Любая компания, независимо от того, коммерческая она или государственная, имеет дело с персональными данными. Это могут быть данные работников, клиентов, посетителей сайтов, соискателей и других физлиц. Требования к их использованию часто зависят от специфики сферы, в которой работает бизнес. Но есть правила, прописанные в Федеральном законе от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных). Их следует соблюдать, чтобы избежать наказаний, которые в последние годы только ужесточаются.
В марте 2021 года вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который повысил ответственность за игнорирование требований к обработке личных данных. Для юрлиц размер штрафа теперь составляет от 60 000 до 100 000 руб., а при повторном нарушении денежные санкции возрастают до 300 000 руб.
Кто такие операторы и субъекты персональных данных
Персональными данными считается любая информация, которая относится к физическому лицу: не только данные, указанные в паспорте, дипломе и других документах, но и сведения о трудовой деятельности (например, размер зарплаты), специальные данные (состояние здоровья, национальность, политические и религиозные убеждения) и даже биометрические данные (физиологические особенности человека).
В зависимости от специфики деятельности компания может иметь дело с различными категориями данных. Например, если она использует системы контроля доступа, то ей придется собирать и обеспечивать хранение биометрических данных. Медицинские организации работают со специальными данными, связанными с показателями здоровья пациента. При этом почти каждая компания собирает данные своих работников, соискателей, клиентов.
В процесс обработки персональных данных вовлечены две стороны — оператор персональных данных и субъект персональных данных. Если первая получает доступ к обработке и распространению таких данных, то вторая дает на это свое согласие, то есть предоставляет доступ. При этом Закон о персональных данных ограничивает действия операторов четкими правилами.
Школа коммерческой безопасности
Хотите понять, как выстроить системную работу по информационной и кадровой безопасности, проверке контрагентов, взаимодействию с силовыми структурами?
- Подбираете комплексную, насыщенную практическими инструментами программу повышения квалификации?
- Хотите изучить вопросы оценки состояния безопасности компании и разработки системы обеспечения безопасности?
- Интересуетесь методами создания системы противодействия хищениям, мошенничеству и взяткам на предприятии?
за 10 учебных дней наши преподаватели поделятся успешными практиками организации экономической безопасности предприятия.
Законодательно оператор персональных данных определяется как юридическое или физическое лицо, которые:
-
Организуют и (или) производят обработку данных.
-
Устанавливают цели обработки, состав данных, а также действия, совершаемые с ними.
Под обработку попадают различные действия с персональными данными, в том числе комплекс действий с применением средств автоматизации. Это сбор, запись, накопление, систематизация, хранение, уточнение, извлечение, использование, распространение, блокирование, удаление, уничтожение данных.
Требования к обработке персональных данных
В Законе о персональных данных представлен перечень принципов, которыми должна следовать компания-оператор при работе с данными (гл. 2 Закона о персональных данных), а также права тех, кто эти данные бизнесу представляет (гл. 3 Закона о персональных данных).
Обработка персональных данных напрямую связана с целями
Во-первых, обработка ограничивается достижением определенных целей. И эти цели должны быть конкретными, заранее определенными и законными. Нельзя обрабатывать данные, которые не отвечают целям их сбора.
Например, компания может на своем сайте осуществлять сбор электронных адресов посетителей для последующей отправки рассылок. На это она должна получить согласие субъекта, предупредив его о том, что целью сбора является рассылка информационных сообщений и ничего более. Обычно цели обработки персональных данных прописываются в специальном документе — Политике обработки персональных данных.
Во-вторых, содержание и объем обрабатываемых данных должны соответствовать заявленным целям. Компании должны понимать, данные каких категорий субъектов они используют и с какой целью.
Например, если кадровое агентство имеет дело с соискателями и заказчиками, то целей сбора их данных может быть несколько: связь с пользователями, обработка заказов и платежей, улучшение качества обслуживания клиентов. Следовательно, агентство вправе запрашивать только те данные, которые соответствуют целям. Например, оно не имеет права узнавать у соискателя его политические и религиозные убеждения.
С 1 сентября 2022 года бизнесу будут предъявляться повышенные требования — им запретят требовать персональные данные в ситуациях, когда закон этого не предусматривает. Соответствующие изменения в ст. 14.8 КоАП вносит Федеральный закон от 28.05.2022 № 145-ФЗ.
Требования закона адресованы прежде всего магазинам. Они не имеют право вынуждать потребителей делиться данными без явной необходимости при покупке товаров и услуг. В противном случае они будут оштрафованы: должностные лица — от 5 000 до 10 000 руб., юрлица — от 30 000 до 50 000 руб.
Операторы не имеют права раскрывать данные третьим лицам и просто так делиться ими
Серьезные изменения в Закон о персональных данных внес Федеральный закон от 30.12.2020 № 519-ФЗ. Теперь на распространение данных оформляется отдельное согласие. А вот молчание или бездействие не могут рассматриваться как согласие.
Смотрите также: 5 базовых угроз корпоративной безопасностиТаким образом, если компания планирует распространять данные, ей недостаточно только получить согласие на их обработку. Придется дополнительно заручиться согласием на распространение.
Оператор должен обеспечить защиту персональных данных
Закон обязывает хранить данные в форме, позволяющей определить субъекта данных. Кроме того, данные должны храниться не дольше, чем этого требуют цели их обработки. Как только цель достигнута, данные уничтожаются или обезличиваются.
Хранение предполагает применение различных средств защиты информации. Они могут быть как простыми (в виде сургучных печатей, например), так и технологичными — антивирусы, средства криптографической защиты и др.
