Как проверить актуальность персональных данных по сотрудникам

Опубликовано: 17.09.2024

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Сдавайте отчётность без бухгалтерских знаний

Эльба — бухгалтерия, с которой справится любой. Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Алексей Родин

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Нет времени читать? Оставьте почту — пришлём ссылку на статью.

Роскомнадзор проверяет всех, кто собирает персональные данные: юридических лиц, индивидуальных предпринимателей и простых людей. Инспектор должен проводить проверку по правилам. Если он их нарушит, результаты проверки можно оспорить. Рассказываем, как проходит проверка, как себя вести и как оспорить результаты.

К кому могут прийти с проверкой

Роскомнадзор проверяет людей, предпринимателей и компании, которые собирают, хранят, обрабатывают и передают чужие персональные данные.

Персональные данные — это любая информация, которая позволяет идентифицировать человека:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес прописки, проживания;
  • электронный адрес;
  • номер телефона;
  • национальность;
  • политические и религиозные убеждения;
  • биометрические данные: отпечатки пальцев, идентификация по голосу, результаты медицинских анализов, фотография.

Работодатели собирают персональные данные, когда оформляют сотрудников на работу. Авторы рассылок — когда человек подписывается на письма. Продавцы — когда просят покупателей оставить имя и номер телефона для того, чтобы отправлять предложения по скидкам.

Если вы собираете номера телефонов друзей, закон вас не касается. Но если у вас есть блог и вы собираете электронные адреса читателей для рассылки, вы становитесь оператором персональных данных.

Что проверяет Роскомнадзор

  1. Как оператор соблюдает требования закона «О персональных данных».
  2. Документы с правилами обработки персональных данных сотрудниками компании или индивидуальным предпринимателем (ч.1 ст. 18.1 закона 152-ФЗ).
  3. Программы и технику, с помощью которых оператор обрабатывает персональные данные: компьютер, принтер, сканер программа «1С:Предприятие».

Бизнесмена могут проверить по плану, неожиданно или просто наблюдать за ним:

  1. Плановые проверки проводят только удалённо — Роскомнадзор просит прислать ему нужные документы.
  2. Внеплановые проверки всегда проводят на месте — ревизоры приезжают на работу или домой к оператору.
  3. Наблюдение за оператором — сотрудники Роскомнадзора тайно наблюдают за бизнесменом со стороны.

Плановая проверка

Роскомнадзор проводит плановую проверку раз в три года, по графику. Ищите себя в сводном плане проверок на сайте Генпрокуратуры.

Некоторых Роскомнадзор проверяет чаще — раз в два года:

  1. Если оператор собирает биометрические и специальные персональные данные: национальность, состояние здоровья, политические взгляды.
  2. Если оператор отправляет персональные данные за рубеж.
  3. Если оператор собирает персональные данные в государственных информационных системах — реестрах и инфосистемах министерств России. Например, Единая сеть обращения граждан или Реестр федерального имущества.

Что делать при плановой проверке


Какую электронную подпись выбрать для бизнеса

У оператора есть пять рабочих дней, чтобы ответить на запрос и прислать документы. Датой подачи документов считается день, когда инспектор их получил. Если оператор опоздает, Роскомнадзор придёт к нему с внеплановой проверкой.

2. Следите за сроками проверки. У инспектора есть 20 дней, чтобы провести проверку. Если их не хватит, он может продлить срок ещё на 20 дней, но только один раз. Максимальный срок проверки — 40 дней.

3. Проверьте акт проверки. Инспектор составляет акт в двух экземплярах. В акте он перечисляет нарушения или указывает, что их нет. Один экземпляр инспектор отправляет оператору по почте или электронным письмом не позднее 10 дней со дня подписания акта проверки.

Чем грозит плановая проверка

Если инспектор найдёт ошибки или неточности, он отправит оператору письмо — даст три рабочих дня на пояснения. Если оператор не ответит, Роскомнадзор придёт с внеплановой проверкой — в офис или домой к оператору.

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Внеплановая проверка

Роскомнадзор может прийти с внеплановой проверкой в любое время, но только если для этого есть основания:

  1. Оператор не исправил нарушения, которые у него нашли во время наблюдения за ним, плановой или предыдущей внеплановой проверки.
  2. Люди пожаловались, что оператор нарушает их права (ст. 14-17 закона «О персональных данных»);
  3. Президент, правительство Российской Федерации или прокурор поручили проверить оператора.
  4. Сотрудники Роскомнадзора нашли нарушения во время наблюдения за оператором.

Как себя вести во время внеплановой проверки

1. Проверьте документы ревизоров. Изучите удостоверения сотрудников, приказ и запрос с перечнем документов для проверки. В приказе должно быть указано, кто проводит проверку, по каким причинам, что будут делать сотрудники Роскомнадзора, сроки и условия выездной проверки. Сверьте фамилии и должности сотрудников Роскомнадзора из приказа с данными удостоверений.

2. Предоставьте информацию по запросу. Предоставьте инспекторам документы и покажите технику, перечисленную в запросе. Важно уложиться в срок, который указан в запросе — максимум два дня с момента вручения. Если во время проверки окажется, что нужны дополнительные документы, инспектор может вручить вам дополнение к запросу.

Если передаёте документы на бумаге, сделайте копии, заверьте печатью и подписью. Если отправляете их в электронном виде — подпишите электронной подписью. Если не успеваете в срок, напишите и отправьте в Роскомнадзор объяснительную.

3. Присутствуйте при проверке. Вы имеете право присутствовать при проверке, давать сотрудникам Роскомнадзора пояснения, отвечать на их вопросы.

4. Не мешайте проверяющим. В правилах сказано, что оператор должен свободно пускать ревизоров в помещение и к компьютеру, предоставлять необходимые документы. Если вы будете мешать, откажетесь показывать документы или отвечать на вопросы, сотрудники Роскомнадзора составят акт о воспрепятствовании проведению выездной проверки и через пару месяцев придут ещё раз. Если вы будете сильно мешать, могут вызвать полицию.

5. Следите за сроками. Инспектор предупреждает оператора о проверке не позднее, чем за 24 часа. Роскомнадзор может проводить внеплановую проверку не дольше 10 дней. Если нужно, срок могут увеличить еще на 10 дней, но только один раз. Максимальный срок проверки — 20 дней.

6. Проверьте правильность составления акта. В акте должна быть информация о выявленных нарушениях или об их отсутствии. Если нарушения есть, в акте должны быть указаны статьи закона и пункты нормативных актов, которые оператор нарушил.

Проверяющий составляет акт проверки в двух экземплярах и прилагает к нему справки, протоколы и пояснения оператора. Акт должны подписать представитель Роскомнадзора и оператор. Если вы откажетесь расписываться, ревизор сделает об этом пометку. Проверяющий отдаёт оператору под расписку один экземпляр акта с копиями приложений.

Оператор должен сделать пометку в журнале по учёту проверок о том, что ознакомился с актом. Если такого журнала нет, инспектор сделает об этом запись в акте.

Если оператора не будет на месте, Роскомнадзор приостановит проверку, но не более чем на месяц. Если за это время ничего не изменится и проверяющий не сможет застать оператора на месте, он составит акт о невозможности проведения проверки. В течение трёх месяцев после составления акта Роскомнадзор может прийти с проверкой ещё раз, но уже без предупреждения.

Чем грозит выездная проверка

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Наблюдение за оператором

Сотрудники Роскомнадзора могут наблюдать за оператором только по заданию. Для этого должны быть причины:

  • президент, правительство или руководитель федерального Роскомнадзора поручили наблюдать за оператором;
  • кто-то пожаловался на оператора в Роскомнадзор;
  • в печатных или в интернет-СМИ появилась информация, что оператор нарушает закон «О персональных данных».

За оператором наблюдают тайно — никто его не предупреждает. Сотрудники Роскомнадзора смотрят, какую информацию оператор публикует в интернете и СМИ, какие документы отправляет в Роскомнадзор. Они могут просто посмотреть сайт и понажимать на кнопочки про согласие на обработку персональных данных.

