Штраф за отсутствие политики обработки персональных данных

16/04/25

Б-152

Штраф за отсутствие политики обработки персональных данных

Согласно 152-ФЗ, организации, которые занимаются обработкой ПДн, обязаны разработать Политику обработки персональных данных и обеспечить к ней неограниченный доступ, например, опубликовать на сайте (если данные собирают через сайт). Основание ― п. 2 ч. 1 ст. и ч. 2 ст. 18.1 152-ФЗ. В этом документе необходимо детально описать, каким образом компания использует ПДн персонала, клиентов и других физлиц. За отсутствие политики обработки персональных данных предусмотрены штрафы.

Сколько разделов будет в Политике ― оператор определяет сам. Чтобы избежать претензий к содержанию Политики, ее оформляют согласно требованиям п. 2 ч. 1 ст. 18.1 152-ФЗ, Рекомендациям Роскомнадзора.

В этой части указывается назначение документа, разъясняются используемые термины. Рекомендуется прописать права и обязанности субъекта персональных данных и оператора ПДн.

Статья 5 152-ФЗ гласит, что цели сбора ПДн должны быть конкретными и законными. Обработка личной информации, не соответствующая этим целям, запрещается.

Согласно требованиям Роскомнадзора, формулировка целей учитывает:

• подзаконные акты, регламентирующие деятельность организации;
• цели фактически ведущейся деятельности;
• цели, предусмотренные учредительной документацией;
• конкретные бизнес-процессы в определенных информационных системах ПДн, включая структурные подразделения и их процедуры в отношении конкретных категорий владельцев персональных данных.

Цели обработки персональных данных обширны и многообразны. Некоторые из них:

Цель №1: Выполнение нормативно-правовых требований, в том числе в области трудового законодательства.

Перечень обрабатываемых ПДн:

• паспортные данные;
• ИНН;
• СНИЛС;
• сведения о воинском учете;
• данные об образовании;
• данные о трудовом стаже;
• банковские реквизиты;
• сведения о доходах;
• сведения о семейном положении и детях.

Категории субъектов, данные которых обрабатываются для этой цели:

• сотрудники предприятия;
• кандидаты на вакантные должности;
• уволенные работники (в части архивного хранения).

Действия с ПДн, которые совершают для этой цели:

• сбор и фиксация;
• систематизация;
• хранение;
• передача в государственные органы (СФР, ФНС, военкоматы);
• актуализация;
• архивирование.

Цель №2: Профессиональное развитие персонала.

Перечень обрабатываемых ПДн:

• сведения об образовании и квалификации;
• данные о профессиональных навыках;
• история обучения и сертификации;
• результаты аттестаций;
• сведения о карьерных предпочтениях;
• данные о профессиональных достижениях.

Категории субъектов, данные которых обрабатываются для этой цели:

• действующие сотрудники компании;
• стажеры;
• участники программ корпоративного обучения.

Действия с ПДн, которые совершают для этой цели:

• анализ профессионального потенциала;
• формирование индивидуальных планов развития;
• направление на обучение;
• оценка результатов профессиональной подготовки;
• создание кадрового резерва;
• планирование карьерного продвижения.

Цель №3: Обеспечение безопасности и охраны здоровья.

Перечень обрабатываемых ПДн:

• медицинские сведения (в объеме, предусмотренном законодательством);
• данные о прохождении инструктажей по технике безопасности;
• сведения о контактных лицах для экстренной связи;
• информация о группе крови и аллергических реакциях (при необходимости);
• данные о специальных средствах защиты.

Категории субъектов, данные которых обрабатываются для этой цели:

• сотрудники, включая занятых во вредных и опасных условиях труда;
• посетители режимных объектов;
• представители подрядных организаций.

Действия с ПДн, которые совершают для этой цели:

• регистрация прохождения инструктажей;
• учет выдачи средств индивидуальной защиты;
• контроль своевременного прохождения медицинских осмотров;
• обеспечение экстренного оповещения;
• организация эвакуационных мероприятий при ЧС.

Цель №4: Мониторинг эффективности трудовой деятельности.

Перечень обрабатываемых ПДн:

• данные о выполнении плановых показателей;
• сведения о рабочем времени;
• информация о производительности труда;
• результаты оценки профессиональных компетенций;
• показатели качества выполняемых работ;
• данные о соблюдении трудовой дисциплины.

Категории субъектов, данные которых обрабатываются для этой цели:

• штатные сотрудники организации;
• временные работники;
• сотрудники на испытательном сроке.

Действия с ПДн, которые совершают для этой цели:

• фиксация результатов труда;
• анализ эффективности деятельности;
• учет рабочего времени;
• проведение аттестационных мероприятий;
• формирование отчетности о производительности;
• разработка мотивационных программ.

Цель №5: Защита материальных активов организации.

Перечень обрабатываемых ПДн:

• биометрические данные для систем контроля доступа (СКУД);
• сведения о выданных материальных ценностях;
• данные видеонаблюдения;
• информация о доступе к информационным системам;
• сведения о материальной ответственности.

Категории субъектов, данные которых обрабатываются для этой цели:

• сотрудники, имеющие доступ к материальным ценностям;
• работники с доступом к конфиденциальной информации;
• посетители территории предприятия;
• материально-ответственные лица.

Действия с ПДн, которые совершают для этой цели:

• организация пропускного режима;
• мониторинг систем видеонаблюдения;
• учет выданного оборудования и материальных ценностей;
• контроль доступа к информационным ресурсам;
• проведение служебных расследований при выявлении нарушений.

В Политике также нужно прописать информацию об условиях обработки ― категории субъектов, перечень ПДн, действия с ними и прочую информацию, указанную в п. 2 ч. 1 ст. 18.1, по каждой цели обработки.

Правовые основания для обработки персональных данных прописаны в ч.1 ст. 6 152-ФЗ.

Перечислим некоторые основания, которые дают право на обработку ПДн:

• при наличии согласия субъекта персональных данных;
• в целях реализации задач, предусмотренных международным договором Российской Федерации или федеральным законом, для осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на оператора;
• в рамках участия лица в конституционном, гражданском, административном, арбитражном, уголовном судопроизводстве;
• в целях исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных ― если получить его согласие не представляется возможным;
• для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения прав и законных интересов субъекта персональных данных;
• в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона №152-ФЗ, при условии обязательного обезличивания персональных данных и так далее.

Полный перечень оснований ― здесь.

Объем обрабатываемых ПДн должен соответствовать указанным целям, согласно которым обрабатывают личные сведения.

Относительно указания категорий субъектов допустимо указывать следующие:

• действующие и уволенные сотрудники;
• соискатели;
• родственники сотрудников;
• посетители;
• клиенты и контрагенты — физические лица;
• представители или работники клиентов и контрагентов оператора ПДн (юридических лиц).

В целом, степень детализации по категориям субъектов ПДн оператор определяет самостоятельно.

В требованиях Роскомнадзора указано, что необходимо детально описать все данные, обрабатываемые по каждой категории применительно к определенным целям.

В этом разделе указан перечень действий с ПДн, сроки, способы их обработки применительно к каждой цели обработки персональных данных.

Если компания взаимодействует с третьими лицами для достижения целей обработки, РКН рекомендует:

• разъяснить условия передачи данных третьим лицам (в том числе при трансграничной передаче);
• указать местонахождение и наименование этих лиц;
• определить объем передаваемых данных и цели передачи;
• перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных.

Также в Политику рекомендуется включить:

• Информацию о соблюдении требований защиты ПДн согласно ст. 7 152-ФЗ и о принятии мер безопасности (ч. 2 ст. 18.1, ч. 1 ст. 19).
• Условия прекращения обработки персданных. Обработка прекращается, если цели достигнуты, истек срок действия согласия или оно отозвано, выявлены несанкционированные действия по обработке.

Рекомендуется описать процесс хранения данных, указать сроки хранения ПДн. Информацию хранят в базах данных, расположенных на территории России. Личные сведения необходимо хранить в формате, позволяющем идентифицировать субъекта ПДн в течение времени, необходимого для достижения целей обработки. Рекомендуется также указать иные условия хранения, в том числе те, которые используют при обработке данных вручную.

Статья 21 152-ФЗ предписывает актуализировать персональные данные при выявлении их неточности или неправомерной обработки. Порядок уничтожения тоже указывается применительно к каждой заявленной в Политике цели обработки ― это закреплено напрямую в ст. 18.1.

Уничтожение ПДн производится после достижения целей обработки или при отзыве согласия владельцем, если иное не предусмотрено:

• договором, в котором выгодополучателем или поручителем является владелец ПДн;
• соглашением между оператором и владельцем персональных данных.

В рекомендациях Роскомнадзора указывается на необходимость включения в Политику регламентов реагирования на запросы и обращения субъектов ПДн в связи с неточностью или неправомерностью обработки, отзывом согласия и доступа к данным. Рекомендовано также добавить формы запросов и обращений.

Обязанность каждого оператора ― обеспечить неограниченный доступ к Политике. При сборе ПДн через сайт ― нужно разместить ссылку на Политику на каждой странице сайта, с помощью которого осуществляется сбор. Рекомендуется это сделать в «подвале» сайта. В иных случаях (например, если нет сайта или приложений) ― Политику можно распечатать и разместить на входе в офис на информационном стенде.

Перед регистрацией в Роскомнадзоре оператор ПДн должен привести в порядок Политику и обновить внутреннюю документацию.

Неисполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к Политике обработки персональных данных влечет за наложение штрафов:

• на граждан ― 1500-3000 рублей;
• на должностных лиц ― 6000-12000 рублей;
• ИП ― 10000-20000 рублей;
• юрлица ― 30000-60000 рублей.

Необходимо понимать, что штраф может быть наложен не только за отсутствие Политики обработки персональных данных. В надлежащем состоянии должны находиться и другие документы. Полный перечень формируется индивидуально для каждой организации с учетом сферы ее деятельности и целей обработки ПДн.В перечень могут входить следующие локальные нормативные акты (ЛНА):

• положения об обработке и защите ПДн;
• перечень должностных и сторонних лиц, допущенных к обработке;
• приказы о назначении лица, которое будет отвечать за организацию обработки ПДн, и лица, ответственного за обеспечение безопасности ПДН в информационных системах;
• поручения на обработку ПДн с контрагентами
• согласия на обработку персональных данных;
• акты об уничтожении ПДн;
• перечень мест хранения ПДн, содержащихся на материальных носителях;
• акт оценки вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ;
• уведомления о намерении осуществлять обработку ПДн и, если применимо, уведомление о намерении осуществлять трансграничную передачу данных (дополнительно ― оценку соблюдения конфиденциальности при ТГП).

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме