Персональные данные. Защищать или не защищать.⁠⁠

Данная статья поможет определить, является ли ваша компания оператором персональных данных, стоит ли защищать персональные данные и что грозит за невыполнение требований законодательства.

Является ли ваша компания оператором персональных данных?

Согласно закону РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Другими словами, вы попадаете под действие этого закона, если:

1. Вашими клиентами являются физические лица и вы храните информацию о них.

2. Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

3. Ваша компания использует CRM или аналогичные системы.

Это справедливо для:

• большинства юридических фирм;

• абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);

• реестродержателей;

• бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;

• банков, МФО и других компаний финансового сектора, работающих с данными граждан;

• медицинских учреждений;

• магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);

• образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);

• ТСЖ и управляющих компаний в сфере ЖКХ;

• турагентств;

• третейских судов;

• и так далее.

Штрафы за нарушения законодательства

Основания для проверок

Условия для проведения внеплановых проверок:

1. Истечение срока исполнения предписания.

2. Обращения граждан (требует согласования с органами прокуратуры).

3. Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.

4. Поручения Президента и Правительства РФ.

5. Нарушения по итогам систематического наблюдения.

6. Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.

7. Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.

8. На основании требования прокуратуры.

Критерии включения в план проверок:

1. Трёхлетний период с момента окончания проведения последней плановой проверки.

2. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.

3. Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.

4. Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.

Источник