5 ошибок при работе с персональными данными, за которые грозят жесткие штрафы

• Как работать с персональными данными, чтобы избежать штрафов
  
• Зачем размещать на сайте политику конфиденциальности
  
• В каких документах с работником должна стоять отметка о согласии на обработку персональных данных
  
• Почему опасно игнорировать отказ клиента от получения рекламных сообщений

Ваша компания ведет работу с персональными данными: нанимает сотрудников, собирает информацию о клиентах, а на сайте есть форма обратной связи? Тогда у Вас проблемы. Для государства такая компания – оператор персональных данных, который несет ответственность за обеспечение законности их обработки. Пока что за нарушения грозит штраф до 10 тыс. руб., однако с 1 июля 2017 года он увеличивается в СЕМЬ раз. Другой повод для беспокойства: в статью 13.11 КоАП РФ введут новые основания для штрафа (Федеральный закон от 07.02.2017 №13-ФЗ). Например, невыполнение требований по обезличиванию, уничтожению персональных данных, игнорирование запроса субъекта, отсутствие политики конфиденциальности. Рассмотрим пять основных ошибок при работе с персональными данными, за которые грозят штрафы.

Ошибка №1. Работа с персональными данными через форму обратной связи без политики конфиденциальности

Специалисты Роскомнадзора обнаружили, что компания «ТГЮК» разместила на сайте форму обратной связи. При этом документ о политике конфиденциальности в отношении обработки персональных данных на сайте отсутствовал. Компанию оштрафовали на 1 тыс. руб. (ст. 13.11 КоАП РФ), и она обратилась в суд. По ее мнению, идентифицировать человека невозможно, поскольку форма содержала всего три элемента: имя, тема и текст сообщения. Причем графа «имя» для заполнения необязательна. Однако эти доводы суд не убедили, и штраф отменить не удалось (постановление Тамбовского областного суда от 04.10.2016 по делу №4А-288).

Как избежать штрафа. Размещение формы обратной связи на сайте расценивается как работа с персональными данными - сбор информации о гражданах. Значит, компания должна выполнить обязанности оператора персональных данных. А именно: уведомить Роскомнадзор о намерении собирать и обрабатывать персональные данные, получить согласие субъекта, разработать политику конфиденциальности и обеспечить неограниченный доступ к ней.

С 1 июля 2017 года отсутствие такой политики обойдется компании в 30 тыс. руб. При разработке формы обратной связи реализуйте функцию получения согласия на обработку персональных данных: поставить соответствующую отметку до отправки анкеты.



Ошибка №2. Передача личных сведений посторонним лицам

Гражданин задолжал банку по кредиту. Банк заключил агентский договор с коллекторской фирмой «Морган энд Стаут». По условиям договора банк передал персональные данные заемщика, и коллекторы начали звонить ему и его родным, требуя погасить долг. Однако согласие на обработку и передачу персональных данных третьим лицам должник не давал. Он потребовал прекратить незаконные действия и уничтожить личные сведения, но ничего не добился. Тогда гражданин обратился в суд и потребовал компенсировать моральный ущерб. Он заявил, что требования погасить долг поступали в грубой форме и ему пришлось переживать за жизнь и здоровье близких. Суд обязал коллекторов уничтожить персональные данные должника, признал действия банка незаконными и взыскал с обеих организаций компенсацию морального вреда (определение Ярославского областного суда от 05.03.2012 по делу №33-939/2012).

Как избежать штрафа. Передавать персональные данные можно только с согласия субъекта. Исключение: если компания продает долг по договору переуступки. В этом случае уже новый кредитор обязан уведомить владельца персональных данных о получении личной информации.

Ошибка №3. Обработка персональных данных работников без согласия

Во время внеплановой проверки компании контролеры Роскомнадзора обнаружили, что в листе кандидата на должность нет поля для отметки о согласии на обработку персональных данных. Генеральному Директору вынесли предупреждение, которое он решил обжаловать в суде. Руководитель пояснил, что на предприятии создана комиссия, ответственная за работу с персональными данными работников. Необходимые меры по соблюдению порядка сбора, хранения и использования персональных данных соблюдаются. Личные карточки работников заполняются в их присутствии. Кроме того, трудовой договор содержит положение о согласии работника на обработку персональных данных. Однако суд решил, что эти доводы не могут быть основанием для отмены административного наказания (постановление Самарского областного суда от 22.08.2016 №4а-907/2016).

Как избежать штрафа. В каждой типовой форме документов, которая предполагает включение персональных данных, должно быть поле для согласия на обработку. Поручите провести аудит кадровых документов и убедитесь, что они содержат соответствующую отметку.

Ошибка №4. Игнорирование отказа клиента от получения рекламных сообщений

Клиент Сбербанка отозвал свое согласие на обработку персональных данных через «Почту России». Однако примерно через месяц получил на телефон сообщение рекламного характера с предложением кредита. Клиент подал иск о незаконной работе с персональными данными. В суде банк упирал на то, что в сообщении содержалась не реклама, а индивидуальное предложение. Кроме того, в тексте не указывалась информация о клиенте, на основании которой можно идентифицировать конкретное лицо. Значит, персональные данные не использовались. Однако суд согласился с доводами клиента – банк знал его телефонный номер, фамилию, имя и отчество – и обязал ответчика выплатить 100 тыс. руб. в качестве компенсации морального вреда (определение Новосибирского областного суда от 02.04.2015 по делу №33-2662/2015).

Как избежать штрафа. Не игнорируйте обращения физических лиц – субъектов персональных данных: с 1 июля 2017 года за это нарушение оштрафуют на сумму до 40 тыс. руб.

Помимо отзыва согласия на обработку гражданин вправе получить информацию о лицах, имеющих доступ к его персональным данным, о целях, способах и сроках обработки, о том, какие именно сведения о нем хранятся. Определите сотрудника, который предоставляет информацию по запросам клиентов. Его контакты должны находиться в открытом доступе.

Ошибка №5. Работа с персональными данными без локализации

В ходе мониторинга нарушений в интернете специалисты Роскомнадзора выявили, что популярная деловая соцсеть LinkedIn не обеспечивает запись, систематизацию, накопление, хранение и извлечение персональных данных граждан России. Контролеры направили требование об устранении нарушений, однако компания его не исполнила. Она сослалась на то, что обработка и хранение данных производится за рубежом. Но суд отметил, что у сайта есть русскоязычная версия, он собирает личные данные граждан России, значит, обязан соблюдать требования российского законодательства. В результате деятельность интернет-ресурса признали незаконной, доступ к нему ограничили, а компанию внесли в реестр нарушителей прав субъектов персональных данных (определение Московского городского суда от 10.11.2016 по делу №33-38783/2016).

Как избежать штрафа. Оператор при сборе информации обязан обеспечить локализацию персональных данных граждан. Соответствующий закон вступил в силу еще 1 сентября 2015 года. Проведите инвентаризацию информационных систем/баз данных, определите их местонахождение и составьте список. Обязательное требование о локализации персональных данных распространяется на первичный сбор информации. Обработка и хранение данных может производиться за рубежом.