Защита персональных данных 2022: рекомендации для ТО и ТА
С 1 июля 2022 года ужесточается ответственность за нарушения при взаимодействии с персональными данными. О том, что нужно сделать и какие документы разработать, чтобы не получить штраф — в нашем материале.
Разобраться в этом вопросе помогут эксперты ЮК Александра Байбородина.
С 1 июля 2022 года ст.13.11. КоАП РФ будет действовать в новой редакции. Федеральным законом № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017 года были внесены изменения в ст.13.11 КоАП РФ — «Нарушение законодательства Российской Федерации в области персональных данных».
Был расширен перечень оснований для привлечения к административной ответственности в области защиты персональных данных, а также увеличены размеры административных штрафов. Вместо единственного вида административной ответственности, описанного в ст.13.11 КоАП РФ, появится семь.
До 1 июля 2017 года максимальная сумма штрафа, предусмотренная ст.13.11 КоАП РФ составляла 10 000 рублей. За различные нарушения в сфере персональных данных предусмотрены разные штрафы. А с 1 июля 2017 года максимальная сумма штрафа составляет 75 000 рублей.
В случае если в ходе проведения проверки Роскомнадзор выявит несколько правонарушений по разным составам, то, соответственно, количество штрафов может значительно увеличиваться, так как ряд составов административных правонарушений предусматривают штрафы 30 000 — 50 000 рублей.
Для исполнения ФЗ «О защите персональных данных» необходимо выполнить следующий список действий и требований:
1. Уведомить Роскомнадзор о намерении обрабатывать персональные данные.
Порядок действий:
- заполнить уведомление на сайте Роскомнадзора через специальную форму (https://rkn.gov.ru/personal-data/forms/notification/).
- распечатать заполненную форму;
- подписать распечатанную форму и направить в территориальный орган Роскомнадзора по месту нахождения Оператора (юридического лица или ИП).
Порядок заполнения формы указан в «Рекомендации по заполнению формы уведомления об обработке персональных данных».
2. Соблюдать принципы обработки персональных данных.
Принцип 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
Пример: Оператор (Туроператор и/или турагент) не получили от туриста или иного заказчика туристского продукта, имеющего полномочия передать Оператору персональные данные туристов. А также, и письменное согласие на обработку персональных данных субъектов персональных данных — туристов (фамилию, имя, отчество, адрес регистрации, номер и иные реквизиты документа, удостоверяющего личность туристов), и приступил к бронированию туристских услуг и сообщил указанные сведения исполнителям услуг.
Принцип 2. Кстати, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Более того, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Пример: Турист предоставил контактный номер телефона и/или электронной почты для экстренной связи или для получения документов, необходимых для получения туристских услуг. То есть, а туроператор или турагент используют данные контакты для рассылки рекламных предложений.
Принцип 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Пример: База данных «Зарплата и управление персоналом» предназначенная для автоматизации кадрового учета. А также, и расчета заработной платы Оператора. Кстати, это не подлежит совмещению с базами данных, в которые Оператор (турагент или туроператор) заносит сведения о туристах.
Принцип 4. Несомненно, обработке подлежат только персональные данные, которые отвечают целям их обработки.
Пример: При формировании базы данных туристов, приобретающих туристский продукт, Оператора персональных данных (турагента или туроператора) не должны интересовать сведения об ИНН и СНИЛС туристов.
Остальные подробные примеры.
Принцип 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. А также, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Пример: Оператор персональных данных (турагент или туроператор) запросил у туристов сканы паспортов. А также, и свидетельства ИНН. Кстати, сканы указанных документов не требуются для выполнения обязательств в рамках исполнения обязательств по предоставлению туристских услуг. А именно, входящих в состав туристского продукта.
Принцип 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Кстати, оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Принцип 7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных. Однако, не дольше, чем этого требуют цели обработки персональных данных. Но если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.
3. Обрабатывать персональные данные.
Несомненно, только когда это предусмотрено Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г. Более того, обязательно соблюдая принципы и правила, установленные вышеуказанным законом.
4. Получить согласие на обработку персональных данных.
Кстати, именно от субъекта Ваших персональных данных.
5. Опубликовать на сайте документ, определяющий политику в отношении обработки персональных данных.
Безусловно, и сведения о реализуемых требованиях к защите персональных данных
6. Предоставить доступ к персональным данным.
А именно, субъектам персональных данных.
7. По требованию субъекта персональных данных уточнить, блокировать или уничтожить персональные данные.
А именно, субъекта персональных данных.
8. Обеспечить личную безопасность.
А именно, персональных данных при их обработке.
Безусловно, подробные пояснения к каждому пункту можно посмотреть здесь.
Кроме того, юристами ЮК Александра Байбородина подготовлен комплект документов «Защита персональных данных 2017», куда входит более 40 документов. Подробную информацию и консультацию можно получить здесь!
