Защита персональных данных


Сбор персональных данных юридическими лицами и их последующая обработка – это распространенная в России практика. Некоторые организации делают это для собственных программ лояльности, другие таким образом формируют клиентскую базу. Цели вполне мирные, пока способ их реализации не начинает приносить сложности и проблемы.

Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ был принят более 10 лет назад, но функционирует до сих пор выборочно. Многие регулярно дают письменное согласие на обработку или хранение персональных данных. Организации объясняют это просто: нет возможностей соблюдать действующее законодательство, нет средств для обеспечения защиты. Решение должно быть простым: если у организаций нет способа обеспечения безопасности, значит и хранением данных о клиентах заниматься не стоит.

Можно выделить основные тезисы, касающиеся любого гражданина. Любые персональные данные принадлежат только их владельцу и даже получение информации о них допускается лишь с письменного согласия. Закон предусматривает исключения: в статье 6 перечислены организации, которым данное разрешение не требуется.

Если какое-либо юридическое лицо желает получить персональную информацию, оно должно:
•      Получить согласие владельца;
•      Аргументировать свое желание;
•      Иметь законные основания на обработку или хранение данных;
•      Обеспечить безопасность и конфиденциальность доступа.

Если организация не соответствует перечисленным пунктам, то в недельный срок оператор должен уничтожить персональную информацию и уведомить об этом владельца.

Помните, что любой сбор или обработка персональных данных возможны лишь при наличии конкретно поставленных целей, а не просто так. Если при оформлении дисконтной карты продавец магазина просит указать адрес, место работы или паспортные данные, то сбор такой избыточной информации незаконен. Юридическое лицо вполне можно привлечь к ответственности, ведь требуемые им данные не являются обязательными при оказании услуги.

Многие владельцы компаний и администраторы сайтов уже успели испытать на себе нововведения, которые предусматривают ужесточение ответственности за нарушение требований.

Увеличился размер штрафов, да и количество нарушений существенно возросло:
•      Максимальный штраф за нарушение законодательства в области сбора, обработки и хранения персональных данных увеличился с 10 до 75 тысяч рублей.
•      Если обработка данных не соответствует целям или вообще не предусмотрена законодательством, штраф может составить 50 000 рублей. Типичный пример – передача сторонним организациям клиентской базы для участия в рекламных кампаниях.
•      Обработка и хранение данных без письменного разрешения сотрудников чревато штрафом в размере до 75 тысяч рублей.
•      Все юридические лица обязаны открыть доступ к информации о политике работы компании в области обработки персональных данных. Самый простой вариант – разработать политику конфиденциальности и разместить ее на корпоративном интернет-сайте. Наказание за нарушение этого пункта предусмотрен штраф в 30 000 рублей.
•      Сокрытие данных карается в 40 000 рублей, причем поводом для этого может стать отказ в информации физическому лицу о проводимой политике в области персональных данных.
•      Согласно действующему законодательству организация по заявлению физического лица обязана блокировать, уточнять или уничтожать данные о физических лицах, причем делать это в соответствующий срок.
•      Нарушение конфиденциальности персональных данных приведет к штрафу в размере 50 000 рублей, причем этот пункт касается не только несанкционированного доступа или копирования, но и незаконного уничтожения информации.