Требования к работе с персональными данными

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 №13-ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях». Теперь Роскомнадзор сможет самостоятельно, без участия прокуратуры, штрафовать за нарушение правил хранения и обработки персональных данных.

Изменения затрагивают практически все бизнес-сообщество, взаимодействующее с персональными данными физических лиц, в том числе не обходят стороной и предприятия турбизнеса.

Федеральный закон №152-ФЗ «О персональных данных» дает определение, что персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Также в Законе (п. 3 ст. 3) указаны требования к обработке персональных данных, под которыми понимаются любые действия или операции с персональными данными, совершаемые с использованием или без использования средств автоматизации.

Юридическое агентство «Персона Грата» обращает внимание специалистов турбизнеса, что, что каких-либо специальных требований к предприятиям турбизнеса законодательством РФ в области работы с персональными данными не установлено, однако есть нюансы, на которые следует обращать внимание. 


В Постановлении Правительства РФ №452 «Об утверждении Правил оказания услуг по реализации туристского продукта» говорится, что компания-исполнитель туристских услуг принимает необходимые меры по обеспечению безопасности информации о полученных исполнителем в процессе оказания услуг персональных данных потребителя, в том числе при их обработке и использовании, и действует в соответствии с Законом о персональных данных.

Закон №152-ФЗ (п. 6 ст. 5) же уточняет, что при обработке персональных данных должны быть обеспечены их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор (т.е. тот, кто имеет дело с персональными данными) должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Не допускается:
- обработка персональных данных, несовместимая с целями их сбора (п. 2 ст. 5 Закона №152-ФЗ);
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (п. 3 ст. 5 Закона №152-ФЗ).


Согласно п.1 ст.22 Закона №152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных п.2 ст.22 этого Закона.

Уполномоченным органом в этом случае является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

То есть, все компании, которые в той или иной степени имеют дело с персональными данными (в Законе они обозначены как Операторы), должны уведомлять Роскомнадзор о своем намерении работать с персональными данными.

Процедура уведомления является бесплатной. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления о соответствующей обработке уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

 
В силу п. 7 ст. 5 Закона №152-ФЗ хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.


Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. В случае получения согласия от представителя субъекта персональных данных оператор проверяет его полномочия на дачу согласия от имени этого субъекта.

Таким образом, независимо от того, что оператор использует данные в целях исполнения заключенного договора, он обязан получить согласие субъекта на передачу сведений третьим лицам.

Согласно п. 4 ст. 9 Закона №152-ФЗ в случаях, предусмотренных данным Законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. 

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Согласие на передачу личных данных третьим лицам включается в текст договора на оказание соответствующих услуг.


В п.1 данного Положения указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без применения средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Соответственно, если персональные данные клиентов обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения №687).

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Закона №152-ФЗ).


Есть ряд условий, соблюдение которых является обязательным для целей передачи персональных данных через границу РФ и при их обработке.

Статья 12 Закона №152-ФЗ закрепляет, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с данным Законом и может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- предусмотренных международными договорами РФ;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.


В силу ст.17 Закона №152-ФЗ, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований данного Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.


Лица, виновные в нарушении требований Закона №152-ФЗ, несут предусмотренную законодательством РФ ответственность (п.1 ст.24 №152-ФЗ).

Федеральный закон от 07.02.2017 №13-ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях», который вступает в силу с 1 июля 2017 года, расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов.

Существенно ужесточена административная ответственность в сфере персональных данных, а вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться по совокупности нарушений до 300 000 руб.

На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:

- за неправомерный отказ в предоставлении гражданину и (или) организации информации, определенной федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ). Исключением из данной нормы являются случаи, перечисленные в ст. 7.23.1 КоАП РФ;
- за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);

- за разглашение информации, доступ к которой ограничен законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

С 1 июля 2017 года статья 13.11 КоАП РФ излагается в новой редакции, на нее следует обратить особое внимание.

Статья 13.11. КоАП РФ Нарушение законодательства Российской Федерации в области персональных данных
в ред. Федерального закона от 07.02.2017 №13-ФЗ)

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, - влечет предупреждение или наложение административного штрафа на должностных лиц - от 5 тысяч до 10 тысяч рублей; на юридических лиц - от 30 тысяч до 50 тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, - влечет наложение административного штрафа на должностных лиц - от 10 тысяч до 20 тысяч рублей; на юридических лиц - от 15 тысяч до семидесяти 75 тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа на должностных лиц - от 3 тысяч до 6 тысяч рублей; на индивидуальных предпринимателей - от 5 тысяч до 10 тысяч рублей; на юридических лиц - от 15 тысяч до 30 тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, - влечет предупреждение или наложение административного штрафа на должностных лиц - от 4 тысяч до 6 тысяч рублей; на индивидуальных предпринимателей - от 10 тысяч до 15 тысяч рублей; на юридических лиц - от 20 тысяч до 40 тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, - влечет предупреждение или наложение административного штрафа на должностных лиц - от 4 тысяч до 10 тысяч рублей; на индивидуальных предпринимателей - от 10 тысяч до 20 тысяч рублей; на юридических лиц - от 25 тысяч до 45 тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния - влечет наложение административного штрафа на должностных лиц - от 4 тысяч до 10 тысяч рублей; на индивидуальных предпринимателей - от 10 тысяч до 20 тысяч рублей; на юридических лиц - от 25 тысяч до 50 тысяч рублей.

- за разглашение информации, доступ к которой ограничен законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (статья 13.14 КоАП РФ).


Для туристических компаний, которые намерены самостоятельно приводить документы в соответствие с требованиями законодательства, специалисты Юридического агентства «Персона Грата» разработали 
Памятку для турфирм по исполнению требований и необходимых действий по исполнению ФЗ «О защите персональных данных».

Также мы готовы предложить своим клиентам пакет документов «Защита персональных данных», который значительно сократит сроки адаптации документации Вашей компании к нормам Закона.

В комплект документов для турфирм входят 43 документа, принятие которых будет способствовать выполнению значительной части требований Федерального закона №152-ФЗ «О персональных данных», в том числе положение о персональных данных, инструкции пользователей, модель угроз ИСПДн, приказы, отражающие ход работ, акт классификации ИСПДн, положение о разграничении прав доступа и другие документы.

Подготовка пакета документов «Защита персональных данных» предполагает индивидуальную разработку с учетом особенностей работы Вашей турфирмы.

Стоимость комплекта документов:
- Типовой набор документов для предприятий с небольшими объемами обрабатываемых персональных данных, с количеством работников до 10 человек включительно – от 10 000 рублей.
- Типовой набор документов для туроператоров, а также турагентов – от 20 000 рублей
- Типовой набор документов с индивидуальной доработкой документов – от 30 000 рублей.

Специалисты ЮА «Персона Грата» помогут Вам быстро и грамотно привести документы компании в соответствие с требованиями Федерального Закона №152-ФЗ «О персональных данных».

Все документы мы готовим непосредственно для процессов обработки персональных данных в турбизнесе, а не предлагаем универсальные шаблоны, как это делают многие в целях экономии. Это касается и документов по персональным данным, получаемых с сайта компании. 

Порядок работы, сроки и стоимость услуг вы можете обсудить с юристами  ЮА «Персона Грата» по телефону +7 (495) 921-3047 или отправить запрос по адресу travelexpert@list.ru


Обратная связь

Введите символы изображенные на картинке

перезагрузить код

Все поля обязательны для заполнения