Чем грозит наблюдение

Если сотрудники Роскомнадзора нашли нарушения, есть два варианта:

  1. Роскомнадзор присылает оператору требование уточнить, заблокировать или удалить недостоверные или полученные незаконным путём сведения. Обычно на это дают 10 дней. Если оператор не исправит нарушения, его оштрафуют.
  2. Роскомнадзор приезжает к оператору с внеплановой проверкой.

Когда проверку могут продлить

Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:

  1. Во время проверки Роскомнадзор получил от правоохранительных органов документы, из которых видно, что оператор нарушает закон.
  2. На территории, где проходит проверка, произошло наводнение, затопление или пожар.
  3. Во время проверки оказалось, что нужно проверить больше документов, у компании сложная структура, сложный механизм обработки персональных данных.

Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.

Как обжаловать результаты проверки

  1. Сотрудники Роскомнадзора не показали вам приказ о проведении проверки или свои удостоверения.
  2. К вам приехали с выездной проверкой и попросили выйти из помещения.
  3. К вам приехали с выездной проверкой и не слушают ваши объяснения.
  4. Проверка проходит дольше, чем это прописано в правилах.
  5. Вам не показали акт о результатах проверки.
  6. Роскомнадзор запретил вам собирать и обрабатывать персональные данные, а вы считаете, что ничего не нарушали.

Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.

Сотрудники Роскомнадзора обязаны ответить в течение 30 дней со дня регистрации жалобы. Они могут согласиться с претензией полностью, частично или вообще не согласиться.

Если вы подавали жалобу в региональный Роскомнадзор и он с ней не согласился, пишите в федеральную службу. Если и там не найдёте понимания — идите в суд.

Какие штрафы грозят нарушителям

Нарушение Граждане Индивидуальные предприниматели Должностные лица Юридические лица Статья закона
Оператор незаконно собирает персональные данные или собирает те персональные данные, которые ему не нужны 1 000 ₽ – 3 000 ₽

Коротко о проверках по защите персональных данных

Роскомнадзор может прийти с проверкой к любому оператору персональных данных: в компанию, к индивидуальному предпринимателю или обычному человеку. Оператора могут проверить по плану, неожиданно или просто наблюдать за ним:

Любое нарушение проверяющими правил проведения проверок — повод обжаловать её результаты. Если Роскомнадзор не согласится с жалобой, можно подать в суд.

В интернете много сервисов, которые предлагают узнать информацию о человеке по его фамилии, имени, отчеству и другим данным. Например, сайт Checkperson: там можно выяснить, судим ли человек, какие юрлица на него зарегистрированы и многое другое. Есть и другие сервисы — в основном анонимные, в виде групп в соцсетях и каналов в «Телеграме». Там, если верить продавцам, можно заказать даже детализацию телефонных переговоров и имена любовниц.

Какими из этих сервисов законно пользоваться, а какими нет? Связаны ли эти сервисы с государством? Насколько высок риск столкнуться с мошенниками?

С уважением, Евгений

Евгений, проверять информацию о людях с помощью государственных сервисов — это законно. При условии, что эти сервисы работают в соответствии с ФЗ «О персональных данных». Нельзя выложить все данные о человеке: объем предоставляемой информации строго прописан в законе.

Некоторые сервисы в интернете предлагают купить сведения о человеке, которые относятся к личным данным. И продавать, и покупать их — незаконно, за такое можно лишиться свободы. А еще в этой сфере действуют мошенники — есть риск потерять деньги.

Расскажу, как отличить законные сервисы от незаконных, и проверю себя в сервисе Checkperson. А еще покажу, как такие проверки сделать бесплатно самому и ничего не нарушить.

Если коротко: проверяйте, что вам предлагают

👍 Если сервис предоставляет общедоступные данные — все законно. Информация берется из открытых государственных баз данных.

👍 Checkperson предоставляет как раз общедоступные данные. По сути, деньги берут не за доступ к чему-то секретному, а за экономию времени: сервис делает запросы в разные базы данных за вас.

👎 Если сервис предлагает что-то связанное с личной жизнью, например детализацию телефонных переговоров, интимные фотографии или сведения о банковских счетах, — это незаконно.

