Персональные данные — требования Роскомнадзора к операторам
Содержание статьи
В случае сбора, использования и хранения персональных данных, оператору необходимо соблюдать законодательство в области обработки персональных данных. На Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) возложены обязанности по надзору за исполнением требований по обработке персональных данных юридическими и физическими лицами.
Основным документом, регулирующим обработку персональных данных, является Федеральный закон от 27.06.2006 № 152 «О персональных данных». Он устанавливает: определение персональных данных и их категорий, принципы законности обработки, требования к безопасности данных. С каждым годом в закон вносятся поправки, ужесточающие ответственность за нарушения.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.06.2006 № 152 «О персональных данных»).
Самыми распространенными персональным данным являются:
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- место рождения;
- пол;
- адрес электронной почты;
- адрес места жительства;
- адрес регистрации;
- номер телефона;
- данные документа, удостоверяющего личность и иное.
Необходимо разобрать, кто такой оператор. Согласно ст. 3 Федерального закона от 27.06.2006 № 152 «О персональных данных» под оператором понимается «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»
Сделаем заключение на соблюдение требований Роскомнадзора
Запишитесь на бесплатный аудит
Заполните форму и мы свяжемся с вами
Основные требования к операторам
1. Уведомление Роскомнадзора
Оператор обязан направить Уведомление о начале обработки персональных данных в Роскомнадзор, за исключением случаев предусмотренных ст. 22 Федерального закона от 27.06.2006 № 152 «О персональных данных».
Форму Уведомления можно заполнить на сайте Роскомнадзора, ее необходимо направить в подписанном виде до начала обработки персональных данных.
В случае внесения изменений, оператору необходимо в течение 10 рабочих дней сформировать на сайте Роскомнадзора и отправить Уведомление о внесении изменений.
2. Получить согласие субъектов
Согласие на обработку персональных данных должно быть:
- информированным и конкретным;
- оформлено на бумажном носителе или в электронной форме (с электронно-цифровой подписью);
- в тексте должны содержаться данные оператора, данные субъекта, цели обработки, перечень обрабатываемых данных, срок.
В случае распространения персональных данных, берется отдельное согласие.
3. Обеспечение безопасности данных
Операторы обязаны применять технические и организационные меры защиты, соответствующие угрозам. Это включает:
- использование шифровальных средств;
- регулярное проведение внутреннего контроля и (или) аудит систем защиты;
- соблюдение требований о месте обработки и хранения персональных данных;
- ограничение доступа к данным;
- обучение сотрудников правилам работы с ПДн.
4. Назначение ответственного лица
Оператор должен назначить ответственного лица, контролирующего обработку персональных данных. Его данные указываются в Уведомлении в Роскомнадзор.
5. Соблюдение прав субъектов персональных данных
Оператор обязан обеспечить субъектам персональных данных возможность:
- получать информацию о том, какие данные обрабатываются и для каких целей;
- требовать уточнения, блокировки или удаления данных;
- отозвать согласие на обработку персональных данных;
- обжаловать действия оператора.
6. Учёт и документирование
Оператор должен:
- Вести журналы, касающиеся обработки персональных данных;
- хранить согласия субъектов на обработку данных;
- обеспечивать составление акта о выявлении нарушений в сфере защиты персональных данных, включая и расследование инцидента.
7. Трансграничная передача
Передача персональных данных возможно только при соблюдении ряда условий:
- получено согласие;
- страна обеспечивает адекватную защиту прав субъектов персональных данных;
- передача соответствует целям обработки, указанным в уведомлении Роскомнадзора.
8. Ответственность за нарушение требований в области обработки персональных данных
Административная ответственность
Согласно ст. 13.11 КоАП РФ, размер штрафов составляет:
- для физических лиц: от 10 000 до 50 000 рублей;
- для должностных лиц: от 50 000 до 200 000 рублей;
- для юридических лиц: от 500 000 до 10 000 000 рублей.
Также обработке персональных данных без согласия субъекта влечет наложения штрафа для юридических лиц до 5 000 000 рублей.
Непредоставление информации по запросу Роскомнадзора штраф для юридических лиц составляет до 300 000 рублей.
Уголовная ответственность
Незаконный сбор или распространение персональных данных (ст. 137 УК РФ)
- штраф до 500 000 рублей;
- лишение свободы до 4-х лет.
Неправомерный доступ к персональным данным (ст. 272 УК РФ)
- штраф до 1 000 000 рублей;
- лишение свободы до 6-ти лет.
Нарушение правил эксплуатации средств хранения персональных данных (ст. 274 УК РФ)
- штраф до 1 500 000 рублей;
- лишение свободы до 5-ти лет.
Гражданско-правовая ответственность
Субъекты персональных данных вправе требовать компенсацию морального вреда и убытков, вызванных нарушением их прав.
- Моральный вред: до 500 000 рублей.
- Убытки: полное возмещение доказанного ущерба.
Таким образом, соблюдение требований Роскомнадзора это прямая обязанность операторов. Основные правила включают получение согласия, определения мест обработки и хранения персональных данных, обеспечение безопасности и соблюдения прав субъектов. При регулярной внутренней проверке и обучении сотрудников можно избежать утечки данных, что поможет избежать штрафов.
Остались вопросы?
Наш менеджер вас проконсультирует
Наши ключевые услуги
Вам может быть интересно
