Обработка персональных данных

Закон о персональных данных вступил в силу в 2007 году (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» – далее Закон), но до сих пор многие не уделяют ему должного внимания. Рассмотрим подробнее основные моменты закона, на которые стоит обратить внимание.

Закон предусматривает обязанность оператора (т.е. любого лица, сталкивающегося с персональными данными, т.е. любого хозяйствующего субъекта) до начала обработки персональных данных уведомить об этом Роскомнадзор по установленной форме (п.1 ст.22 Закона). Правда тот же Закон допускает исключения из данного правила, в частности:

1) при обработке персональных данных в соответствии с трудовым законодательством (прием работника, его трудовые «подвиги», процессы, необходимые для реализации его прав и обязанностей (переводы, отпуска, больничные и др.), вплоть до увольнения),

2) при обработке персональных данных физического лица (включая ИП) в соответствии с заключенным договором гражданско-правового характера, если данное лицо является стороной по договору и оператор не передает эти данные третьим лицам (включая аутсорсерам – бухгалтерским, правовым и др.) без согласия физического лица ,

3) при выписке пропусков,

4) при обработке данных, включающих в себя только фамилии, имена и отчества субъектов персональных данных (т.е., например, без привязки к паспортным и иным данным).

Т.е. при обработке персональных данных указанными выше способами уведомлять Роскомнадзор РФ не требуется. Но нужно учитывать, что обработка и хранение данных потенциальных (при поиске работников) или уволившихся работников, а также передача данных физических лиц по договорам гражданско-правового характера для их обработки аутсорсерами потребует подачи уведомления.

Закон требует получение согласия физического лица на обработку его персональных данных, за исключением случаев, когда обработка персональных данных необходима для заключения и исполнения договора (в т.ч. и трудового) с данным физическим лицом, а также в случаях, предусмотренных действующим законодательством (например, законодательством о налогах и сборах) (п.1 ст.6 Закона).

При этом при передаче данных физических лиц для их обработки третьими лицами (аутсорсерами) оператор обязан получить согласия данных лиц и предусмотреть условия обработки этих данных в соглашениях между операторами и аутсорсерами (п.2 ст.6 Закона).

Закон также требует от оператора опубликования политики в области обработки персональных данных, в т.ч. на сайте оператора (п.2 ст.18.1 Закона).

Таким образом, обязательным для всех операторов является разработка и опубликование политики в области обработки персональных данных. А при передаче персональных данных аутсорсерам необходимо дополнительно получить согласия всех физических лиц, персональные данные которых передаются для обработки, а также добавить условия обработки данных в соглашениях между операторами и аутсорсерами.

Отметим, что ответственность оператора составляет:

1) за неопубликование политики — 5-10 тыс.руб. для ИП и 15-30 тыс.руб. для юридических лиц (п.3 ст.13.11 КоАП РФ),

2) за передачу персональных данных аутсорсеру без согласия физического лица — 10-20 тыс.руб. для ИП и 15-70 тыс.руб. для юридических лиц (п.2 ст.13.11 КоАП РФ).

При этом также возможно возмещение морального или реального вреда физическому лицу. Но необходимо учитывать, что субъекты малого предпринимательства за впервые совершенное правонарушение могут «отделаться» только предупреждением, а не реальным штрафом (п.1 ст.4.1.1 КоАП РФ). Кроме того, учитывая, что под понятие «оператор персональных данных» подпадают все хозяйствующие субъекты, риск наложения штрафных санкций в области обработки персональных данных довольно низкий и в основном возможен в случае поступления жалоб от физических лиц.