24 июля 2017

Памятка бухгалтеру: новые штрафы за ошибки при работе с персональными данными

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» действует уже 10 лет (начало действия первой его редакции – 26.01.2007). Казалось бы, уже можно все процессы обработки персональных данных отладить и жить в правовом поле, но этого во многих компаниях не произошло. По разным причинам некоторые организации не только не отладили процессы обработки персональных данных, но и стали обрабатывать персональные данные граждан без их согласия, а иногда и без их ведома. Законодатель, проведя соответствующий анализ и выявив системные (если не сказать «злостные») нарушения, пришел в данной ситуации выходу – повысить ответственность. Повысили ответственность и физических, и должностных, и юридических лиц (статья 13.11 Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ – далее по тексту КоАП).

Итак, на что же государство обращает наше внимание? Определимся (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных») с терминами: «персональные данные», «оператор» и «обработка персональных данных»:

ПЕРСОНАЛЬНЫЕ ДАННЫЕ (далее по тексту – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Правовое понятие ИНФОРМАЦИЯ как сведения (сообщения, данные) независимо от формы их представления определено пунктом 1 статьи 2 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Данные формулировки позволяют отнести к ПДн все сведения о человеке, в том числе фамилию имя отчество (вместе или по отдельности), фотографию, дату рождения, адрес, телефон, email, ссылку на любой интернет-ресурс с такими сведениями и прочее, прочее, прочее…, что, кстати сказать, было уже однажды использовано в сказке, в которой по одной туфельке была определена одна значимая для принца особа.

ОПЕРАТОР – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Иными словами с точки зрения законодателя: юридическое лицо усилиями должностных лиц как оператор обрабатывает информацию – персональные данные всех физических лиц, с кем данная организация взаимодействует. Взаимодействует как с представителями юридических лиц, так и собственно физическими лицами, используя различные коммуникативные устройства, в том числе устные, письменные, технические, сетевые и проч., а значит, надлежащая организация обработки информации – персональных данных как автоматизированным, так и не автоматизированным способом должна быть обеспечена самим оператором.

Определим перечень персональных данных, обрабатываемых юридическим лицом, в зависимости от основных поводов их получения:

- ПДн граждан, обратившихся в организацию как физические лица;

- ПДн граждан, являющихся работниками организации;

- ПДн граждан, чьи персональные данные обрабатываются организацией в связи с ее взаимоотношениями с другими лицами;

- ПДн граждан, являющихся работниками организаций-контрагентов или контрагентами.

Кому чаще всего и в бОльшем объеме доступна эта информация в организации? Ответ напрашивается сам собой – бухгалтеру организации. Секретарь организации видит только часть сведений, какую-то часть сведений обрабатывает специалист отдела кадров, иные части информации обрабатывают другие работники компании, и никто из перечисленных работников организации не обрабатывает информацию такого объема и перечня как это делает бухгалтер компании. Правовое понимание информации и технологий обработки является первоопределяющим соблюдения бухгалтером законодательства о персональных данных. К сожалению, во многих организациях у бухгалтеров есть необоснованная уверенность в правомочности своих действий… Рассмотрим распространенные иллюзии в обработке вышеназванных персональных данных, чаще всего приводящие к нарушению законодательства.

Иллюзия согласия на обработку ПДн:

Обращение гражданина в организацию с целью получения им работы, услуги, товара или с жалобой, претензией и пр. может создать иллюзию о его согласии на обработку компанией его персональных данных, НО законодатель так не считает. Согласие гражданина – это отдельное по сути обращения волеизъявление, в котором отражен не только перечень ПДн, но и цели обработки, сроки обработки и проч. Лицо, желающее получить услугу, товар; лицо, написавшее в организацию жалобу или обращение; лицо, ищущее работу (т.е. гражданин ЕЩЕ не состоящий в трудовых отношениях, к которому еще не применяется ТК РФ) в организацию (юридическое лицо) может обратиться как устно, так и письменно (с применением различных коммуникационных устройств, в том числе телефона, факса, интернета). И согласие на предоставление гражданином защищаемых государством сведений должно быть получено компанией ДО их предоставления. Обработка персональных данных без согласия субъекта ПДн подпадает не только под пп. 1-4 статьи 13.11 КоАП (сводные данные санкций, установленные данной статьей приведены в табл. 1), но под другие законодательные ограничения, в том числе и ст. 137 Уголовного кодекса Российской Федерации от 13.06.1996 N 63-ФЗ.

