Защита персональных данных 2017: рекомендации для ТО и ТА
С 1 июля 2017 года ужесточается ответственность за нарушения при взаимодействии с персональными данными. О том, что нужно сделать и какие документы разработать, чтобы не получить штраф — в нашем материале.
Разобраться в этом вопросе помогут эксперты ЮК Александра Байбородина.
С 1 июля 2017 года ст.13.11. КоАП РФ будет действовать в новой редакции. Федеральным законом №
Был расширен перечень оснований для привлечения к административной ответственности в области защиты персональных данных, а также увеличены размеры административных штрафов. Вместо единственного вида административной ответственности, описанного в ст.13.11 КоАП РФ, появится семь.
До 1 июля 2017 года максимальная сумма штрафа, предусмотренная ст.13.11 КоАП РФ составляла 10 000 рублей. За различные нарушения в сфере персональных данных предусмотрены разные штрафы. А с 1 июля 2017 года максимальная сумма штрафа составляет 75 000 рублей.
В случае если в ходе проведения проверки Роскомнадзор выявит несколько правонарушений по разным составам, то, соответственно, количество штрафов может значительно увеличиваться, так как ряд составов административных правонарушений предусматривают штрафы 30 000 — 50 000 рублей.
Для исполнения ФЗ «О защите персональных данных» необходимо выполнить следующий список действий и требований:
1. Уведомить Роскомнадзор о намерении обрабатывать персональные данные.
Порядок действий:
-
заполнить уведомление на сайте Роскомнадзора через специальную форму (https://rkn.gov.ru/personal-
data/forms/notification/). - распечатать заполненную форму;
- подписать распечатанную форму и направить в территориальный орган Роскомнадзора по месту нахождения Оператора (юридического лица или ИП).
Порядок заполнения формы указан в «Рекомендации по заполнению формы уведомления об обработке персональных данных».
2. Соблюдать принципы обработки персональных данных.
Принцип 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
Пример: Оператор (Туроператор и/или турагент) не получили от туриста или иного заказчика туристского продукта, имеющего полномочия передать Оператору персональные данные туристов, письменное согласие на обработку персональных данных субъектов персональных данных — туристов (фамилию, имя, отчество, адрес регистрации, номер и иные реквизиты документа, удостоверяющего личность туристов), и приступил к бронированию туристских услуг и сообщил указанные сведения исполнителям услуг.
Принцип 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Пример: Турист предоставил контактный номер телефона и/или электронной почты для экстренной связи или для получения документов, необходимых для получения туристских услуг, а туроператор или турагент используют данные контакты для рассылки рекламных предложений.
Принцип 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Пример: База данных «Зарплата и управление персоналом» предназначенная для автоматизации кадрового учета и расчета заработной платы Оператора, не подлежит совмещению с базами данных, в которые Оператор (турагент или туроператор) заносит сведения о туристах.
Принцип 4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Пример: При формировании базы данных туристов, приобретающих туристский продукт, Оператора персональных данных (турагента или туроператора) не должны интересовать сведения об ИНН и СНИЛС туристов.
Принцип 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Пример: Оператор персональных данных (турагент или туроператор) запросил у туристов сканы паспортов, свидетельства ИНН. Сканы указанных документов не требуются для выполнения обязательств в рамках исполнения обязательств по предоставлению туристских услуг, входящих в состав туристского продукта.
Принцип 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Принцип 7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.
3. Обрабатывать персональные данные, только когда это предусмотрено Федеральным законом №
4. Получить согласие на обработку персональных данных от субъекта персональных данных.
5. Опубликовать на сайте документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных
6. Предоставить доступ к персональным данным субъектам персональных данных.
7. По требованию субъекта персональных данных уточнить, блокировать или уничтожить персональные данные субъекта персональных данных.
8. Обеспечить безопасность персональных данных при их обработке.
Подробные пояснения к каждому пункту можно посмотреть здесь.
Кроме того, юристами ЮК Александра Байбородина подготовлен комплект документов «Защита персональных данных 2017», куда входит более 40 документов. Подробную информацию и консультацию можно получить здесь.