Вот уже больше года, как закон о защите персональных
данных работает в полной мере, без каких-либо оговорок и исключений. А
контролирующие органы, которые активно подключились к проверкам по
соблюдению закона, не скупятся на штрафы. О том, как не допустить
нарушений, за которые положены штрафы, мы погорим в настоящей статье.
О проверяющих и размере штрафов
Ответственность за нарушения в сфере охраны персональных данных
законодатель отнесен к административной. Значит, санкции за подобные
проступки надо искать в Кодексе об административных правонарушениях.
Заглянув туда, мы обнаружим, что штрафы не так уж и высоки. Согласно статье 13.11 КоАП РФ они составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее руководителя, если в нарушении есть его вина.
Однако надо учитывать, что этот штраф может налагаться за каждое
допущенное нарушение. А правил для тех, кто работает с персональными
данными, законодатели установили очень много (них мы подробно поговорим
чуть ниже). Так что 10 тысяч рублей штрафа легко могут превратиться в 50
или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы
могут оказаться еще внушительнее.
Раз уж мы затронули вопрос проверок, то сразу скажем, что ведомством,
полномочным контролировать соблюдение режима персональных данных,
является Федеральная служба по надзору в сфере связи, информационных
технологий и массовых коммуникаций (сокращенно — Роскомнадзор). Однако
права налагать и взыскивать штрафы у этой организации нет. Все материалы
по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в
прокуратуру. Прокурор уполномочен принимать решения о возбуждении
производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ). Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).
Статистическая справка
По данным Роскомнадзора, всего с момента возложения на эту
организацию полномочий по контролю и надзору за соответствием обработки
персональных данных требованиям законодательства Российской Федерации
нами (т.е. с ноября 2007 года) проведено 3307 проверок.
Результатами этих проверок стали более чем 4500 предписаний об
устранении выявленных нарушений, и 7591 протокол об административных
правонарушениях.
В 2011 году проведено 1743 проверки — то есть, более половины от
общего числа за 4 года! При этом количество плановых и внеплановых (т.е.
тех, которые проводятся по жалобам) проверок примерно равно 954 и 789
соответственно. При этом количество жалоб, поступающих от граждан и
организаций, также постоянно растет — с 465 в 2009 году до 3240 на 26
декабря 2011 года.
По результатам проверок в 2011 году в прокуратуру было передано около 900 материалов.
Возросли в прошлом году и суммы взыскиваемых штрафов. Так, за период с
2007 по 2009 год к административной ответственности было привлечено
всего 37 организаций и взыскано административных штрафов на общую сумму
чуть менее 22 тысяч рублей. А на сегодняшний день эта сумма уже
превысила 12,5 миллионов рублей. При этом средний размер штрафа не так
уж и велик и составляет 3-5 тысяч рублей.
Источник: сайт Роскомнадзора.
Запасаемся бумагами
Итак, с ответственностью за нарушение правил работы с персональными
данными мы разобрались. Давайте теперь посмотрим, что же надо сделать
организации, дабы избежать штрафов.
Надо отметить, что правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных»,
касаются не только тех организаций, которые имеют дело с клиентскими
базами данных. Соблюдать требования этого закона должны все организации,
в которых есть хотя бы один работник. Связано это с тем, что к
персональным данным законодатели среди прочего отнесли и те сведения,
которые предприятие получает от своих сотрудников, принимая их на
работу. А это значит, что организация обязана их защищать в полном
соответствии с законом.
Отметим, что закон не делает каких-то различий между тем, на каких
носителях в организации существуют документы, содержащие персональные
данные. Так что, и тот работодатель, который внедрил
высокотехнологические информационные системы, и тот, который ведет
работу с кадровыми документами на бумаге, обязаны принять ряд
организационных и технических мер по защите персональных данных
сотрудников. Именно формальное выполнение этих мер в большинстве случаев
и контролируют специалисты Роскомнадзора.
Первое, что захотят увидеть проверяющие, — это приказ руководителя о
назначении ответственного за работу с персональными данными и
обеспечении их защиты. Таким ответственным может быть как конкретное
лицо (образец приказа можно скачать здесь), так и подразделение (образец приказа можно скачать здесь). В последнем случае личную ответственность несет руководитель такого подразделения.
Далее потребуется утвердить документ, содержащий перечень персональных данных (образец приказа можно скачать здесь),
которые реально используются в деятельности организации. Составляя
такой документ, не забудьте включить в него все сведения, которые
работник письменно сообщает о себе при поступлении на работу, а также
используемые в дальнейшем при оформлении кадровой документации.
В этом перечне должны быть:
- заявление о приеме на работу;
- анкета сотрудника;
- личная карточка;
- личное дело;
- трудовой договор;
- приказы;
- трудовая книжка;
- материалы аттестационных комиссий.
Это один раздел перечня. Если же в организации имеется внутренний
документооборот, содержащий сведения о сотрудниках (например, отчеты и
материалы, которые составляются для акционеров, учредителей, головной
организации и т.п.), то эти отчеты тоже нужно включить в перечень.
