Требования к обработке персональных данных компаниями в 2024 году

Игорь, давайте начнем вообще с самого начала — что такое персональные данные?

Рассуждая о том, что такое персональные данные, мы сталкиваемся с отсутствием конкретно очерченного перечня информации, относящейся к данной категории. К персональным данным может быть отнесена любая информация о человеке, позволяющая его идентифицировать, и это могут быть не только ФИО или реквизиты документов, удостоверяющих личность, но и номер телефона, сведения об образовании, характерные особенности внешности и т.д. Обращаясь к закону, можно выделить следующие виды персональных данных:

• общедоступные (ФИО, место жительства);
• специальные (состояние здоровья, сведения о судимости);
• биометрические (отпечатки пальцев, изображение сетчатки глаза);
• иные (сведения о доходах, спортивные достижения).

Каждая из приведенных категорий уникальна не только по составу включаемой в нее информации, но и по требованиям к ее обработке. Так, в ряде случаев запрещается обрабатывать некоторые виды специальных персональных данных, а биометрия, используемая для определения личности гражданина, может быть обработана только с его согласия.

А что считается обработкой ПД?

Давайте перейдем к обработке персональных данных, под которой подразумеваются любые действия с ними. Сбор, систематизация, обезличивание, блокирование, уничтожение и т.д., — все это относится к обработке. 

Важным критерием обработки является ее способ. Законодатель выделяет обработку персональных данных с использованием средств автоматизации и без таковой. Если компания не использует средства автоматизации, то она может не подавать уведомление в Роскомнадзор, однако в современных условиях подобный вариант маловероятен. Средствами автоматизации является компьютерная техника, а без нее невозможно использование программ для ведения бухгалтерского учета, интернет-банкинга, электронный документооборот и т.д.

Если же компания обрабатывает персональные данные с помощью средств автоматизации и установленного на них программного обеспечения, необходимо определить уровень угроз, актуальный для информационной системы и принять меры по защите информации. Так, если в информационной системе обрабатываются биометрические персональные данные, в организации помимо лица, ответственного за организацию обработки персональных данных, обязательного для любой компании, должно быть назначено лицо, отвечающее за безопасность данных в информационных системах.

А какие требования есть к обработке ПД?

В первую очередь, в каждой организации должна быть утверждена и обнародована политика оператора в отношении обработки персональных данных, регламентирующая основные принципы работы с информацией о гражданах. Следующим шагом будет назначение ответственного за обработку, который следит за соблюдением требований законодательства и политики. Сведения об ответственном вносятся в карточку компании в реестре операторов, осуществляющих обработку персональных данных, доступном на сайте Роскомнадзора.

В каждой компании должен иметься пакет документов, регламентирующий порядок обработки и защиты информации. Требования к таким документам содержатся в федеральном законе и подзаконных нормативно-правовых актах. Кроме того, необходимо должным образом озаботится оформлением работы с персональными данными, для чего потребуется несколько видов согласий на обработку, журналов учета и актов. Подготовка и ведение последних имеет немаловажное значение, так как само по себе наличие локальных нормативных актов не подтверждает факта их исполнения.

Давайте поговорим об ответственности — она же крайне серьезная?

Что касается ответственности за нарушения, то она более чем мотивирует привести документацию компании в соответствие действующему законодательству. Основные санкции прописаны в ст. 13.11 КоАП РФ и вот лишь часть нарушений и штрафов за их совершения:

• необнародованные политики оператора в отношении обработки ПДн (даже при ее наличии) — до 60 тыс. руб.; 
• обработка ПДн без согласия субъекта — до 700 тыс. руб.;
• необеспечение предусмотренной законом защиты ПДн при их сборе через Интернет — 6 млн. руб.

Указана ответственность только для юридического лица, но не стоит забывать, что одновременно будет оштрафован сотрудник, отвечающий за обработку персональных данных, а при его отсутствии — руководитель компании. Если же компания совершит аналогичное нарушения в течение года, то сумма при повторном нарушении будет еще выше и может достигать 18 млн. рублей.

Расскажите про другие изменения

Последние годы государство вынужденно меняет институт обработки персональных данных, что в значительной мере обусловлено действиями недружественных государств. В целях защиты информации о гражданах с сентября 2022 года их передачу за рубеж можно осуществлять только с предварительного согласия Роскомнадзора. В ряд стран информация может передаваться без предварительного уведомления, но постфактум сделать это все ровно нужно, а при запрете передачи уже направленной информации компания обязана обеспечить прекращение ее обработки. 

Еще одним знаковым изменением стало исключение из п. 2 ст. 22 Закона о персональных данных, права оператора не уведомлять Роскомнадзор об обработке если персональные данные обрабатываются исключительно в целях:

• исполнения трудового законодательства;
• заключения и реализации договоров с субъектами ПДн;
• обработки ПДн членов общественных и религиозных объединений;
• обработки информации, разрешенной к распространению;
• использования только ФИО гражданина;
• осуществления разового пропускного режима на территорию оператора.

Теперь вышеуказанные исключения не работают и единственным способом не отчитываться перед уполномоченным органом является обработка персональных данных исключительно на бумажном носителе. 

Резюмируя все сказанное, отметим, что требования к обработке персональных данных существовали и ранее, однако ответственности за их нарушение удавалось избежать в силу отсутствия жестких контрольных механизмов. Мы получили несколько поколений компаний, воспитанных в среде, в которой соблюдение требований обработки являлось формальным. Как следствие, нехватка профильных специалистов и методической базы для работы с законодательством, что приводит к резкому росту количества компаний, привлеченных к ответственности по ст. 13.11 КоАП РФ. Ситуацию спасает мораторий на проведение плановых и внеплановых проверок, однако в скором времени они могут прекратить свое действие, что может привести к кратному росту протоколов, составленных в отношении компаний, не исполняющих требования закона.