Законодатели ужесточают правила работы с персональными данными: согласно одному из законопроектов, планируется ограничить доступ к личным сведениям, содержащимся в ЕГРН. Делаем обзор статьи портала «Право.ru», чтобы напомнить, какое наказание ждёт нарушителя законодательства о ПДн и какие ошибки совершают компании при работе с такими данными.

Работу с персональными данными регулируют № 152-ФЗ и № 149-ФЗ

Как отметили авторы статьи, компания с момента её создания сталкивается с обработкой персональных данных сотрудников, контрагентов и клиентов. При этом важная особенность ПДн – к ним нет доступа третьих лиц или он ограничен.

Сфера обращения с ПДн регулируется:

  1. Федеральным законом от 27.07.2006 № 152-ФЗ. Документ устанавливает требования к сбору, обработке, хранению и защите таких данных.
  2. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В документе прописан запрет на бесконечное хранение личных данных: после их использования их нужно удалить или обезличить.
  3. Постановление Правительства РФ от 01.11.2012 № 1119, которым утверждены правила защиты персональных данных
  4. Приказ ФСТЭК РФ от 18.02.2013 № 21 с перечнем мер по обеспечению безопасности данных при их обработке.

За нарушение НПА о персональных данных компанию могут наказать по четырём кодексам РФ

Как отмечают юристы, Роскомнадзор в последнее время ужесточил контроль за работой компаний с персональными данными. Ведомство применяет риск-ориентированный подход с градацией организаций по уровню риска – от высокого до низкого. От этого зависит частота проверок ведомства. Также Роскомнадзор больше не выдаёт предупреждения и сразу назначает штрафы.

Нарушители законодательства о персональных данных чаще всего привлекаются к административной ответственности по ст. 13.11 КоАП РФ. В ней прописаны несколько составов правонарушений:

  • за нарушение порядка обработки ПДн;
  • за нарушение прав субъектов персональных данных;
  • за несоблюдение ряда технических требований, регламентирующих сбор и хранение таких данных;
  • за нарушение порядка взаимодействия с государственными органами.

Штрафы за такие административные проступки высокие: от 30 до 150 тысяч рублей за первое привлечение к ответственности, до 500 тысяч рублей – за повторное. Самые высокие штрафы установлены за невыполнение обязанности по локализации персональных данных в России: от 1 млн рублей за первое нарушение до 18 млн рублей за повторное.

Помимо административной ответственности, компания может быть наказана:

  • по нормам гражданского права, если пострадавший обратится в суд с иском о возмещении убытков и компенсации морального вреда;
  • по ст. 137 УК РФ «Нарушение неприкосновенности частной жизни», что возможно при массовой утечке персональных данных;
  • по правилам ст. ст. 90, 232 ТК РФ за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Компании при работе с ПДн допускают семь типичных ошибок

В статье портала «Право.ru» эксперты проанализировали наиболее частые ошибки, которые совершают организации при работе с персональными данными. Самые распространённые:

  • неправильно составленная форма согласия на обработку ПДн, когда в ней отсутствуют обязательные реквизиты, прописанныев п. 4 ст. 9 № 152-ФЗ;
  • некорректное заполнение уведомления об обработке персональных данных, которое операторы ПДн должны подавать в Роскомнадзор;
  • сбор, обработка и хранение данных без подписания соглашения об обработке ПДн;
  • отсутствие в открытом доступе политики обработки ПДн в организации;
  • отсутствие законных оснований для обработки персональных данных, в том числе их обработка, несовместимая с целями сбора;
  • продолжение обработки информации после того, как цели их сбора достигнуты;
  • игнорирование волеизъявления человека о работе с его персональными данными.

Оператор ПДн, чтобы не допустить нарушения, должен следить за изменениями в законодательстве

Законодательство о работе с персональными данными постоянно меняется, и компаниям нужно следить за такими изменениями. Например, введённая в 2021 году в № 152-ФЗ ст. 10.1 устанавливает, что при получении ПДн из открытых источников компания обязана получить от субъекта таких данных отдельное согласие на их использование.

Сейчас Госдума РФ рассматривает проекты изменений в НПА в области работы компаний с персональными данными. Так, уже в трёх чтениях утверждён законопроект № 1184356-7, который запретит исполнителям услуг и продавцам товаров отказывать в заключении, изменении, расторжении или исполнении договора из-за того, что клиент отказался предоставить свои персональные данные.

Ещё один законопроект в этой сфере напрямую касается работы управляющих организаций. Законопроект № 101234-8 предполагает, что предоставлять данные из ЕГРН третьим лицам можно будет только с согласия субъекта ПДн. В выписке из реестра должна появиться специальная отметка об этом.

Юристы компании «МКДЭКСПЕРТ» считают, что сейчас документ не учитывает правоотношения между УО и собственниками помещений МКД. Непонятно, как организации, управляющие домами, будут получать сведения для проведения общих собраний и ведения реестра собственников, если владелец не дал на это согласие.

Этого же мнения придерживается экспертный совет Комитета по строительству и ЖКХ Госдумы России. По мнению экспертов, принятие проекта федерального закона о персональных данных сделает невозможной работу УО, ТСЖ и РСО по взысканию задолженности.

На заметку УО

Чтобы не допустить ошибок при работе с личными данными граждан, также юристы советуют изначально разобраться в принципах и условиях обработки ПДн и правильно составить согласие на их обработку. Также важно подготовить и разместить в открытом доступе документы, сопровождающие работу с личными данными, например, политику в отношении персональных данных.

Компании как работодатели должны контролировать, подписали ли согласия на обработку ПДн её работники и иные лица. Если это не так, то следует получить такие согласия. Чтобы снизить риск утечки ПДн, в компании должны быть назначены ответственные за это направление сотрудники, а среди работников введено разграничение доступа к ПДн.

Подробнее об ошибках при работе с персональными данными, проверках Роскомнадзора и особенностях обработки ПДН исполнителями жилищно-коммунальных услуг – на нашем портале: