Обработка персональных данных: что необходимо знать генеральному директору

Чтобы избежать крупных штрафов за нарушения при обработке персональных данных в РФ (ПДн), нужно правильно организовать работу с ними. Незнание закона не освобождает от ответственности, а допущенные ошибки могут стоить дорого. Как генеральному директору избежать рисков и правильно выстроить все процессы — разбираемся в этом материале.

Какие данные считаются персональными

Согласно ст. 3 ФЗ от 27.07.2006 № 152-ФЗ, к персональным данным относится любая информация, по которой можно определить конкретного человека — субъекта ПДн. За обработку данных отвечает оператор — компания, которая получила их от клиента, сотрудника, соискателя или другого физлица.

Какие данные считаются персональными:

1. Основные идентификационные данные: ФИО, дата и место рождения, паспортные данные, ИНН, СНИЛС, адрес регистрации или проживания.
2. Биометрические ПДн: фотографии, видеозаписи, отпечатки пальцев, ДНК, радужная оболочка глаза и другие физиологические параметры.
3. Персональные данные в цифровой среде: IP-адрес, cookie-файлы, логины, пароли, электронная почта (если она привязана к конкретному человеку), геолокация.
4. Специальные категории ПДн: раса, политические или религиозные взгляды, национальность, сведения о состоянии здоровья или судимости.
5. Иные ПДн, позволяющие идентифицировать человека в совокупности с другими сведениями: данные банковских счетов и карт, номер телефона, место работы или учебы, профессия, семейное положение.

Теперь о том, что значит обработка персональных данных. Это любое действие или совокупность действий, совершаемых с персональными данными с использованием средств автоматизации или без таковых, включая их сбор, запись, систематизацию, хранение, изменение, использование, передачу, обезличивание, блокирование, уничтожение и т.д. .

Пример:

Человек обратился в банк, чтобы получить кредит. Он предоставил свои ПДн, но для принятия окончательного решения по заявке нужно согласие на обработку данных.

Сведения вносятся в защищенную базу для проверки платежеспособности и формирования кредитного досье, затем используются для расчета условий кредита и подготовки договора. Часть информации передается в БКИ для формирования кредитного рейтинга. После полного погашения кредита данные клиента либо сохраняются в архиве в соответствии со сроком хранения, установленным законодательством, либо обезличиваются для статистической отчетности.

Кто может быть ответственным за работу с ПДн

Как правило, ответственным назначают HR-специалиста, бухгалтера, штатного юриста или руководителя отдела информационной безопасности. Однако ответственным за обработку персональных данных может быть и генеральный директор. Например, если в организации он единственный сотрудник.

Для назначения себя ответственным директор должен издать соответствующий приказ и закрепить полномочия в должностной инструкции.

Какие обязанности обычно в ней указываются:

1. Принимать организационные, правовые и технические меры защиты ПДн.
2. Доводить до сотрудников, допущенных к работе с ПДн, основные правила и изменения в законодательстве.
3. Организовывать прием и обработку запросов субъектов ПДн, контролировать исполнение таких обращений.
4. Разрабатывать и утверждать документы, необходимые для соблюдения ФЗ №152-ФЗ.
5. Контролировать соблюдение оператором и его сотрудниками ФЗ №152-ФЗ.
6. Прекращать работу с ПДн или блокировать их при наличии оснований.
7. Принимать меры по восстановлению прав субъектов ПДн при нарушении требований к защите.
8. Уведомлять субъектов данных об устранении допущенных нарушений.
9. Оценивать вред и последствия, которые могут быть при утечке данных.
10. Руководить подчиненными или организовать деятельность подразделений организации в области работы с ПДн.

Инструкция оформляется в двух экземплярах: один остается в компании, второй — у ответственного.

Правила работы с ПДн

После подписания приказа и должностной инструкции генеральный директор должен разработать и утвердить политику оператора в отношении обработки персональных данных. Это может сделать и другой уполномоченный сотрудник, но подпись руководителя на документе обязательна. В Политике необходимо указать правила обработки, хранения и использования ПДн; перечень документов, в которых они содержатся; список работников, имеющих доступ к данным, а также иные сведения. Можно ориентироваться на рекомендации Роскомнадзора.

Что еще необходимо сделать:

1. Защитить ПДн. Меры защиты зависят от способа обработки: автоматизированная, неавтоматизированная, смешанная. Ограничьте доступ сотрудников к электронным базам и документам, содержащим ПДн. Учтите требования к системе обработки персональных данных (Постановление Правительства РФ от 01.11.2012 №1119).
2. Получите необходимые согласия: например, на обработку ПДн — от соискателей и клиентов, на передачу третьему лицу (если актуально) — от действующих сотрудников.
3. Подайте уведомление о намерении осуществлять обработку персональных данных. Это можно сделать онлайн на официальном сайте Роскомнадзора.
4. Следите за сроком обработки ПДн — до достижения целей, для которых они взяты у физлица.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Ответственность генерального директора

С 30 мая 2025 года штраф Роскомнадзора за неуведомление об обработке персональных данных повышается до 300 000 рублей. В отдельных случаях штраф может достигать 15-18 млн рублей, при массовой утечке биометрических данных — до 500 млн рублей.

К генеральному директору может быть применено дисциплинарное взыскание, вплоть до увольнения (ст. 195 ТК РФ). Также возможна административная ответственность по ст. 13.11 КоАП РФ — они отвечают за нарушения как должностные лица (ст. 2.4 КоАП РФ). Например, за обработку ПДн без согласия оштрафуют на сумму до 300 000 рублей, за необеспечение беспрепятственного доступа к Политике — до 12 000 рублей.

Что в итоге

Обработка персональных данных — зона повышенной ответственности для генерального директора. Пренебрежение требованиями ФЗ №152-ФЗ грозит не только серьезными штрафами, но и потерей доверия клиентов. Внедрите четкие регламенты работы с ПДн уже сегодня — это защитит ваш бизнес от финансовых и репутационных рисков завтра.