Персональные данные: за что штрафует Роскомнадзор?

До сих пор находятся владельцы и управляющие салонов красоты или клиник, считающие, что они не являются операторами обработки персональных данных. И в этом они крупно ошибаются.

Проведу мини-ликбез.

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие или совокупность действий с персональными данными, совершаемые с использованием средств автоматизации или без них: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Как видно из определений, любой субъект бизнеса, у которого есть хоть один работник или он хранит фамилии, имена и номера телефонов клиентов, является оператором обработки персональных данных.

Теперь о том, как соблюсти законодательство о защите персональных данных и избежать штрафов со стороны Роскомнадзора РФ.

Первое. Необходимо брать согласие на обработку персональных данных у всех клиентов, пациентов, работников. Даже у соискателей на должности в вашем салоне/клинике - перед тем, как сделать копию паспорта - необходимо получить письменное согласие на обработку персональных данных.

Второе. Требуется уведомить территориальный орган Роскомнадзора об обработке персональных данных - путем подачи уведомления. Конечно, в соответствии с ч. 1 ст. 22 ФЗ № 152, оператор должен это сделать еще до начала обработки персональных данных. Но, как говорится, лучше поздно, чем никогда.

За задержку с отправлением уведомления вас не накажут рублем, штрафы последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации вашего ИП или ООО как дату начала обработки персональных данных.

Третье. Подготовьте документ под названием «Политика в отношении обработки персональных данных» (согласно п. 2 ст. 18.1 Федерального закона № 152-ФЗ). Разместите его на сайте и на стенде с остальной информацией для потребителей услуг - в свободном доступе. Рекомендации по составлению этого документа можно найти здесь.

Четвертое. Если у вас на сайте (для медицинских учреждений наличие сайта является обязательным (приказ МЗ РФ № 956н от 30.12.2014г.)) имеются формы сбора персональных данных, то под каждой из них необходимо поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Пятое. Создайте пакет документации по обработке персональных данных (в него входят свыше 25 документов). Примерный перечень можно увидеть здесь или здесь.

Самыми распространенными нарушениями в настоящий момент являются:

КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных
…
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, - влечет наложение административного штрафа:

• на граждан в размере от трех тысяч до пяти тысяч рублей;
• на должностных лиц - от десяти тысяч до двадцати тысяч рублей;
• на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

Проще говоря, если вы внесли данные клиента/пациента в базу, но у вас отсутствует согласие на обработку персональных данных, подписанное им, вы можете быть наказаны по данной статье.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа:

• на граждан в размере от семисот до одной тысячи пятисот рублей;
• на должностных лиц - от трех тысяч до шести тысяч рублей;
• на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей;
• на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

В переводе на обычный русский это означает: если в помещении вашего салона/клиники в открытом доступе не размещен этот документ, вас могут оштрафовать.