Законодатели ужесточают правила работы с персональными данными: согласно одному из законопроектов, планируется ограничить доступ к личным сведениям, содержащимся в ЕГРН. Делаем обзор статьи портала «Право.ru», чтобы напомнить, какое наказание ждёт нарушителя законодательства о ПДн и какие ошибки совершают компании при работе с такими данными.
Какие документы должны быть у УО как оператора персональных данных130951
Работу с персональными данными регулируют № 152-ФЗ и № 149-ФЗ
Как отметили авторы статьи, компания с момента её создания сталкивается с обработкой персональных данных сотрудников, контрагентов и клиентов. При этом важная особенность ПДн – к ним нет доступа третьих лиц или он ограничен.
Сфера обращения с ПДн регулируется:
- Федеральным законом от 27.07.2006 № 152-ФЗ. Документ устанавливает требования к сбору, обработке, хранению и защите таких данных.
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В документе прописан запрет на бесконечное хранение личных данных: после их использования их нужно удалить или обезличить.
- Постановление Правительства РФ от 01.11.2012 № 1119, которым утверждены правила защиты персональных данных
- Приказ ФСТЭК РФ от 18.02.2013 № 21 с перечнем мер по обеспечению безопасности данных при их обработке.
Почему и как Роскомнадзор проводит проверки управляющих организаций1704210
За нарушение НПА о персональных данных компанию могут наказать по четырём кодексам РФ
Как отмечают юристы, Роскомнадзор в последнее время ужесточил контроль за работой компаний с персональными данными. Ведомство применяет риск-ориентированный подход с градацией организаций по уровню риска – от высокого до низкого. От этого зависит частота проверок ведомства. Также Роскомнадзор больше не выдаёт предупреждения и сразу назначает штрафы.
Нарушители законодательства о персональных данных чаще всего привлекаются к административной ответственности по ст. 13.11 КоАП РФ. В ней прописаны несколько составов правонарушений:
- за нарушение порядка обработки ПДн;
- за нарушение прав субъектов персональных данных;
- за несоблюдение ряда технических требований, регламентирующих сбор и хранение таких данных;
- за нарушение порядка взаимодействия с государственными органами.
Штрафы за такие административные проступки высокие: от 30 до 150 тысяч рублей за первое привлечение к ответственности, до 500 тысяч рублей – за повторное. Самые высокие штрафы установлены за невыполнение обязанности по локализации персональных данных в России: от 1 млн рублей за первое нарушение до 18 млн рублей за повторное.
Помимо административной ответственности, компания может быть наказана:
- по нормам гражданского права, если пострадавший обратится в суд с иском о возмещении убытков и компенсации морального вреда;
- по ст. 137 УК РФ «Нарушение неприкосновенности частной жизни», что возможно при массовой утечке персональных данных;
- по правилам ст. ст. 90, 232 ТК РФ за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Компании при работе с ПДн допускают семь типичных ошибок
В статье портала «Право.ru» эксперты проанализировали наиболее частые ошибки, которые совершают организации при работе с персональными данными. Самые распространённые:
- неправильно составленная форма согласия на обработку ПДн, когда в ней отсутствуют обязательные реквизиты, прописанныев п. 4 ст. 9 № 152-ФЗ;
- некорректное заполнение уведомления об обработке персональных данных, которое операторы ПДн должны подавать в Роскомнадзор;
- сбор, обработка и хранение данных без подписания соглашения об обработке ПДн;
- отсутствие в открытом доступе политики обработки ПДн в организации;
- отсутствие законных оснований для обработки персональных данных, в том числе их обработка, несовместимая с целями сбора;
- продолжение обработки информации после того, как цели их сбора достигнуты;
- игнорирование волеизъявления человека о работе с его персональными данными.
Вопросы обработки УО личных данных жителей с их согласия и без65230
Оператор ПДн, чтобы не допустить нарушения, должен следить за изменениями в законодательстве
Законодательство о работе с персональными данными постоянно меняется, и компаниям нужно следить за такими изменениями. Например, введённая в 2021 году в № 152-ФЗ ст. 10.1 устанавливает, что при получении ПДн из открытых источников компания обязана получить от субъекта таких данных отдельное согласие на их использование.
Сейчас Госдума РФ рассматривает проекты изменений в НПА в области работы компаний с персональными данными. Так, уже в трёх чтениях утверждён законопроект № 1184356-7, который запретит исполнителям услуг и продавцам товаров отказывать в заключении, изменении, расторжении или исполнении договора из-за того, что клиент отказался предоставить свои персональные данные.
Ещё один законопроект в этой сфере напрямую касается работы управляющих организаций. Законопроект № 101234-8 предполагает, что предоставлять данные из ЕГРН третьим лицам можно будет только с согласия субъекта ПДн. В выписке из реестра должна появиться специальная отметка об этом.
Юристы компании «МКДЭКСПЕРТ» считают, что сейчас документ не учитывает правоотношения между УО и собственниками помещений МКД. Непонятно, как организации, управляющие домами, будут получать сведения для проведения общих собраний и ведения реестра собственников, если владелец не дал на это согласие.
Этого же мнения придерживается экспертный совет Комитета по строительству и ЖКХ Госдумы России. По мнению экспертов, принятие проекта федерального закона о персональных данных сделает невозможной работу УО, ТСЖ и РСО по взысканию задолженности.
На заметку УО
Чтобы не допустить ошибок при работе с личными данными граждан, также юристы советуют изначально разобраться в принципах и условиях обработки ПДн и правильно составить согласие на их обработку. Также важно подготовить и разместить в открытом доступе документы, сопровождающие работу с личными данными, например, политику в отношении персональных данных.
Компании как работодатели должны контролировать, подписали ли согласия на обработку ПДн её работники и иные лица. Если это не так, то следует получить такие согласия. Чтобы снизить риск утечки ПДн, в компании должны быть назначены ответственные за это направление сотрудники, а среди работников введено разграничение доступа к ПДн.
Подробнее об ошибках при работе с персональными данными, проверках Роскомнадзора и особенностях обработки ПДН исполнителями жилищно-коммунальных услуг – на нашем портале: