Доброе утро! Подскажите пожалуйста маршрутную карту для корректного оформления на предприятии всех требований текущего законодательства по защите персональных данных.
- положение о персональных данных;
- приказ назначающий ответственное лицо за это. И возникает вопрос, персональные данные могут быть разными, например, персональные данные сотрудников или данные покупателей(розничных или ИП), в этих случаях лица разные за это ответственные. Могут ли быть разные люди, отвечающие за это в приказе, согласно положению, которое четко регламентирует данное разделение. Кадровик и менеджер продаж? И может ли генеральный директор в целом отвечать за всё?
- подскажите штрафы для физических лиц (для юр лиц знаю). И как доказывается, что именно лицо назначенное приказом допустило данное нарушение, а не ошибка IT службы к примеру.
И насколько вообще это обязательно к исполнению для малого или среднего бизнеса.
С Уважением
Артамонова Ю.А.
Здравствуйте!
Требования законодательства о пересданных распространяются на всех, в т.ч. и на организации малого и среднего бизнеса, поэтому да, их надо выполнять.
- Что касается положения о персональных данных. В Законе о персданных (152-ФЗ) в статье 18.1 есть требование к организации утвердить документ, «определяющий политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются……».
То есть Вам нужно утвердить документ, где как раз и будут прописаны все персоналии, чьи данные Вы обрабатываете. И для каждой категории будет отдельный список персданных.
Это, наверное, один из самых сложных этапов: нужно никого не забыть при определении этих категорий. Вы в вопросе пишите про данные сотрудников и данные покупателей. А данных бывших сотрудников у вас нет? А соискателей на вакантные должности? А данные контрагентов: например, лиц, которые вам услуги какие-то оказывают? Может, еще данные членов коллегиальных органов управления и т.д?
Нужно вспомнить всех. И в этом документе описать перечень персданных, которые обрабатываются по каждой из категорий: например у работников будет, условно, 20 номинаций персданных, а у покупателей всего 5.
Назвать этот локальный документ можно как угодно. Например, Политика обработки персданных или Положение о персданных (просто в больших организациях Положение по сути является документом в рамках ТК РФ, и там описываются правила обработки персданных работников, а Политика – это общий документ о персданных любых лиц). В малом бизнесе на практике не всегда делят на два документа, можно прописать всё в одном. Внимательно прочитайте статью 18.1 закона о персданных. Всё то, что там указано (способы, сроки обработки и хранения, порядок уничтожения и т.д. – всё это нужно прописать в документе).
-
Лицо, назначенное ответственным за организацию обработки персональных данных, отвечает за весь объем работы, непосредственно связанный с обработкой, обеспечением безопасности и защиты персональных данных в конкретной организации. В локальном акте организации может быть определен целый перечень работников, которые так или иначе взаимодействуют с различными персданными (кто какие данные обрабатывает это обязательно нужно прописать и в должностных инструкциях с этими работниками). Но один ответственный отвечает за всю работу. Поэтому в законе есть только формулировка «ответственного за организацию обработки персональных данных». То есть одного человека. Но требований к этому лицу законодатель не выдвигает, поэтому им может быть любой работник в организации, а также руководитель имеет право и самого себя назначить ответственным.
-
По поводу штрафов. Вопросы, связанные с обработкой персданных проверяет Роскомнадзор, а что качается работников – ещё и инспекция труда. У этих органов есть четкий перечень чек-листов, по которым они проверяют деятельность организации. Плюс есть внутренние документы, регламентирующие, в каких случаях штрафы выносятся на юрлицо, в каких – на должностное. Для вынесения штрафа на должностное лицо проверяющий будет в целом оценивать и должностную инструкцию этого человека и весь состав административного правонарушения. Плюс оценивают объем полномочий этого физлица. Например, постановление Пленума Верховного Суда РФ от 16 октября 2009 г. N 19 “О судебной практике по делам о злоупотреблении должностными полномочиями и о превышении должностных полномочий”. Там указано, что должностное лицо должно обладать организационно-распорядительными или административно-хозяйственными функциями. Если должностное лицо ими не обладает (условно, секретарь руководителя не имеет никаких полномочий контролировать работу IT-службы), то маловероятно привлечение к ответственности этого должностного лица (а вот зам руководителя, например, имеет полномочия контролировать эту службу).
На самом деле, наведение порядка в работе с персданными – это огромный пласт работы внутри организации. Отлично, что Вы за это взялись, но документов надо сделать много.
Уточните, пожалуйста, понятие пересданные? Это что за зверь?)
С Уважением
Артамонова Ю.А.
И прошу уточнить размер штрафа за отсутствие вышеперечисленных документов. И должны ли мы, как организация, уведомлять гос органы об этом.
Закрытого списка персональных данных (персданных) нет. «Традиционно» к ним относятся: фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение; паспортные данные; адреса; контактные данные; ИНН, СНИЛС, номер медполиса; сведения об образовании, семье, воинском учёте; информация о трудовой деятельности, в том числе место работы, наличие поощрений, взысканий; любая иная социальная информация, например: участие в партиях и профсоюзах, вероисповедание, спортивные разряды, сведения о здоровье, имуществе, вкладах и ценных бумагах, реквизиты расчетного счета, номер банковской карты, данные о судимостях и кредитах и т.д.
Вы должны были уведомить Роскомнадзор о том, что являетесь оператором, обрабатывающим персональные данные. На сайте Роскомнадзора есть портал, посвященный персональным данным. Там есть форма уведомления. Его нужно было заполнить. Иные документы, которые Вы разрабатываете, могут понадобиться в ходе проверки (выездной или документарной, если у вас такая когда-нибудь будет). Штрафы посмотрите в статье Статья 13.11 КоАП. Она очень большая и подробная. Начинается всё с предупреждения (его вполне могут вынести при первой проверке). А общие штрафы идут на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей. Но там очень много отдельных нюансов (например, отдельная ответственность, если нет согласия субъекта, если нарушение повторное, если не опубликовали свою политику и т.д.). То есть в одной статье много разных случаев привлечения к ответственности за нарушение законодательства о персданных. И проверяющий может наложить штрафы за каждое нарушение.
1 лайк
Спасибо!
С Уважением
Артамонова Ю.А.