Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

Ответственность за невыполнение норм закона

Нормативный акт не содержит каких-либо специальных мер ответственности за невыполнение его требований. Если проверка Роскомнадзора выявит нарушения, будут применяться нормы, предусмотренные ст. 13.11 КоАП, говорящие о видах неправомерных действий:

  • проведение обработки персональных данных в незаявленных целях или целях, не совместимых с требованиями законодательства и нормами Постановления Правительства;
  • обработка персональных без согласия субъекта с учетом того, что согласие должно предоставляться на случаи неавтоматизированной или смешанной обработки;
  • неучет механизмов ручного оформления ПД в политике компании и отказ от ее публикации на сайте;
  • отказ от разработки других локальных нормативных актов организации, предусмотренных законодательством;
  • невыполнение требований по предоставлению субъекту персональных данных доступа к обрабатываемым сведениям;
  • отказ от выполнения требования субъекта персональных данных откорректировать или стереть их;
  • невыполнение требования по учету и хранению материальных носителей ПД, в том числе по отдельному хранителю персональных данных, обрабатываемых во взаимоисключающих целях;
  • отказ от обезличивания, если оно требуется.

Нарушение норм выявляется в ходе документарных или выездных проверок. Если проверка внеочередная и проводится по заявлению носителя ПД, она может быть только выездной, с проверкой на месте требований по хранению ПД и ведению книг учета. 
Выполнение требований Постановления позволит избежать административных штрафов, размер которых существенно повысился в 2017 году, а с учетом повторности нарушения они могут оказаться некомфортными для бизнеса.

Суть норм

Постановление регулирует узкую область обращения с персональными данными – их ручную обработку без применения машинной техники, без внесения в ИС или после выгрузки из них. 

Среди основных правил работы с персональными данными в ручном режиме:

  • материальные носители персональных данных (формы, учетные регистры, журналы) должны хранится отдельно от материальных носителей с иной информацией. Для таких документов оформляются свои регистры учета и ведутся записи лиц, способных ознакомиться или скопировать их;
  • запрещена фиксация на одном носителе персональных данных, цели обработки которых противоречат друг другу;
  • сотрудники, выполняющие работу с персональными данными, должны быть извещены о сути выполняемой ими работы, ответственности за утечку или распространение иным способом. Информирование осуществляется путем обучения и знакомства с внутренней нормативной базой компании.
  • 687-ПП вводит свои требования к созданию форм документации:
  • каждая типовая форма, созданная для занесения в нее данных – анкета, личное дело, медицинская карта – должна содержать информацию о целях запроса персональных данных, идентифицирующие признаки оператора (ФИО или фирменное наименование), данные о правообладателе персональных данных, сроки хранения, перечень операций с персональными данными, описание способов работы с документами, содержащими персональные данные;
  • типовая форма обязательно включает поле для подписи гражданина, согласного с условиями обработки его персональных данных. В одном стандартном формате объединяются два документа – непосредственно форма и согласие;
  • формат структурируется так, что обладатель персональных данных мог бы ознакомиться с собственными, не видя сведений о других лицах;
  • форма исключает объединение в одном поле данных, цели обработки которых несовместимы.

Отдельным моментом становится оформление пропусков на режимные объекты. 

Нормативный акт выдвигает следующие требования:

  • если организация или охранная структура ведет журнал учета посетителей, принятые форматы, правила ведения журнала учета и ответственность за их нарушение должны быть описаны во внутренних документах. Нужно обязательно оговорить состав информации, запрашиваемой у посетителей, способы ее фиксации, перечень сотрудников организации и охранных структур, допущенных к ознакомлению с информацией, порядок подтверждения подлинности персональных данных или отказа от такого подтверждения;
  • не разрешается копирование и распространение иным способом персональных данных, содержащихся в книгах учета;
  • не допускается дублирование записей, заносимых в книгу учета.

Если персональные данные учитываются на материальных носителях, необходимо придерживаться следующих требований, которые снижают риски, связанные с тем, что персональные данные одного лица окажутся доступны другому:

  • сведения, относящиеся к одному лицу или одной цели обработки ПД, копируются из оригинала документа на отдельный носитель, и оператор работает с персональными данными, имея на руках скопированную информацию;
  • если содержащиеся на материальном носителе персональные данные должны быть частично уничтожены, оставшаяся часть копируется на другой носитель способом, исключающим возможность одновременного копирования информации, относящейся к другим лицам или иным целям.

Нормативный акт также говорит о необходимости придерживаться правил безопасности, при работе с персональными данными ручным способом. Необходимо обеспечить закрытый режим их хранения, ограничить к ним доступ, вести учет материальных носителей. При допуске к информации субъекта персональных данных вне обычной ситуации, а, например, при запросе гражданина об ознакомлении с его личным делом, информация должна также фиксироваться в специальных регистрах.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

  Конклюдентное согласие Согласие в письменной форме Иные формы согласия
+ Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

Что поручено Правительству

Обработка персональных данных обычно производится в локальных сетях компаний, иногда в облачных хранилищах и ключевые параметры архитектуры систем для защиты конфиденциальности устанавливаются ФСТЭК РФ. Но в случае, когда персональные данные анализируются не в рамках ИС, а фиксируются на бумаге – в анкетах, личных делах, опросных листах, применяются нормы Постановления Правительства № 687, принятого в 2008 году. Оно рассматривает основные моменты, связанные с ручным внесением сведений в документы. 

На практике работа с персональными данными без применения машинных способов только в документарном виде производится:

  • в образовании, при работе с личными делами учащихся;
  • в отделах кадров предприятий;
  • при оформлении пропусков на объекты с усиленным охранным режимом;
  • в учреждениях медицины при оформлении карт;
  • при работе с гостайной.

Документ уточняет, что обработка персональных данных без применения средств автоматизации всегда осуществляется вручную, их анализ или систематизация производится человеком, а не машиной. Факт, что персональные данные какое-то время хранились в ИС и позднее выгружались, не меняет ситуацию.

Политика работы с персональными данными

Большинство требований Постановления основывается на необходимости уточнить некоторые механизмы в локальных нормативных актах организации. Чтобы не создавать отдельный регламент каждый раз на одну операцию обработки персональных данных неавтоматизированным способом, можно описать все в одном документе о процедуре обработки ПД. При этом необходимо выделить в самостоятельные главы ручную обработку и обеспечение пропускного режима с учетом необходимости фиксации данных. 

Нужно переработать традиционную структуру политики:

  • в разделе «Термины и определения» отдельно рассмотреть обработку ПД в информационных системах и ручным способом;
  • в теме, посвященной законодательной основе Политики, отдельно дать ссылку на 687-е;
  • в главе, посвященной понятию и составу персональных данных, ввести определение персональных данных, обрабатываемых в целях обеспечения пропускного режима;
  • в разделе, посвященном целям и случаям обработки персональных данных, отдельно выделить все ситуации, связанные с неавтоматизированной работой, со ссылкой на статьи нормативного акта;
  • в формате согласия на предоставление персональных данных отметить особые цели, связанные с организацией пропускного режима;
  • отдельно описать автоматизированную, неавтоматизированную и смешанную обработку ПД с указанием особенностей каждого типа;
  • в принципах работы с персональными данными осветить, как именно происходит обезличение и уничтожение персональных данных, если они обрабатываются в неавтоматизированных системах;
  • в разделе, связанном с защитой информации, отдельно осветить принципы их защиты при обработке с участием человека, ручным способом. Указать меры по обеспечению раздельного хранения документов с несовместимыми целями обработки, по физической защите помещений;
  • в главе, посвященной правам субъектов персональных данных, осветить право на доступ носителя персональных данных к неавтоматизированным носителям информации, условия на реализацию права, ограничения, связанные с невозможностью предоставить право на ознакомление, если на том же носителе есть ПД;
  • в разделе, посвященном обязанностям оператора, отдельно рассмотреть все обязанности, предусмотренные Постановлением. В разделе, посвященном правам и обязанностям сотрудников оператора, отдельно прописать все действия, вытекающие из неавтоматизированной обработки данных – копирование, передачу на ознакомление, производство выписок, уничтожение, внесение изменений.

Кроме того, необходимо добавить раздел, посвященный ведению журнала учета посетителей, оформлению пропусков, хранению учетных регистров и обработке, содержащейся в них информации.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Правила защиты персональных данных

Нормативный акт обращает внимание операторов на следующие моменты работы с информацией вне информационных систем персональных данных:

  • если работа с персональными данными производится без использования материальных носителей, то для каждой категории информации внутренние документы организации должны позволять точно определять место ее хранения и перечень лиц, которым разрешена ее ручная обработка;
  • если обработка персональных данных, находящихся на материальных носителях, осуществляется в разных целях, носители должны храниться отдельно;
  • хранение материальных носителей должно быть организовано таким образом, чтобы исключить несанкционированный доступ к ним.

На практике нормы 687 соблюдаются не всегда. Проверки Роскомнадзора должны подтвердить сохранность информации и защиту персональных данных, обрабатываемых ручным способом.