Иллюзия правомочности обработки ПДн:

Взаимодействие работодателя и гражданина как действующего работника и наличие трудового договора, в котором содержится согласие гражданина на обработку его ПДн, наличие нормативных локальных актов о персональных данных и технологиях их обработки, а также процедурах архивного хранения, позволяет во многих случаях считать обязанности работодателя по обработке ПДн выполненными. НО на работодателя Трудовым кодексом Российской Федерации от 30.12.2001 N 197-ФЗ накладываются значительные ограничения. Работодатель как сторона трудового договора вправе получать и использовать сведения только от самого работника (статья 86 Трудового кодекса Российской Федерации от 30.12.2001 N 197-ФЗ) и только те сведения, которые характеризуют гражданина как работника, в том числе значительно ограничена при использовании работодателем следующая информация:

- копии личных документов работника (дело N А53-13327/2013, в рамках рассмотрения которого ФАС СКО в Постановлении от 21.04.2014 счел, что хранение работодателем копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка превышает объем обрабатываемых персональных данных работника, является обработкой избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона N 152-ФЗ.);

- изображение человека (фотография и видеозапись), позволяющее установить личность (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);

- пол, возраст, факты биографии и сведения о предыдущей трудовой деятельности (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.) – как сведения о возможной дискриминации гражданина по их признаку;

- семейное положение, наличие детей, родственные связи – как не подпадающую под регулирование ТК РФ;

- сведения о состоянии здоровья – как врачебная тайна (ст. 13 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»).

А это значит, что помимо сведений, защищаемых Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и главой 14 Трудового кодекса Российской Федерации» от 30.12.2001 N 197-ФЗ, организации – работодателю следует надлежащим образом обеспечить согласие гражданина на обработку этих сведений и конфиденциальность защищаемой государством информации (в настоящее время законодательно защищается более 60 наименований информации), исполняя принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации (Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Иллюзия санкционированной обработки ПДн:

В связи с трудовыми отношениями в организации обрабатываются персональные данные не только работников, но и иных граждан (не работников), чьи ПДн попадают в организацию в связи с исполнением сторонами трудового договора: например, в личную карточку Т-2 (Постановление Госкомстата РФ от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»), вносятся сведения о супруге работника, его детях, иных членах семьи, и в большинстве случаев делается это без согласия субъекта персональных данных. Интересы несовершеннолетних детей и иных недееспособных граждан представляют их законные представители, а, значит, прежде чем приступать к обработке этих ПДн, следует заручиться согласием на обработку законных представителей. Нарушение компанией требований по защите таких ПДн может повлечь нарушение тайны личной и семейной жизни гражданина, гарантированной ст. 23 Конституции Российской Федерации, что соответственно уже подпадает под действие «Гражданского кодекса Российской Федерации (части первой)» от 30.11.1994 N 51-ФЗ с соответствующими уголовными последствиями в виде штрафа; обязательных, исправительных, принудительных работ; лишения права занимать определенные должности или заниматься определенной деятельностью; арестом либо лишением свободы (ст. 137, Уголовного кодекса Российской Федерации» от 13.06.1996 N 63-ФЗ). Те же меры будут применены к организации, обрабатывающей персональные данные лиц, полученные ею без их согласия, но в рамках выполнения компанией любых договоров (договор между двумя юридическими лицами на поставку товаров, обучение, проведение медицинских осмотров, транспортировку и пр. пр. пр., а также договоры с одним лицом на оказание услуги, реализации продукции и др. в пользу третьего лица). Персональные данные лиц, полученных в ходе преддоговорных, договорных и постдоговорных отношений контрагентов следует обрабатывать «с оглядкой» на выше приведенные ограничения законодательства и обрабатывать ровно столько сведений и столько времени, сколько необходимо для реализации соответствующих договорных обязательств.

Подводя итоги сказанного, можно утверждать, что в настоящее время правовое применение понятия «ИНФОРМАЦИЯ» (информация – сведения (сообщения, данные) независимо от формы их представления – ст. 2, Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации») обязывает каждого оператора персональных данных пересмотреть свои технологии работы с информацией; произвести однократное полное системное документирование компанией перемещения каждого вида информации в каждой информационной системе в каждом временном периоде, а иначе визиты «регуляторов» персональных данных:

Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомандзор) России;

Федеральной службы по техническому и экспортному контролю (ФСТЭК) России;

Федеральной службы безопасности (ФСБ) России;

и др., со своими полномочиями и особенностями правого обеспечения соблюдения законодательства будут обеспечены.

Мы подготовили для вас подборку из системы Консультант Плюс, которую Вы можете получить бесплатно.


Получить подборку Заполните форму
и подборка будет выслана на указанный email.

Бесплатно
Подборка предоставляется бесплатно, и не требует никаких дополнительных оплат

Просто
Подборка после установки работает на любом компьютере

Лучше не найти
В подборке полная информация по теме в удобном интерфейсе

Мне полезно 14

Подпишитесь на рассылку

Мы ежедневно анализируем законодательство и отбираем документы, необходимые в работе бухгалтеров, юристов, кадровиков и руководителей. Выберете те рассылки, которые будут полезны вам.
Подписаться

Офис

+7(812) 703-3834

Горячая линия

(812) 644-5535

Давайте дружить!