Персональные данные 152-ФЗ для бизнеса полный гид
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» определяет порядок работы с персональной информацией юридических лиц и индивидуальных предпринимателей на территории РФ. Соблюдение требований ст. 6, ст. 8–9, ст. 22 ФЗ-152 является обязательным для большинства бизнес-процессов: от найма сотрудников до передачи данных третьим лицам.
Определение персональных данных
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому/определяемому физическому лицу (субъекту). В п. 1 ст. 3 ФЗ-152 перечислены категории: фамилия, имя, отчество, адрес, номер телефона, СНИЛС, e-mail, биометрия, IP-адрес и иные сведения, позволяющие идентифицировать человека.
Юридическое лицо признаётся оператором персональных данных с момента, когда оно собирает или обрабатывает такую информацию для любой из целей (п. 3 ст. 3). Для обработки ПДн оператор обязан соблюдать требования к организационным и техническим мерам защиты: назначить ответственного за организацию обработки ПДн, утвердить документ о локальных актах, организовать физический контроль доступа в помещения.
Порядок получения согласия на обработку
Согласно ч. 1 ст. 6 ФЗ-152, согласие требуется для большинства операций с персональными данными (за исключением установленных законом случаев). Согласие должно быть:
- оформлено в письменной форме;
- конкретным (указана цель);
- информированным и субъектом данных подписан.
Для обработки биометрии (п. 1 ч. 1 ст. 6) необходимо получить отдельное письменное согласие, если иное не предусмотрено ФЗ (например, для исполнения трудового договора). Срок действия согласия — до отзыва в письменной форме (ч. 2 ст. 9); отзыв оформляется уведомлением оператора за 7 дней.
Требования к трансграничной передаче
Если оператор намерен передать персональные данные на хранение или обработку иностранному лицу (за пределы ЕАЭС), он обязан обеспечить их адекватную защиту и получить предварительное согласие субъекта, если оно требуется по закону страны-адресата.
В соответствии с ч. 4 ст. 12 ФЗ-152, трансграничная передача возможна только в случае, если это не нарушает законодательство РФ. Для передачи данных в страны ЕАЭС достаточно соблюдения национального законодательства (ЕЭАС, технический регламент ТР ТС). В остальных случаях необходимо наличие решения Правительственной комиссии либо включение иностранного оператора в перечень разрешённых.
Ответственность за нарушения: размеры штрафов
Соблюдение ФЗ-152 контролируют Роскомнадзор и прокуратура. Нарушение требований по обработке или защите персональных данных влечет денежный штраф:
- для должностных лиц: от 10 тыс. до 60 тыс. руб.;
- для юридических лиц: от 30 тыс. до 70 тыс. руб., а при повторном нарушении — от 100 тыс. до 250 тыс. руб.;
- за непредоставление информации по запросу Роскомнадзора или нарушение сроков — от 5 тыс. до 10 тыс. руб.
Нарушение требований к согласию (ст. 13.11 КоАП РФ) влечет штраф: для юрлиц в первый раз — от 250 до 450 тыс. руб., повторно — до 750 тыс. руб.
Локальные документы и реестр операторов
Сведения об операторе, видах обработки, целях, категориях ПДн должны быть зафиксированы во внутреннем документе «Политика в отношении обработки персональных данных» (ст. 18.1). На портале Роскомнадзора оператор обязан внести сведения о себе в Реестр операторов по обработке персональных данных; отсутствие в реестре при наличии признаков деятельности оператора — самостоятельное правонарушение.
Что важно запомнить
- Персональные данные — это не только ФИО и паспорт, но и любые идентифицирующие признаки (телефон, e-mail, СНИЛС).
- По умолчанию оператор обязан получить письменное согласие для любой обработки ПДн, кроме случаев, прямо установленных в законе или трудовом договоре.
- Для трансграничной передачи — проверка на соответствие критериям ЕАЭС либо наличие решения Правительственной комиссии.
- Минимальный штраф за нарушение ст. 13.11 КоАП РФ: 250 тыс. руб., при повторе — до 750 тыс. руб.; также возможна блокировка сайта Роскомнадзором.
- Необходимо вести Политику по ПДн, назначить ответственного и внести данные в реестр операторов до начала обработки; отсутствие реестра — самостоятельное нарушение.
Для минимизации рисков рекомендуется провести аудит текущих операций с ПДн, актуализировать локальные акты и проверить наличие всех необходимых разрешений на передачу данных.