БЕСПЛАТНАЯ КОНСУЛЬТАЦИЯ ЮРИСТА:+7 499 394 66 567 дней в неделю с 8:00 до 20:00

Персональные данные

Как избежать ответственности при обработке персональных данных

В 2021 г. законодательство в области персональных данных (ПДН) претерпело существенные изменения. В частности, в 2 раза увеличена ответственность за нарушение законодательства в области ПДН, введены более суровые наказания за повторные нарушения, введены новые понятия и формулировки.

Поскольку законодательство о ПДН претерпело изменения, предполагается, что в ближайшее время, будет увеличено количество выездных проверок организаций, осуществляющих обработку ПДН.

Органом, осуществляющим проверку соблюдения организациями законодательства о ПДН, является «Роскомнадзор» (РКН).

Основанием для проведения РКН выездной проверки является:

  • осуществление плановой проверки (истечение 3 лет с момента регистрации организации (ЮЛ, ИП) или с момента последней проверки);
  • в случае выявления нарушения законодательства организацией (поступившая в РКН жалобы от субъекта ПДН, требование прокурора, поручения президента и др.).

Чтобы обезопасить свою организацию от ответственности (штрафов), которая может наступить в случае выявления нарушения законодательства в области ПДН, посредством проведения выездных проверок Роскомнадзором, рекомендуем провести в своей организации анализ (проверку) соблюдения законодательства в области ПДН.

Проверку рекомендуем проводить с использованием следующего чек-листа:

  1. Проверить наличие следующих документов (и их соответствие законодательству):
    • Политика организации в области обработки ПДН (далее – «Политика организации»): Политика организации должна соответствовать ФЗ «О персональных данных»; также Политика организации должна быть размещена в общедоступных местах, чтобы любое лицо, чьи ПДН обрабатываются мог иметь к нему свободный доступ (например путем размещения в сети Интернет, на стендах, на пропускном пункте);
    • Согласие на обработку персональных данных, в том числе разрешенных субъектов для распространение неопределенному кругу лиц: согласие должно быть получено как от работников организации, так и от клиентов – физических лиц. При этом важно проверить, чтобы получаемые ПДН соответствовали целям их обработки, чтобы в согласии содержались все цели обработки и все ПДН, чтобы в согласиях отсутствовали ПДН, которые не нужны для целей их обработки.

Примечание: персональные данные, разрешенные субъектом для распространения – это те данные, которые организация планирует размещать в сети Интернет. Если у организации есть намерение размещать ПДН в сети Интернет (данные работника или своего клиента), то такое согласие должно быть получено отдельно; оно должно соответствовать требованиям, установленным РКН.

  1. Установить перечень лиц, которые имеют право обрабатывать ПДН и лиц, которые имеют к ним доступ (исходя из целей обработки). Утвердить полномочия указанных лиц, соответствующим приказом.
  2. Установить места хранения ПДН на материальных носителях, с тем учетом, чтобы лица, которые не занимаются обработкой ПДН, не имели к ним доступ (например сейф, шкаф с замком и т.д.). Указанные места должны быть также выделены соответствующим приказом.
  3. Проводить в организации внутренние проверки на предмет соблюдения законодательства в области персональных данных, которые оформлять соответствующим документом.
  4. Не хранить ПДН на серверах, находящихся за пределами РФ.

Указанные действия не обезопасят Вашу организацию на 100 процентов, однако помогут минимизировать риски привлечения к ответственности и непредвиденных расходов в виде нежелательных штрафов.

Примечание: помимо самой организации к ответственности также может быть привлечено должностное лицо, а если такого лица нет – генеральный директор.

Если в отношении Вашей организации планируется проведение выездной проверки, юристы Юридической фирмы PRAVO-CITY.Справедливый город помогут к ней подготовиться.

Открыть чат