Как уберечь компанию от штрафов: защита персональных данных в современных реалиях
Арефьев
эксперт в области корпоративного и информационного права
В последнее время из-за активной цифровизации всё острее встаёт вопрос о персональных данных. Многих людей интересует: к кому попала их персональная информация, надежно ли она защищена, и не попадут ли данные в руки мошенникам?
Любая компания, получающая сведения о клиентах, контрагентах и принимающая на работу сотрудников, автоматически становится оператором персональных данных.
В мировой практике сложилось два основных подхода к определению персональных данных. Например, в Нидерландах и Швеции они отождествляются с любой информацией, имеющей отношение к конкретному лицу. А в Англии прослеживается детализация, установление определенных критериев отнесения информации к указанной категории.
В России характеристика персональным данным представлена в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон о персональных данных). Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
Что такое защита персональных данных, законодатель специально не определил. Суды отмечают, что защита персональных данных – это комплекс мер безопасности при сборе, хранении и использовании данных, обеспечение конфиденциальности.
Сбором данных и их обработкой сейчас занимаются все интернет-сервисы, дистанционно предлагающие нам целый спектр услуг: от получения высшего образования до приобретения прав на объекты недвижимости. Поэтому каждая компания сталкивается с тем, что в своей предпринимательской деятельности ей приходится обрабатывать большой объем персональных данных, а именно: персональные данные клиентов, партнеров, сотрудников, участников (акционеров) компании и прочее. Это может быть обработка персональных данных при оказании услуг физическим лицам, при приеме соискателя на вакантную должность, а также при созыве заседания Совета директоров или собрания участников (акционеров) общества.
Согласно отчету Роскомнадзора только за первое полугодие 2020 года было выявлено более 4 325 нарушений норм Закона о персональных данных, составлено административных протоколов – 19 435 шт., наложено административных штрафов на сумму – 99 624 580 рублей.
Указанные цифры по составлению протоколов за административное правонарушение и размер административных штрафов отражают жесткость мер, принимаемых в отношении бизнеса, а также являются свидетельством того, что регуляторные органы начинают "показывать зубы" и накладывают более высокие штрафы на нарушителей.
В случае несоблюдения условий обработки персональных данных (статья 6 Федерального закона "О персональных данных") к административной и уголовной ответственности могут привлечь за:
- Разглашение персональных данных, несанкционированную передачу третьим лицам;
- Распространение или иное использование персональных данных без согласия субъекта персональных данных;
- Неправильное хранение, утечку персональных данных;
- Отсутствие политики конфиденциальности;
- Непредоставление гражданину сведений по запросу и несвоевременное уничтожение информации;
- Необеспечение сохранности носителей;
- Иные нарушения правил обработки персональных данных.
Стоит обратить внимание, что с марта 2021 года вдвое выросли санкции (штрафы) за нарушения в области персональных данных, в том числе увеличены сроки исковой давности по привлечению к административной ответственности, в частности до 1 года.
Так, за невыполнение обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, компанию или должностное лицо могут привлечь к административной ответственности.
А максимальный штраф организация может получить:
- за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение — 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
- за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение — 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).
Если действия физического лица содержат признаки преступления, то его могут привлечь к уголовной ответственности по статье 137 Уголовного Кодекса Российской Федерации.
Не следует пренебрегать требованиями Закона о персональных данных, так как Роскомнадзор вправе принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением (пп. 4 п. 3 ст. 23 Закона о персональных данных). Для компании, чья предпринимательская деятельность связана с обработкой большого массива персональных данных (и не только большого), такая приостановка деятельности может повлечь многомиллионные убытки, потерю клиентов и даже уход с рынка. Например, если компания по дистрибуции авиационных услуг авиакомпаниям, такая как Sabre, Amadeus или Galileo, приостановит свою деятельность по обработке персональных данных для регистрации пассажиров на рейс хотя бы на 15 минут, то это может привести не только к претензиям от пассажиров и многомиллионным убыткам, но и к международному коллапсу авиасообщения.
Во избежание привлечения компаний к ответственности за нарушение обработки персональных данных, необходимо соблюдать следующие правила:
- Зарегистрироваться в качестве оператора персональных данных. Для этого компании нужно подать уведомление в Роскомнадзор, после чего он внесет организацию в реестр операторов персональных данных. (Есть исключения — они могут работать без уведомления)
- Перенести сайт и базы персональных данных на российские серверы и хостинги. По закону компании не могут пользоваться услугами зарубежных хостинг-провайдеров — информацию о пользователе разрешается собирать только на территории России.
- Запрашивать у граждан письменное согласие на обработку персональной информации. Чтобы законно обрабатывать данные, нужно сообщить пользователям, кто, как и с какой целью будет использовать информацию. Под каждой формой можно указать: "Отправляя форму, вы даёте согласие на обработку персональных данных".
- Опубликовать на интернет-ресурсе "Политику по обработке персональных данных". Этот документ должен содержать общие правила сбора, обработки и хранения информации о пользователях. Для того чтобы правильно его составить, можно использовать рекомендации Роскомнадзора.
- Предоставить гражданину сведения о том, что касается обработки его данных, и в случае если субъект данных потребует уничтожить их, продолжать обрабатывать их нельзя.
- Компания обязана обеспечить сохранность носителей, на которые записаны данные, и создать условия, исключающие несанкционированный доступ.
Современные реалии сделали вопрос об обработке персональных данных одним из важнейших для организации. Требования к бизнесу со стороны регуляторных органов ужесточились, эта тенденция может продолжиться в будущем, и нужно быть к этому готовыми: следить за изменениями в законодательстве, менять IT-инфраструктуру и бизнес-процессы, чтобы избежать штрафов.