Контроль за персональной информацией

• Как стать оператором персональных данных
• Внутренняя документация для работы с ПД
• Госконтроль
• Штрафы для нарушителей

Как стать оператором персональных данных

Если вы планируете заниматься обработкой персональных данных, закон обязывает вас подать соответствующее уведомление в Роскомнадзор. Документ можно отправить в территориальный орган Роскомнадзора на бумаге или представить в электронном виде. Здесь есть два варианта: подать уведомление на официальном сайте или на портале Госуслуг.

В течение 30 дней со дня регистрации уведомления информация об операторе должна появиться в реестре.

Какого-либо документа, который бы подтвердил подачу уведомления или факт внесения оператора в реестр, не предоставляется. Это общедоступные сведения, и любой желающий может получить выписку из реестра в течение 5 рабочих дней.

Но есть и исключения. Не требуется подавать уведомления в трех случаях:

• если данные обрабатываются в рамках ГИС для защиты безопасности государства и общественного порядка;
• обрабатываются без использования средств автоматизации;
• обрабатываются в рамках законодательства РФ о транспортной безопасности.

Внутренняя документация для работы с ПД

Перед работой с личными данными (ПД) оператор обязан подготовить приказ об утверждении положения (политики) о защите ПД, назначить ответственного за обработку данных, утвердить всех сотрудников, которые будут иметь доступ к данным, подготовить обязательство о неразглашении, а также согласия на передачу и обработку и заявление об отзыве согласия на обработку ПД.

Положение (политика, порядок) о защите персональных данных может содержать следующие разделы:

• Категории субъектов ПД: это могут быть ваши сотрудники, клиенты, посетители сайта и т. д.
• Цель обработки (например, продвижение товаров, ведение бухгалтерского учета – в общем то, для чего вы собираете ПД).
• Категории ПД (ФИО, сведения о судимости, копии документов, доходы – то есть ту информацию, какую именно оператор аккумулирует).
• Способы обработки, хранения, уничтожения персональных данных.
• Перечень ответственных за организацию обработки, а также их права, обязанности и ответственность.

Госконтроль

За соблюдением закона пристально следит Роскомнадзор. Он же отвечает за то, чтобы довести до операторов все требования, связанные с персональной информацией. Нормы и правила сведены в Перечень НПА, который можно найти на сайте Роскомнадзора.

Роскомнадзор в порядке контроля может явиться к оператору с инспекционной (документальной, выездной) проверкой, а также с профилактическим визитом. А может обойтись без непосредственного взаимодействия и наблюдать за исполнением требований при размещении информации в интернете.

Плановая и внеплановая проверки

Плановые проверки утверждаются заранее, постановлением Правительства РФ в годовом плане, их согласуют с прокуратурой. При этом к частоте проведения плановых проверок применяется риск-ориентированный подход. В какую категорию риска попадет оператор, зависит от величины потенциального ущерба, который он может нанести, если допустит нарушения:

• если низкий ущерб – плановую проверку проводить не будут;
• умеренный ущерб – по плану вас должны проверять 1 раз в 6 лет;
• средний – 1 раз в 4 года;
• значительный – 1 раз в 3 года;
• если потенциальный ущерб оценивается как высокий – то 1 раз в 2 года.

Сроки для проверок установлены законодательно. Так, на выездные и документарные отводится до 10 рабочих дней с момента их фактического начала, например с даты предоставления документов по запросу. Перед выездной проверкой оператора данных обязаны уведомить за сутки. Инспекционный визит короткий, не более одного рабочего дня на каждом объекте предприятия, причем оператора предварительно не уведомляют.

Штрафы для нарушителей

Операторы-нарушители штрафуются вне зависимости от того, внесены они в реестр Роскомнадзора или нет. Размеры штрафов варьируются от нескольких тысяч до миллионов рублей. Административная ответственность предусмотрена статьями 13.11, 19.4.1, 19.5 или 19.7 КоАП РФ. Избежать санкций можно только в одном случае: если вы докажете, что правонарушение произошло по вине третьих лиц, а вы все требования по защите ПД выполнили.

