А ваша организация – оператор персональных данных?

Добрый день, коллеги!

Удивительно холодно была встречена новость о сентябрьских изменениях в Федеральный закон «О персональных данных» на профессиональном портале «профессиональных» операторов персональных данных. Боюсь, вы зря решили, что вашей компании это всё равно не касается.

Что такое персональные данные?

Статья 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» дает такое определение:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Вся соль в словах «определенному или определяемому физическому лицу». Если по информации или её совокупности можно понять, о ком речь — то перед вами то, что называют персональные данные. Если понять нельзя — то и эту информацию скорее всего нельзя отнести к персональным данным.

Приведу несколько примеров:

• Иванов Иван Иванович, паспорт гражданина РФ серии 01 00 номер 000001 — это прямо определенное физическое лицо.
• Петров Петр Петрович, отец Вовы Петрова из 5-го «Б» класса — это косвенно определенное физическое лицо.
• Генеральный директор ООО «Ромашка», личный телефон +7(900) 555-00-00 — это определяемое физическое лицо.
• Брюнет Константин — лицо не определено и не может быть определено (не персональные данные или то, что называется обезличенные данные).

Поэтому если вы увидите на стене в подъезде надпись «Машка — молодец!», знайте — это не персональные данные, в отличии от записи в ежедневнике «Мария (+7(900) 555-00-99) — встреча в 16:00». Потому что само по себе взятое отдельно имя к персональным данным не относится, но стоит прибавить к нему информацию, достаточно достоверно идентифицирующую личность (например, номер телефона или паспорта, адрес прописки или должность в конкретной организации), и вуаля! — перед нами появляются персональные данные, причем включая то же самое имя.

Нет четкого списка того, что является персональными данными. Но обычно к ним относят следующее:

Обратите внимание!
Исчерпывающего списка персональных данных нет и быть не может. Относятся данные к персональным или не относятся решается в каждой ситуации отдельно.

• фамилия,
• имя,
• отчество,
• адрес проживания,
• электронный адрес,
• номер телефона,
• дата рождения,
• место рождения,
• национальность,
• вероисповедание,
• место работы,
• должность,
• рост,
• вес,
• и так далее.

Кто является оператором персональных данных?

Согласно той же 3 статье Федерального закона «О персональных данных»:

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

То есть формально — все. Абсолютно все.

Наверняка, прочитав предыдущий раздел, Вы пришли к выводу, что Ваш телефон, Ваш электронный почтовый ящик, Ваш ежедневник, документы на Вашем столе и даже несколько папочек в сейфе кишмя кишат персональными данными. И что же делать с этой бедой?

Абсолютно ничего не надо делать в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется (пункт 2 статьи 1 Закона):

1. Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
2. Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
3. Персональные данные, отнесены к сведениям, составляющим государственную тайну;
4. Персональные данные относятся к публичной информации о деятельности судов в РФ.

Скорее всего, ничего не надо предпринимать если:

Обратите внимание!
На практике есть много нюансов, которые нужно будет участь, чтобы иметь возможность обрабатывать персональные данные не уведомляя компетентный орган. Поэтому не делайте окончательных выводов основываясь только на этой статье!
Как минимум, обратитесь к тексту закона — в списке есть прямые ссылки.

1. Персональные данные обрабатываются исключительно во исполнение требований трудового законодательства (подпункт 1 пункта 2 статьи 22 ФЗ «О персональных данных»);
2. Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных (подпункт 2 пункта 2 статьи 22 ФЗ «О персональных данных»);
3. Персональные данные о членах общественной или религиозной организации обрабатываются самой этой организацией (подпункт 3 пункта 2 статьи 22 ФЗ «О персональных данных»);
4. Сам субъект персональных данных сделал их общедоступными (подпункт 4 пункта 2 статьи 22 ФЗ «О персональных данных»);
5. Персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных (подпункт 5 пункта 2 статьи 22 ФЗ «О персональных данных»);
6. персональные данные используются для предоставления одноразового пропуска и т.п. (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);
7. Обрабатываются персональные данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);
8. Персональные данные обрабатываются без использования компьютера (но с соблюдением требований установленных Постановлением Правительства РФ от 15.09.2008 N 687) (подпункт 8 пункта 2 статьи 22 ФЗ «О персональных данных»);
9. Персональные данные обрабатываются в целях транспортной безопасности  (подпункт 9 пункта 2 статьи 22 ФЗ «О персональных данных»).

Придется позаботится о соблюдении всех требований ФЗ «О персональных данных», если:

Обратите внимание!
Не важно, кто является владельцем сайта: физическое лицо или организация. В обоих случаях необходимо зарегистрировать оператора персональных данных.

1. Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

• форумы;
• социальные сети;
• многие новостные сайты;
• интернет-магазины;
• блоги;
• сайты с частными объявлениями;
• и так далее.

2. Ваш сайт позволяет вносить в формы персональные данные пользователей, которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

3. Ваш сайт просто уже содержит реальные персональные данные граждан. 

4. Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

• большинства юридических фирм;
• абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
• реестродержателей;
• бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
• банков, МФО и других компаний финансового сектора, работающих с данными граждан;
• медицинских учреждений;
• магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
• образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
• ТСЖ и управляющих компаний в сфере ЖКХ;
• турагентств;
• третейских судов;
• и так далее.

5. Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

6. Ваша компания использует CRM или аналогичные системы.

7. Во всех остальных случаях, если Вы или Ваша компания не подпадаете под исключения, которые я описала выше.

Что делать организации, занимающейся обработкой персональных данных?

Если вы нашли свою компанию в третьем списке, то, во-первых, придется подготовить пакет документов, предусмотренных законодательством о персональных данных, который включает в себя:

• Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
• Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
• План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.
• Перечень должностей и третьих лиц, допущенных к обработке персональных данных.
• Форма Обязательства о неразглашении персональных данных.
• Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку.
• Перечень обрабатываемых персональных данных.
• Форма Согласия на обработку персональных данных.
• Форма Согласия на обработку персональных данных для сайта.
• Перечень информационных систем персональных данных.
• Перечень применяемых средств защиты информации.
• Перечень помещений, в которых ведется обработка персональных данных.
• Технический паспорт информационных систем персональных данных.
• Приказ о назначении лиц, ответственных за обработку и защиту персональных данных.
• Инструкция администратора информационной безопасности.
• Инструкция менеджера обработки персональных данных.
• Положение по обработке персональных данных.
• Политика компании в отношении обработки персональных данных.
• Положение об обеспечении безопасности персональных данных.
• Уведомление об обработке персональных данных.
• Приказ об утверждении Инструкции пользователя информационных систем персональных данных.
• Инструкция пользователя информационных систем персональных данных.
• Регламент по учёту, хранению и уничтожению носителей персональных данных.
• Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.
• Регламент по реагированию на запросы субъектов персональных данных.
• Регламент по взаимодействию с органами государственной власти в области персональных данных.
• Регламент по резервному копированию персональных данных.
• Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности.

Во-вторых, уведомить компетентный орган — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о начале обработки персональных данных. После чего компания будет внесена в Реестр операторов персональных данных.

Например, 1 сентября вступили в силу изменения в Закон, ограничивающие трансграничную передачу данных, в связи с чем до 12 сентября операторы персональных данных должны были сообщить в Роскомнадзор о том, где они обрабатывают персональные данные — в России или за рубежом.

В-третьих, отслеживать изменения в законодательстве о персональных данных, так как периодически придется направлять в Роскомнадзор новые уведомления и вносить коррективы в действующие внутренние положения, регламенты и другие документы.

Ответственность за нарушение законодательства о персональных данных

Роскомнадзор периодически производит проверки как среди компаний, внесенных в Реестр операторов персональных данных, так и среди компаний, которых нет в этом реестре, но они с точки зрения Роскомнадзора потенциально могут заниматься обработкой данных граждан. Со списком запланированных проверок можно ознакомится на сайте органа.

Кроме того, проверки могут назначаться после поступившей жалобы, чем, к сожалению, периодически пользуются обиженные бывшие работники или недобросовестные конкуренты.

Если в ходе проверки Роскомнадзор обнаружит нарушения, то компании, её руководителю и сотрудникам может грозить административная ответственность по статьям:

Кстати, не обольщайтесь совсем небольшим размером штрафов в санкции статьи. Как правило, при проверке выявляется сразу ряд нарушений, а штраф может назначаться за каждое нарушение отдельно, что может увеличить его суммарно до 100 000 рублей и более.

• Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных):
  предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Ряд требований, касающихся обработки персональных данных, установлены трудовым законодательством.

• Статья 5.27. Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права:
  предупреждение или наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от одной тысячи до пяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей (в первый раз);
  влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до двадцати тысяч рублей или дисквалификацию на срок от одного года до трех лет; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятидесяти тысяч до семидесяти тысяч рублей (при повторном нарушении).
• Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль:
  наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.
• Статья 13.12. Нарушение правил защиты информации:
  влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей.
• Статья 13.14. Разглашение информации с ограниченным доступом:
  наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от четырех тысяч до пяти тысяч рублей.

Кроме того Роскомнадзом имеет право блокировать сайты, нарушающие законодательство, в том числе законодательство о персональных данных.  То есть если на вас пожалуется физическое лицо, то сайт может быть заблокирован.

Если очень не повезет, то ответственность может стать и уголовной:

• Статья 137. Нарушение неприкосновенности частной жизни:
  наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
  наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (если использовалось служебное положение).
• Статья 140. Отказ в предоставлении гражданину информации:
  наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.

Кстати, Госдума в начале этого года приняла в первом чтении законопроект, увеличивающий до 300 000 рублей штрафы за нарушения при обработке персональных данных. На настоящий момент законопроект «завис» в ожидании второго чтения. Зная специфику работы нашей Госдумы сложно предугадать дальнейшую судьбу поправок в КоАП: канут они в Лету или будут спешно приняты накануне очередных праздничных дней или каникул — мы пока не знаем.

Быть или не быть?

С точки зрения юриста ответ на вопрос очевиден: если компания занимается обработкой персональных данных и не в состоянии свести это обработку к исключениям, указанным в статьях 1 и 22 Закона, то обязательно нужно подготовить все необходимые документы и направить соответствующее уведомление в Роскомнадзор. В таком случае юрист может быть уверен, что риски связанные с проверкой регулирующего органа снижены до минимальных.

С точки зрения руководителя или собственника бизнеса ситуация не на столько очевидная. Те, кто управляют компаниями, обычно делят риски на допустимые и недопустимые (даже если они это так не называют). И в данном случае степень риска и его допустимость зависят от многих факторов. Во-первых, это так скажем заметность компании на рынке, во-вторых, способы обработки персональных данных, в-третьих, ценность юридического лица и его репутации, в-четвертых, политика работы с клиентами.

Поясню на примерах, что я имею в виду. Вероятность того, что Роскомнадзор заинтересуется форумом муромских садоводов-любителей стремится к нулю. А вот у крупного портала или интернет-магазина шансов попасть под пристальный взгляд регулирующего органа значительно больше. На мой взгляд это даже скорее вопрос времени. Поэтому чем крупнее бизнес, тем вероятнее назначение проверки Роскомнадзора.

Способы обработки персональных данных тоже играют большую роль. Сильнее всего рискуют компании, у которых есть сайты, содержащие персональные данные (причем не важно: пользователей или третьих лиц), или позволяющие через формы вносить персональные данные (опять же не важно: пользователей или третьих лиц). Равно высоки риски у компаний регулярно производящих e-mail-рассылки по более или менее крупной базе адресов. Главная проблема и первых, и вторых в том, что Роскомнадзор имеет большой опыт работы именно с интернетом, а также имеет дополнительный способ воздействия на нарушителя — блокировка сайта.

Кроме того, сильно рискуют компании обрабатывающие персональные данные офлайн, но способами, которые легко установить и доказать. Например, ведение клиентской базы в CRM или аналогах, постоянная работа с документами, содержащими данные граждан (так работают регистраторы, реестродержатели, внешние бухгалтеры, банки, МФО, турагентства, третейские суды и некоторые другие).

Третий фактор — ценность юридического лица и его репутации. С одной стороны, это то, о чем обычно не принято говорить вслух. Но мы с вами юристы и прекрасно знаем, что относительно устоявшийся способ решения половины проблем бизнеса — это «закрыть старое ООО, открыть новое». Хозяева бизнеса, которые придерживаются такой философии, редко всерьез заботятся о «безупречности» юридической стороны своего дела, поэтому и риски проверок Роскомнадзора их вряд ли будут волновать.

С другой стороны вопрос репутации становится крайне важен для компаний, заработавших себе определенное имя. И особенно это важно владельцам популярных сайтов. Блокировка сайта на 90 дней способна не только на долгое время выбросить сайт из топ-10 Яндекса или Гугла, но и сильно пошатнуть отношение клиентов или пользователей сайта.

Агрессивная политика работы с клиентами или потенциальными клиентами также может сильно увеличить риск проверок. Кому не звонил в выходной день на сотовый телефон бойкий менеджер какой-то неизвестной компании с «отличным предложением»? Кому не приходилось маниакально по сотому разу добавлять в спам и черный список ненужные рассылки от интернет-магазинов?

Не знаю, как вы, а я очень люблю таким менеджерам напомнить, что их компания нарушает Закон «О рекламе» и Закон «О персональных данных», и порекомендовать исключить мои данные из их базы, а то «мне же придется писать на вас жалобы, а так не хочется…». Но ладно я — я только пугаю, а писать жалобы у меня действительно желания мало. Есть же и более решительные юристы (и не только юристы), которые с удовольствием ввяжутся в это дело, еще и компенсацию морального вреда потребуют. Напомню, что свои проверки Роскомнадзор может производить на основании поступивших жалоб.

Ещё один фактор я не упомянула — это юридическая чистота бизнеса. К сожалению, в нашей стране частично в силу качества законов, частично из-за устоявшейся привычки, этот фактор не очень популярен. Особенно это бросается в глаза, когда сталкиваешься с представителями крупных иностранных компаний, для которых нарушить закон — это экстраординарная ситуация. Хочется верить, что и наш бизнес рано или поздно обратится к этой философии, а пока вам решать, обращать на это внимание или нет.

Собственно, на основании этих факторов и стоит принимать решение по вопросу официальной регистрации в качестве оператора персональных данных.

Кстати, дополнительный бонус для законопослушных компаний — появляется реальный способ борьбы с бывшими сотрудниками, прихватившими с собой клиентскую базу. «Натрави́те» на них Роскомнадзор — у них ведь не будет даже согласия об обработке персональных данных от клиентов, не говоря уже о полноценной строчке в Реестре операторов персональных данных.

Коллеги, мне интересно ваше мнение по проблеме нелегитимной обработки персональных данных!