития.
Ассоциация компаний интернет-торговли предлагала, например, наказывать лишь тех, кто повторно допустил утечку данных более миллиона пользователей.
Минэк просил смягчить наказание для юрлиц, которые добровольно выплатили компенсацию пострадавшим от утечек.
Председатель комитета Госдумы по информполитике Александр Хинштейн заверял, что смягчающие, но не реабилитирующие обстоятельства также учтут в поправках.
Редакция «ПБ»
Подписано в печать
09.11.2023
Документ в СПС КонсультантПлюс:
Как фирме собирать и хранить персональные данные, чтобы не платить за нарушение ЗоПД
(«Практическая бухгалтерия», 2023, N 11)