Помимо этого, в перечне должны быть указаны документы, содержащие те
сведения о сотрудниках, которые организация представляет в различные
государственные органы (налоговую и трудовую инспекции, органы
статистики).
Здесь заметим, что подготовка такого перечня важна не только для
соблюдения требований законодательства. Он позволит упорядочить работу с
персональными данными внутри организации. Дело в том, что трудоемкость
защиты персональных данных напрямую зависит от степени важности
обрабатываемых сведений. Например, информация о политических и
религиозных взглядах, личной жизни человека, здоровье, национальности
законом отнесена к категориям информации, которые подлежат более
надежным методам и средствам защиты, чем данные, идентифицирующие
личность. Поэтому анализ составленного перечня и исключение из него
данных, не являющихся безусловно необходимыми в деятельности
организации, позволит существенно удешевить систему защиты персональных
данных.
Следующий этап работы — подготовка и утверждение списка лиц,
допущенных к работе с персональными данными. Этот документ утверждается
приказом руководителя и доводится под подпись до всех указанных в нем
сотрудников (образец приказа можно скачать здесь).
Еще один документ, который нужно подготовить и утвердить — Положение о
работе с персональными данными. Здесь уже нужно детально прописать все
требования к получению, хранению, комбинированию, передаче и любому
другому использованию персональных данных, а также гарантии по их
защите. С Положением нужно под подпись ознакомить всех сотрудников,
включенных в список лиц, допущенных к работе с персональными данными.
Каким должно быть содержание Положения
Что же должно быть зафиксировано в Положении о персональных данных?
На практике такой документ обычно состоит из разделов, описывающих каким
именно образом в организации должен происходить сбор и обработка
персональных данных; кто и в каком порядке имеет доступ к этим данным;
какие меры предпринимаются для предотвращения разглашения персональных
данных.
Так что начать Положение мы рекомендуем с раздела «Сбор и обработка
персональных данных». В нем обязательно нужно зафиксировать, что
персональные данные в организации можно получить и обрабатывать
исключительно на основании письменного согласия работника. А значит, не
лишним будет сразу разработать и утвердить форму такого заявления. На
подпись такое заявление работнику надо давать сразу при приеме на
работу. А по действующим сотрудникам такую работу придется провести
сразу же после утверждения Положения.
Далее может следовать раздел «Доступ к персональным данным». В нем
последовательно описывается порядок доступа к таким данным работников
организации и третьих лиц (отдельно родственников, государственных
органов, представителей других организаций). При необходимости тут можно
ввести уровни доступа в зависимости от должности сотрудника. Например,
директор и аппарат дирекции имеют доступ ко всем персональным данным;
сотрудники бухгалтерии — только к тем сведениям, которые необходимым для
расчета заработной платы и налогов; представители кадровой службы — к
сведениям, необходимым для оформления кадровой документации и т.п.
Продолжит Положение раздел «Порядок обработки и передачи данных».
Здесь надо зафиксировать правила для передачи данных о сотрудниках
определенным органам или лицам. В случаях, когда передача данных
регулируется законодательно (налоговые органы, органы статистики,
Пенсионный фонд и т.п.) достаточно сделать ссылки на порядок передачи
сведений, установленный законодательством. Но при этом следует
обязательно зафиксировать, кто и в каком порядке вправе готовить данные
сведения для передачи в госорганы.
А вот родственникам, членам семьи, страховым компаниям, банкам,
благотворительным организациям, негосударственным пенсионным фондам и т.
п. персональные данные предоставляются только при наличии письменного
согласия работника на каждый конкретный факт передачи данных.
Закончить Положение лучше разделом «Ответственность». Тут изобретать
велосипед не нужно — достаточно будет сделать ссылки (или привести
целиком) на нормы Трудового кодекса (увольнение за разглашение
персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость Уголовного кодекса (ст. 137 УК РФ).
Обязательно ли уведомлять Роскомнадзор?
Есть еще один немаловажный момент. Речь идет об уведомлении
Роскомнадзора о том, что организация работает с персональными данными.
Ситуация тут крайне неоднозначная.
На первый взгляд, закон освобождает от подачи такого уведомления,
если обрабатываются только персональные данные сотрудников. Однако на
практике органы Роскомнадзора зачастую требуют предоставлять
уведомление, даже если кроме работы с данными сотрудников организация
никакой другой работы с персональными данными не ведет. При этом
контрольное ведомство пользуется противоречивостью положений закона. Статья 22
Закона о персональных данных, которая освобождает от необходимости
направлять уведомление в части персональных данных сотрудников
организации, сформулирована так, что использование данных сотрудников в
отношениях с банком при начислении им заработной платы, а также с
государственными органами при предоставлении сведений о работниках
формально под это исключение не подпадает. Поэтому во избежание лишних
споров и штрафов советуем все же направить уведомление.