Общие

Согласно Федеральному закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес места регистрации и проживания;
• семейное, социальное, имущественное положение;
• образование, профессия, доходы;
• паспортные данные;
• и т.п.

На заметку: Позиция судов такова, что даже отдельный email или номер мобильного телефона также является персональными данными, так как он позволяет косвенно определить физическое лицо (субъекта персональных данных).

Персональные данные необходимо защищать согласно 152-ФЗ «О персональных данных», который вменяет это в обязанность каждой компании, индивидуальному предпринимателю или бюджетной организации, обрабатывающим персональные данные. Оператор персональных данных обязан принять ряд мер для выполнения требований законодательства Российской Федерации, касающихся обработки и обеспечения безопасности персональных данных.

В противном случае оператор персональных данных и его сотрудники могут понести дисциплинарную, административную и уголовную ответственность, а запрет на обработку персональных данных Роскомнадзора может привести к остановке деятельности компании.

Согласно закону №152-ФЗ «О персональных данных» под обработкой персональных данных подразумевается любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В Российской Федерации существует три основных регулятора в данной сфере:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.

• Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

Регуляторы проводят как плановые, так и внеплановые проверки, о которых операторы персональных данных предупреждаются за сутки.

Для выполнения закона необходимо иметь пакет организационно-распорядительной документации, назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, подать уведомление об обработке персональных данных в Роскомнадзор, определить уровень защищенности информационных систем для хранения персональных данных и принять организационные и технические меры для обеспечения безопасности персональных данных.

На заметку: Выполнить требования закона можно следующими способами:

• Заказать комплексный аудит, привести бизнес-процессы в соответствие требованиям закона №152-ФЗ и поручить разработку комплекта документов экспертам.

• Нанять специалиста по информационной безопасности, который будет следить за выполнением закона самостоятельно. При этом за качество никто не отвечает и найти такого сотрудника весьма сложно.

Воспользоваться автоматизированными системами подготовки документов, одной из которых является онлайн-сервис Б-152.

Наказание за правонарушение наступает по КОАП:

• штраф для физ. лиц от 35 000 до 50 000 рублей;
• на должностных лиц от 100 000 до 200 000 рублей;
• на организации и компании – от 1 до 6 миллионов рублей.

Повторное правонарушение, совершенное оператором, наказывается строже:

• граждан - от 50 000 до 100 000 рублей;
• должностные лица – от 500 000 до 800 000 рублей;
• на компании – от 6 до 18 миллионов рублей.

GDPR

Это любая информация, относящаяся к физическому лицу, по которой прямо или косвенно можно его определить.

К такой информации относится в том числе имя, данные о местоположении, факторы характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

Email, IP-адрес, идентификатор в социальной сети – все это может быть персональными данными.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные граждан ЕС, не зависимо от местонахождения такой компании.
Нормы GDPR коснутся всех тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины.

GDPR также будут применяться ко всем организациям, вне зависимости от местонахождения, если они любым образом собирают, анализируют или контролируют поведение жителей Евросоюза.

Все российские компании, ориентированные на субъектов в Евросоюзе после 26 мая 2018 г. окажутся в сфере действия Регламента GDPR. В этой связи, согласно требованиям Регламента, такие компании должны назначить своего представителя в Евросоюзе.

Представитель – это физическое или юридическое лицо, созданное в Евросоюзе, которое представляет контролёра или обработчика персональных данных, в отношении их обязательств, предусмотренных Регламентом.

Представитель должен действовать от имени контролёра или обработчика, может взаимодействовать с любыми компетентными органами Евросоюза, государства-члена, включая надзорные органы.

Представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или обработчика, и осуществлять любые действия в целях обеспечения соблюдения Регламента GDPR.

Если у российских операторов персональных данных, к примеру, предоставляющие услуги через интернет для лиц в странах Евросоюза, есть представительства и филиалы в странах Евросоюза, то функции представителя могут быть возложены на них.

Представитель может не назначаться, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработка персональных данных, связана с уголовными приговорами и правонарушениями, или если контролёр является органом или учреждением государственной власти.

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн евро или до 4 % от годового оборота компании.

Субъект персональных данных из стран-членов Евросоюза, в соответствии с Регламентом GDPR, вправе обратиться в соответствующий компетентный орган. Если решение компетентного органа не будет исполнимо на территории Российской Федерации, Европейская Комиссия, согласно Регламенту GDPR, может принять решение о недостаточности мер защиты персональных данных в отношении третьей страны. В этом случае трансграничная передача данных такой третьей стране может быть запрещена