Работа с персональными данными физических лиц: как избежать штрафов и неприятностей

Отношения, связанные с обработкой персональных данных с использованием различных средств автоматизации, в том числе в сети интернет, регулируются федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Напряжение нарастает! 502-ФЗ "О персональных данных"

Требования, предъявляемые законодательством к условиям обработки наших с вами персональных данных, распространяются, в том числе, и на отношения, возникающие в связи с размещением информации во всемирной сети интернет.

В последнее время часто можно услышать ссылки на необходимость защиты персональных данных человека. Об этом сейчас много говорят и пишут.

В частности, к защите персональных данных всегда аппелируют при рассмотрении вопросов, связанных с определением правовых основ активности человека в виртуальной среде сети интернет.

Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей или вообще ничего об этом не зная и не ведая, как говорится, ни сном, ни духом.

Тем не менее, вопрос с защитой и правильной организацией обработки персональных данных у организаций и ИП становится актуальным в связи с оформлением трудовых и/или гражданско-правовых отношений с людьми.


Что же включает в себя понятие"персональные данные"?

В понятие "персональных данных" включается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, т.е. к субъекту персональных данных (в терминологии законодательства).

В рамках договорных отношений с людьми - в силу заключенных с ними от имени организации или ИП соответствующих трудовых и гражданско-правовых договоров - под персональными данными можно понимать более узкий состав информации о человеке, связанный, главным образом, с необходимостью однозначной идентификации личности человека и его профессиональной деятельностью.


Персональные данные относятся к информации, доступ к которой ограничен.

Поэтому за разглашение персональных данных должностное лицо, ответственное за обработку персональных данных, может быть оштрафовано по статье 13.14 КоАП РФ «Разглашение информации с ограниченным доступом»).

В некоторых случаях за разглашение персональных данных полагается также гражданская (статья 151 Гражданского кодекса РФ) и даже уголовная (статья 137 Уголовного кодекса РФ) ответственность.

Как же нам избежать штрафов и других неприятностей, если в силу коммерческой деятельности, организации и предприниматели вынуждены вступать в договорные отношения с людьми и, как следствие, получать, обрабатывать и хранить их персональные данные?


Первое и самое главное! У организации или у ИП должна быть соответствующая документация.

Главным документом является локальное Положение о персональных данных. В этом Положении обычно прописывают все требования к получению, хранению, обработке, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

Начать Положение рекомендуется с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника, для чего может использоваться специальная формализованная форма - «Согласие на обработку персональных данных».

Не лишним будет сразу разработать и утвердить форму такого заявления. На подпись такое заявление надо давать человеку сразу при заключении трудового и гражданско-правового договора.

Далее может следовать раздел «Доступ к персональным данным». В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций).

При необходимости тут можно ввести уровни доступа в зависимости от должности работника.

Продолжит Положение раздел «Порядок обработки и передачи данных». Здесь следует фиксировать правила для передачи данных о сотрудниках определенным органам или лицам.

В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.

Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в государственные органы.

Закончить Положение лучше разделом «Ответственность». Здесь достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость Уголовного кодекса (ст. 137 УК РФ).

Положение о персональных данных можно разработать, взяв за основу разработанный юристами типовой образец «Положения о работе с персональными данными».


Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о людях, которые организация или ИП представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики, ПФР, ФСС и прочие).

В целях соблюдения режима конфиденциальности персональных данных, а этого требует статья 7 Закона № 152-ФЗ "О персональных данных", в подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации. Форма такого журнала не установлена, поэтому разработать ее требуется самостоятельно.


Второе и не менее важное! Это угрозы для хранящихся персональных данных. Их можно условно разделить на внешние и внутренние.

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным.

Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, бухгалтера организации или ИП могут получать персональные данные для оформления доверенностей, составления справок 2-НДФЛ и так далее).


Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется, чтобы организовать работу с персональными данными в соответствии с требованиями закона.