Любая информация о человеке и событиях его жизни, которая позволяет выделить именно его из общей массы людей, составляет персональные данные.
Это может быть фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положения, образование, профессия, доходы. А также адрес места жительства, IP и даже сведения, получаемые при помощи cookies и другая информация. К персональной информации эти сведения относятся как по отдельности, так и в совокупности.
Организации и предприниматели, которые получают, записывают, систематизируют, накапливают, хранят, используют или совершают иные действия с персональными данными граждан, являются операторами персональных данных. Чаще с персональными данными работают в сферах рекламы, кредитования, медицины, телекоммуникаций, образования, гостиничного бизнеса. По общему правилу оператор должен уведомить Роскомнадзор до начала обработки персональных данных о намерении осуществлять обработку персональных сведений, а также принять организационные, технические и правовые меры для их защиты. Исключение описаны в ст. 22 Закона «О персональных данных», когда уведомление можно не подавать, например, если заключается договор с клиентом и данные не передаются третьим лицам.
Предпринимателям следует позаботиться о правильной защите персональных данных клиентов применительно к своей компании.
1. Разработать обязательные внутренние документы с правилами:
1) политика конфиденциальности. Этот документ определяет правила обработки персональных данных.
2) приказ о назначении ответственных лиц за обработку персональных данных.
3) должностные инструкции с описанием обязанностей ответственных лиц.
Составление иных документов зависит от цели и способа обрабатываемых данных. Это может быть приказ о допуске к персональным данным, соглашение о неразглашении персональных данных, различные журналы контроля. Если обработка персональных данных поручается сторонней компании, то с ней оформить письменное соглашение. Документы должны отражать специфику работы компании.
2. Организовать хранение носителей персональной информации:
- ограничить доступ в помещения, где хранятся персональные данные (запираемый шкаф, сейф);
- организовать доступ и разграничения допуска к серверу, хранящему информацию о персональных данных;
- обеспечить контроль за выполнением инструкций;
- разместить на общедоступное место внутренний локальный акт по обработке персональных данных.
3. Принять технические меры:
- обезопасить помещения, в которых находится информационная система, от неконтролируемого проникновения или неправомерного доступа;
- определить сотрудников, которым предоставляется доступ к данным;
- защитить информацию с помощью программных (технических) средств.
Лицам, нарушившим требования закона о персональных данных, прежде всего, грозит административная ответственность. Возможно привлечение к уголовной и гражданско-правовой ответственности.
Наказание за нарушение обязательных требований по защите персональных данных предусмотрено ст.13.11 Кодекса об административных правонарушениях РФ и включает 7 составов правонарушений:
1) обработка персональных данных без целевого назначения влечет: предупреждение или штраф в размере на граждан в размере от 1 000 – 3 000 рублей; на должностных лиц - от 5 000 – 10 000 рублей; на юридических лиц - от 30 000 – 50 000 рублей.
3) отсутствие политики персональных данных влечет предупреждение или штраф на граждан в размере от 700 – 1 500 рублей; на должностных лиц - от 3 000 – 6 000 рублей; на ИП - от 5 000 – 10 000 рублей; на юридических лиц - от 15 000 – 30 000 рублей.
4) непредоставление субъекту персональных данных информации об их обработке влечет предупреждение или штраф на граждан в размере от 1 000 – 2 000 рублей; на должностных лиц - от 4 000 – 6 000 рублей; на ИП - от 10 000 – 15 000 рублей; на юридических лиц - от 20 000 – 40 000 рублей.
5) невыполнение оператором законного требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении влечет предупреждение или штраф на граждан в размере от 1 000 – 2 000 рублей; на должностных лиц - от 4 000 - 10 000 рублей; на ИП - от 10 000 – 20 000 рублей; на юридических лиц - от 25 000 – 45 000 рублей.
6) необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных, что привело к неправомерному или случайному доступу к персональным данным и стало причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иные неправомерные действия влечет штраф на граждан в размере от 700 – 2 000 рублей; на должностных лиц - от 4 000 10 000 рублей; на ИП - от 10 000 – 20 000 рублей; на юридических лиц - от 25 000 – 50 000 рублей.
Законодательство о персональных данных стало строже. Оно обязывает субъектов предпринимательской деятельности знать обязательные требования, чтобы не быть привлеченным к административной ответственности. Во избежание привлечения к ответственности и дополнительных затрат следует отслеживать изменения законодательства по защите персональных данных и, в случае необходимости, обновлять внутреннюю документацию.
Для получения консультации Вы можете обращаться:
Консультационный пункт по защите прав потребителей филиала ФБУЗ «Центр гигиены и эпидемиологии в Тюменской области» в городе Ялуторовске, Заводоуковском городском округе, Упоровском, Юргинском районах, Ялуторовском районах
адрес: Тюменская область, г. Заводоуковск, ул. Заводская, д. 4
тел.: (34542) 9-03-26
e-mail: kp.zavodoukovsk@fguz-tyumen.ru
Защищать свои права легко, когда знаешь о них!