Обработка персональных данных. 152-ФЗ «О персональных данных»

В соответствии с Федеральным законом «О персональных данных» №152-ФЗ организация вне зависимости от организационно-правовой формы, так или иначе, обрабатывает персональные данные своих сотрудников, контрагентов и т.д. Поэтому, согласно ФЗ «О персональных данных», ее можно назвать оператором персональных данных. Исключение составляют лишь филиалы и представительства иностранных неправительственных организаций, не являющиеся юридическими лицами и, соответственно, не подпадающие под действие данного закона.

Согласно ст. 3 Федерального закона № 152-ФЗ персональными данными признается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая:

  • сбор;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • использование;
  • распространение (в том числе передачу);
  • обезличивание;
  • блокирование;
  • уничтожение персональных данных.

Юридическое лицо, которое организует или осуществляет обработку персональных данных, является оператором.

Что необходимо знать?

            1 июля 2017 года в силу вступают поправки, внесенные в статью 13.11 Кодекса об административных правонарушениях. Они устанавливают наказания за нарушение порядка сбора, хранения, использования или распространения персональных данных граждан. Принципиальным образом эти изменения ничего в работе НКО не меняют. Риски у общественных организаций связаны исключительно с возросшими размерами штрафов. При этом единичным штрафом, дело не ограничивается, так как каждое нарушение рассматривается отдельно.

 

Что нужно делать, чтобы соблюсти требования закона?

Очевидно, чтобы не получить штраф, нужно соблюдать требования ФЗ «О персональных данных» и принятых в соответствии с ним подзаконных актов. Обязанности операторов включают в себя принятие организационных и технических мер по защите персональных данных. В НКО должно быть ответственное лицо, которое занимается разработкой локальных актов организации, в том числе документа, определяющего политику оператора в сфере обработки персональных данных, допуск работников к обработке персональных данных, получение согласий субъектов.

Во-вторых, нужно применять средства защиты информации. Так как, документы, в том числе содержащие персональные данные, создаются в электронном виде, да еще и при подключении к сети Интернет, возникает необходимость технической защиты персональных данных от несанкционированного доступа к ним.

Ответственность за нарушение законодательства о персональных данных

Роскомнадзор периодически производит проверки как среди компаний, внесенных в Реестр операторов персональных данных, так и среди компаний, которых нет в этом реестре, но они с точки зрения Роскомнадзора потенциально могут заниматься обработкой данных граждан. Со списком запланированных проверок можно ознакомится на сайте органа. Кроме того, проверки могут назначаться после поступившей жалобы, чем, к сожалению, периодически пользуются обиженные бывшие работники или недобросовестные конкуренты.

Однако существуют общие требования, предъявляемые к любой обработке персональных данных и к любым операторам. К таким требованиям относятся, в частности, соблюдение принципов обработки персональных данных и необходимость получать согласие субъекта персональных данных на обработку персональных данных.

Нормативно-правовые акты

  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
  • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • ГК РФ, IV часть;
  • ТК РФ, глава 14 Защита персональных данных работника;
  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».