Ответственность по статье 13.11 КоАП РФ

Штрафы для должностных лиц:

• за незаконную обработку ПД — 10 000–20 000 рублей;
• за повторную незаконную обработку ПД — 20 000–50 000 рублей;
• за обработку ПД без согласия — 20 000–40 000 рублей;
• за повторную обработку ПД без согласия — 40 000–100 000 рублей;
• за отсутствие опубликованной политики обработки ПД — 6000–12 000 рублей;
• за отказ предоставить информацию субъекту ПД — 8000–12 000 рублей;
• за отказ от уточнения, блокирования или уничтожения ПД — 8 000–20 000 рублей;
• за повторный отказ от уточнения, блокирования или уничтожения ПД — 30 000–50 000 рублей;
• за необеспечение сохранности ПД на материальных носителях — 8 000–20 000 рублей;
• за нарушение правил обращения с собранными ПД — 100 000–200 000 рублей;
• за повторное нарушение правил обращения с собранными ПД — 500 000–800 000 рублей;

Штрафы для индивидуальных предпринимателей (ИП):

• за незаконную обработку ПД — 10 000–20 000 рублей;
• за повторную незаконную обработку ПД — 50 000–100 000 рублей;
• за обработку ПД без согласия — 20 000–40 000 рублей;
• за повторную обработку ПД без согласия — 100 000–300 000 рублей;
• за отсутствие опубликованной политики обработки ПД — 10 000–20 000 рублей
• за отказ предоставить информацию субъекту ПД — 20 000–30 000 рублей;
• за отказ от уточнения, блокирования или уничтожения ПД — 20 000–40 000 рублей;
• за повторный отказ от уточнения, блокирования или уничтожения ПД — 50 000–100 000 рублей;
• за необеспечение сохранности ПД на материальных носителях — 20 000–40 000 рублей;
• за нарушение правил обращения с собранными ПД — 1–6 млн рублей;
• за повторное нарушение правил обращения с собранными ПД — 6–18 млн рублей;

Штрафы для организаций:

• за незаконную обработку ПД — 60 000–100 000 рублей;
• за повторную незаконную обработку ПД — 100 000–300 00 рублей;
• за обработку ПД без согласия — 30 000–150 000 рублей;
• за повторную обработку ПД без согласия — 300 000–500 000 рублей;
• за отсутствие опубликованной политики обработки ПД — 30 000–60 000 рублей;
• за отказ предоставить информацию субъекту ПД — 40 000–80 000 рублей;
• за отказ от уточнения, блокирования или уничтожения ПД — 50 000–90 000 рублей;
• за повторный отказ от уточнения, блокирования или уничтожения ПД — 300 000–500 000 рублей;
• за необеспечение сохранности ПД на материальных носителях — 50 000–100 000 рублей;
• за нарушение правил обращения с собранными ПД — 1–6 млн рублей;
• за повторное нарушение правил обращения с собранными ПД — 6–18 млн рублей;

Ответственность по статьям 19.4.1 и 19.5 КоАП РФ

Штрафы для должностных лиц:

• за уклонение и препятствование проверке Роскомнадзора — 2000–4
• за препятствование завершению проверки Роскомнадзора — 5000–10 000 рублей;
• за повторное препятствование завершению проверки Роскомнадзора — 10 000–20 000 рублей или дисквалификация на срок от 6 месяцев до 1 года;
• за отказ исполнять предписание Роскомнадзора — 1000–2000 или дисквалификация на срок до 3 лет.

Штрафы для индивидуальных предпринимателей (ИП):

• за уклонение и препятствование проверке Роскомнадзора — 2000–4000 рублей;
• за препятствование завершению проверки Роскомнадзора — 5000–10 000 рублей;
• за повторное препятствование завершению проверки Роскомнадзора — 10 000–20 000 рублей или дисквалификация на срок от 6 месяцев до 1 года;
• за отказ исполнять предписание Роскомнадзора — 1000–2000 или дисквалификация на срок до 3 лет.

Штрафы для организаций:

• за уклонение и препятствование проверке Роскомнадзора — 5000–10 000 рублей;
• за препятствование завершению проверки Роскомнадзора — 20 000–50 000 рублей;
• за повторное препятствование завершению проверки Роскомнадзора — 50 000–100 000 рублей;
• за отказ исполнять предписание Роскомнадзора — 10 000–20 000 рублей.

Ответственность по статье 19.7 КоАП РФ

В случаях, когда уведомления об обработке персональных данных, которые должны подаваться в Роскомнадзор:

• не представлены или представлены после начала обработки сведений,
• содержат неполную, искаженную, недостоверную информацию,
• не содержат информации об изменении сведений, содержащихся в ранее поданном уведомлении,
• не содержат информации о прекращении обработки персональных данных,

административная ответственность наступает в виде штрафов:

• для граждан — в размере 100–300 рублей;
• для должностных лиц и ИП — в размере 300–500 рублей;
• для юридических лиц — в размере 3000–5000 рублей.

При этом вместо штрафа может быть выписано предупреждение.

Если Роскомнадзор обнаружил неполную или недостоверную информацию до внесения сведений в реестр, он может потребовать уточнения таких сведений в течение 30 дней. Если информация не будет предоставлена – вы получите отказ.

Обжаловать действия Роскомнадзора можно, если контролирующий орган:

• требовал не предусмотренную НПА информацию;
• отказался принять уведомление на основаниях, не предусмотренных НПА;
• не внес сведения в реестр в срок (или не внес вообще).