Как избежать ответственности при обработке персональных данных
В 2021 г. законодательство в области персональных данных (ПДН) претерпело существенные изменения. В частности, в 2 раза увеличена ответственность за нарушение законодательства в области ПДН, введены более суровые наказания за повторные нарушения, введены новые понятия и формулировки.
Поскольку законодательство о ПДН претерпело изменения, предполагается, что в ближайшее время, будет увеличено количество выездных проверок организаций, осуществляющих обработку ПДН.
Органом, осуществляющим проверку соблюдения организациями законодательства о ПДН, является «Роскомнадзор» (РКН).
Основанием для проведения РКН выездной проверки является:
- осуществление плановой проверки (истечение 3 лет с момента регистрации организации (ЮЛ, ИП) или с момента последней проверки);
- в случае выявления нарушения законодательства организацией (поступившая в РКН жалобы от субъекта ПДН, требование прокурора, поручения президента и др.).
Чтобы обезопасить свою организацию от ответственности (штрафов), которая может наступить в случае выявления нарушения законодательства в области ПДН, посредством проведения выездных проверок Роскомнадзором, рекомендуем провести в своей организации анализ (проверку) соблюдения законодательства в области ПДН.
Проверку рекомендуем проводить с использованием следующего чек-листа:
- Проверить наличие следующих документов (и их соответствие законодательству):
-
- Политика организации в области обработки ПДН (далее – «Политика организации»): Политика организации должна соответствовать ФЗ «О персональных данных»; также Политика организации должна быть размещена в общедоступных местах, чтобы любое лицо, чьи ПДН обрабатываются мог иметь к нему свободный доступ (например путем размещения в сети Интернет, на стендах, на пропускном пункте);
- Согласие на обработку персональных данных, в том числе разрешенных субъектов для распространение неопределенному кругу лиц: согласие должно быть получено как от работников организации, так и от клиентов – физических лиц. При этом важно проверить, чтобы получаемые ПДН соответствовали целям их обработки, чтобы в согласии содержались все цели обработки и все ПДН, чтобы в согласиях отсутствовали ПДН, которые не нужны для целей их обработки.
Примечание: персональные данные, разрешенные субъектом для распространения – это те данные, которые организация планирует размещать в сети Интернет. Если у организации есть намерение размещать ПДН в сети Интернет (данные работника или своего клиента), то такое согласие должно быть получено отдельно; оно должно соответствовать требованиям, установленным РКН.
- Установить перечень лиц, которые имеют право обрабатывать ПДН и лиц, которые имеют к ним доступ (исходя из целей обработки). Утвердить полномочия указанных лиц, соответствующим приказом.
- Установить места хранения ПДН на материальных носителях, с тем учетом, чтобы лица, которые не занимаются обработкой ПДН, не имели к ним доступ (например сейф, шкаф с замком и т.д.). Указанные места должны быть также выделены соответствующим приказом.
- Проводить в организации внутренние проверки на предмет соблюдения законодательства в области персональных данных, которые оформлять соответствующим документом.
- Не хранить ПДН на серверах, находящихся за пределами РФ.
Указанные действия не обезопасят Вашу организацию на 100 процентов, однако помогут минимизировать риски привлечения к ответственности и непредвиденных расходов в виде нежелательных штрафов.
Примечание: помимо самой организации к ответственности также может быть привлечено должностное лицо, а если такого лица нет – генеральный директор.
Если в отношении Вашей организации планируется проведение выездной проверки, юристы Юридической фирмы PRAVO-CITY.Справедливый город помогут к ней подготовиться.