👎 Большинство телеграм-каналов предлагают купить незаконные данные. В лучшем случае вам просто нарисуют информацию, в худшем — вы лишитесь денег или даже свободы.

Какие данные можно разглашать, а какие нельзя

Любая информация, относящаяся к конкретному физическому лицу, — это персональные данные. По закону к таким данным может относиться все что угодно — от номеров телефонов до семейного фотоархива.

Один из основных принципов закона о персональных данных — человек сам решает, кому и какие данные предоставлять. Познакомился с девушкой, назвал имя и фамилию, обменялся телефонами — с точки зрения закона это передача персональных данных. Отправил работодателю копию диплома — тоже передал данные. Если такая передача происходит с согласия владельца, ничего страшного в этом нет.

У того, кто такие данные получает, возникает обязанность: не раскрывать эти данные третьим лицам. За разглашение придется отвечать.

Но из этого правила есть исключения. Если по закону сведения отнесены к общедоступным, их можно раскрывать третьим лицам. Обычно это сведения о юрлицах: какой деятельностью занимаются, где зарегистрированы.

Еще исключение — если персональные данные нужны, чтобы поймать рецидивиста. В такой ситуации считается, что интересы окружающих важнее, чем интересы преступника. Поэтому его фотографию можно размещать на досках объявлений и показывать по телевизору — согласие самого разыскиваемого при этом не понадобится.

Закон также не запрещает проверять достоверность документов. Если известен, например, номер паспорта человека, с которым вы хотите заключить договор займа, то можно проверить, не числится ли паспорт среди утерянных или украденных. Знать ФИО или дату рождения человека при этом необязательно.

Самозащита от мошенников

Что и где можно законно проверить

Официальные сервисы не работают как Википедия: не получится узнать, где человек родился, вырос, с кем дружил, где работал и на ком женился. Это только в кино достаточно ввести фамилию — и становится известно о человеке все. В жизни дело обстоит иначе.

Общий принцип работы сервисов такой: чтобы что-то проверить, нужно уже знать персональные данные человека — как минимум фамилию, имя, отчество и дату рождения. В этом случае сервис даст ответ: например, есть ли у человека долг перед судебными приставами. Другой вариант проверки — по реквизитам документов. Но их тоже нужно знать заранее — тогда сервис покажет, действителен ли , например, диплом или паспорт. Фамилия человека в таком случае вообще не потребуется.

Денег за поиск официальные сервисы не берут.

Вот что можно узнать из официальных источников. Это неполный список, но он дает представление о характере данных, которые вам предоставят.

Действительны ли паспортные данные. Сервисы разработали специалисты Главного управления по вопросам миграции МВД России. Эти данные пригодятся, чтобы проверить человека, которому вы даете в долг или сдаете имущество в аренду. Узнать фамилию, имя или отчество по номеру паспорта не получится: сервисы лишь покажут, правильные ли у вас данные.

Что получится проверить:

Данные о машине и водителе. Проверки по базам данных ГИБДД покажут, есть ли у человека неуплаченные штрафы, лишался ли он водительского удостоверения, участвовал ли автомобиль в ДТП, которые оформлялись сотрудниками ГИБДД, прекращена ли регистрация автомобиля.

Что получится проверить:

Практически все, что касается судебных процессов и долгов. Можно узнать, банкрот ли человек, участвовал ли он в судебных заседаниях и в какой роли, ограничен ли в праве занимать какую-то должность, находится ли в розыске за совершение преступления или неуплату алиментов, есть ли у него задолженность по исполнительным производствам.

Информация разбросана по многочисленным базам данных МВД, службы судебных приставов, банка судебных решений, федеральной нотариальной палаты, налоговой.

Что получится проверить:

Многие ресурсы находятся в разработке: например, к весне 2021 года обещают запустить базу данных нарушителей ПДД. Если эта база заработает, любителям нарушать правила станет сложнее устроиться водителем такси или взять в аренду автомобиль.

В любом случае сервисы, предоставляющие законные возможности проверки физических лиц, должны пользоваться именно общедоступными ресурсами. Если вам обещают по имени или номеру паспорта узнать фамилию любовника или любовницы, номер счета в банке и сколько на нем осталось денег — сервис нарушает закон о персональных данных или пытается вас обмануть.

Проверяю себя через Checkperson

Сайт предлагает проверить физлицо по общедоступным базам данных: находится ли человек в розыске, регистрировал ли юрлица, есть ли у него долги. Никаких рассказов про секретные источники, знакомого майора и сотрудников спецслужб, подрабатывающих по ночам нелегальным пробивом данных. Это хороший признак.

Отчет платный — и чем больше хочется узнать, тем больше придется заплатить. Это тоже понятно, ведь информация о людях разбросана по разным базам данных.

Чтобы проверить сервис, я заказал отчет на самого себя: указал свою фамилию, имя, отчество, дату рождения — и попросил сервис пробить меня по базе юридических лиц. Еще пришлось указать электронный адрес — после уплаты 300 Р на него и прислали отчет.

Документ получился объемным, на 60 листах. Но это потому, что поиск по юридическим лицам не учитывает дату рождения. В списке нашлись 78 однофамильцев — учредителей юрлиц, 71 руководитель и два индивидуальных предпринимателя. Но сервис предупредил меня о том, что все работает именно так, поэтому без обид.

При желании я мог получить эту информацию бесплатно — вручную вбивая данные на различных сайтах. По сути, я заплатил за экономию времени.

Насколько достоверны такие данные

Гарантий, что данные актуальны, нет ни при проверке по открытым источникам, ни при покупке в различных сервисах. Даже МВД, предоставляя доступ к открытым ресурсам, честно признается, что все предоставленные сведения носят исключительно справочный характер.

Причина в том, что сведения попадают в базы данных с задержкой. А в некоторых случаях они вообще могут не попасть в открытые источники. Например, для держателя залога размещение такой информации в реестре залогов — это не обязанность, а право. О том, что может произойти в результате, мы рассказывали в другой статье. Если коротко — покупатель может проверить имущество по реестру залогов, а потом ему придется защищать свои права в суде.

С какими сервисами связываться не стоит

В «Телеграме», соцсетях и мессенджерах есть анонимные группы, предлагающие услуги по пробиву данных. Среди них встречаются и такие, что обещают доступ в закрытые базы данных МВД, ФСБ и банков.

Я решил проверить, что конкретно предлагают в телеграм-каналах. В одном из них продавец откровенно сообщил, что получает информацию напрямую от работников банка. За отдельную плату можно даже заблокировать чей-нибудь банковский счет.

Сделать тестовый заказ я не рискнул: покупка такой информации уголовно наказуема. За незаконное собирание сведений о частной жизни лица, составляющих его личную или семейную тайну, можно получить штраф — до 200 000 Р , а можно и лишиться свободы на срок до 2 лет. Если бы я оплатил заказ и получил информацию, отвечать пришлось бы уже за сам факт.

ст. 317 УК РФ — нарушение неприкосновенности частной жизни

Что в итоге

Связываться с нелегальными источниками информации я не рекомендую. Если продавец информации будет гарантировать точность и рассказывать про свои коррупционные связи в банках, правоохранительных органах и органах власти, то перед вами точно мошенник.

При покупке информации на черном рынке никогда нет никаких гарантий. Закон о защите прав потребителей там не работает. Человек может рассказывать, что покупает информацию у работников ведущих банков, — а потом получить деньги и скрыться. А может продать вымышленные данные — и у покупателя не будет никакой возможности проверить их достоверность.

Покупка информации из открытых источников — это не нарушение закона. Но если не жалко времени, то проверку можно сделать и бесплатно. Другое дело, что в любом случае нет гарантии достоверности и актуальности данных. Если от них многое зависит, лучше посоветоваться с юристом — он подскажет, как лучше поступить в вашей ситуации.

Мнение редакции может не совпадать с мнением автора.

Если сталкивались с подозрительными предложениями, пишите. Прищуримся.

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.


Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения". Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ "цель" указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.


О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России. Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.


***

При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект 1 , разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса. Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.

1 С текстом законопроекта № 992331-7 "О внесении изменений в Федеральный закон "О персональных данных"" и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Читайте также: