Ответ подготовлен
Службой правового консалтинга компании РУНА
Ответ:
В соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ каждая организация обязана издать документ, определяющий ее политику в отношении обработки персональных данных, локальный акт по вопросам обработки персональных данных, а также локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Но должны быть и иные локальные акты, направленные на соблюдение требований закона и прав граждан, в том числе работников организации.
Небольшая компания может ограничиться, например, таким составом документов:
- положение о персональных данных;
- приказ о назначении ответственных за работу с персональными данными;
- приказ о назначении ответственных за обеспечение безопасности персональных данных;
- заявления работников о согласии на обработку персональных данных.
Однако такой минимальный набор документов может иметь место лишь в случае, когда компания обрабатывает только данные собственных сотрудников и не передает персональные данные третьим лицам.
У компаний, деятельность которых непосредственно связана с персональной информацией о гражданах, число внутренних документов, регулирующих порядок работы с этой информацией, может достигать нескольких десятков. Какого-либо исчерпывающего перечня документов, который гарантировал бы отсутствие претензий, не существует.
Стоит отметить, что п. 2 ст. 22 Федерального закона № 152-ФЗ содержит перечень исключений, когда направлять уведомление оператор не обязан. В частности, таким исключением является обработка персональных данных в рамках трудовых отношений. Таким образом, если обработка происходит только в пределах кадрового документооборота и третьим лицам эти сведения не передаются, оператор не обязан подавать уведомление.
Порядок проведения проверок регламентирован Приказом Минкомсвязи РФ от 14.11.2011 № 312. Данный документ предписывает в ходе проведения проверки истребовать и проанализировать:
- уведомление об обработке персональных данных;
- документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в службу или ее территориальный орган;
- документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных;
- письменное согласие субъекта персональных данных на обработку его персональных данных;
- документы, подтверждающие соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных;
- документы, подтверждающие уничтожение оператором персональных данных субъектов по достижении цели обработки;
- локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.
Кроме того, должно проводиться обследование информационной системы персональных данных, в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.
Что касается срока давности привлечения к ответственности, то в соответствии с ч. 1 ст. 4.5 КоАП РФ постановление по делу об административном правонарушении не может быть вынесено по истечении 2 месяцев (по делу об административном правонарушении, рассматриваемому судьей, — по истечении 3 месяцев) со дня совершения административного правонарушения.
Однако ввиду того, что нарушения Закона о персональных данных могут иметь длящийся характер, точкой отсчета срока давности следует считать день, когда должностное лицо, уполномоченное составлять протокол об административном правонарушении, выявило факт совершения правонарушения.
За непредставление или несвоевременное представление уведомления оператором ст. 19.7 КоАП РФ предусмотрена административная ответственность в виде предупреждения или штрафа для должностных лиц — от 300 до 500 рублей, для юридических лиц — от 3 до 5 тыс. рублей.
Но эта санкция далеко не единственная и не самая крупная, административная ответственность за нарушения в сфере защиты персональных данных предусмотрена ст. 5.39, 13.11, 13.14, 19.7 КоАП РФ.
С июля 2017 года в ст. 13.11 КоАП было выделено 7 самостоятельных составов нарушений, предусматривающих различные размеры штрафов.
Помимо этого законодательством предусмотрена и уголовная ответственность (ст. 137, 272 УК РФ) за неправомерные действия с информацией, касающейся частной жизни граждан, а также за неправомерный доступ к охраняемой законом компьютерной информации.