Защита персональных данных в России: риски, связанные со сбором и обработкой персональных данных

Защита персональных данных в России: риски, связанные со сбором и обработкой персональных данных

Просмотров: 698

При осуществлении многих видов деятельности необходимо обрабатывать информацию о физических и юридических лицах: проверка анкетных данных физических лиц, принимаемых на работу; проведение комплексной проверки физических лиц при заключении договоров; создание баз данных; продвижение товаров и услуг (маркетинг) и так далее. Принятый в прошлом году Федеральный закон «О персональных данных» (далее – «Закон о персональных данных») внёс некоторые изменения, касающиеся указанных процедур. В связи с этим мы постараемся в этой статье обобщить положения российского законодательства о персональных данных и понять, что именно они означают для граждан и организаций (далее – «операторы»), осуществляющих обработку персональных данных.

Операторы, вступающие на российский рынок, сталкиваются с разнообразными нормативно-правовыми актами, регулирующими обработку персональных данных, а также множеством государственных органов, осуществляющих надзор в этой области. Несоблюдение указанных нормативно-правовых актов может повлечь за собой наложение штрафов, административное приостановление деятельности или освобождение от занимаемой должности. Поэтому обращение за помощью к юристу-консультанту, обладающему многолетним опытом работы на российском рынке труда, является практической необходимостью.

Отличие физических лиц от юридических лиц при обработке данных

При рассмотрении этого вопроса следует обратить внимание на две особенности. Первая связана с тем, что к физическим и юридическим лицам применяются разные своды правил. А вторая состоит в том, что одни данные можно получать без согласия их субъекта, а другие – только при наличии такого согласия.

Порядок обработки персональных данных физических лиц регулируется более сложным сводом правил. Законом предусмотрены случаи, когда получение согласия физического лица не требуется. В таких случаях операторы должны всего лишь подтвердить наличие у них основания для обработки данных. При этом в отдельных случаях получение письменного согласия всё-таки требуется.

Для получения данных у оператора должна быть цель обработки данных. Кроме согласия, также необходимо получить лицензию на осуществление деятельности по защите персональных данных. Однако требования к операторам не заканчиваются с выдачей этих документов государственными органами. Часто операторы обязаны подтверждать наличие у них необходимого оборудования, помещения и сотрудников для обработки данных. По окончании обработки данных они обязаны уничтожить или обезличить их.
Ещё один важный аспект – это требование к операторам исполнять ряд обязанностей при осуществлении обработки данных. К ним относятся обязанность предоставлять определённые сведения лицу, чьи данные подвергаются обработке, а также обязанность принимать необходимые организационные и технические меры для защиты данных.

В случае с юридическими лицами ситуация существенно упрощается. При выборе подрядчиков или, например, проведении их комплексной проверки операторы вправе использовать все виды открытых источников, такие как государственные реестры, официальные базы данных, средства массовой информации и так далее. Но при этом отдельные виды сведений о юридических лицах всё-таки остаются закрытыми. К ним относятся сведения, составляющие коммерческую или государственную тайну, а также определённые формы финансовой информации.

В целом, значительный объём сведений о юридических лицах можно найти в открытых источниках. Однако если доступ к определённым видам информации ограничен, то попытки получить её могут повлечь за собой уголовную ответственность.

Каковы основные опасности для оператора?

Следует помнить, что ненадлежащая обработка персональных данных может повлечь за собой соответствующую ответственность. В России существует ряд регулирующих органов, осуществляющих надзор в этой области, и операторы могут быть привлечены к ответственности в случае несоблюдения положений Закона о персональных данных.

Отсутствие нормативно-правового соответствия может стать причиной ряда правонарушений, таких как нарушение правил защиты данных, неправомерные действия по защите данных, а также ненаправление уведомления об обработке персональных данных или нарушение сроков его направления. В таком случае наказание зависит от вида правонарушения. Законодательством предусматривается либо наложение штрафа в размере от 5 000 до 50 000 рублей, либо административное приостановление деятельности или освобождение от занимаемой должности.

В связи с этим осуществление на российском рынке деятельности по обработке данных операторами, незнакомыми с действующим российским законодательством об обработке данных, сопряжено с определённым риском. Принимая во внимание всю сложность и многообразие нормативно-правовых актов и требований, регулирующих обработку данных, нарушить их не составляет особого труда, если не уделять должного внимания их соблюдению. В связи с этим настоятельно рекомендуется обращаться за помощью к юристу-консультанту, обладающему многолетним опытом работы в области российского законодательства.

ДОПОЛНИТЕЛЬНЫЕ ЗАПРОСЫ:

Сотрудники Awara Group готовы провести дополнительную консультацию по вопросам защиты персональных данных, проверки анкетных данных физических лиц в связи с приёмом на работу и заключением договоров, а также по вопросам проведения комплексных проверок и создания баз данных.

Мы готовы предоставить свой сборник документов о защите данных и проведении проверок анкетных данных, в котором подробно рассматриваются данные вопросы, а также предоставляются конкретные рекомендации по любым указанным вопросам.

Если вы хотели бы обсудить эту статью, просим обращаться к её авторам:

Йон Хеллевиг, управляющий партнёр Awara Group
LinkedIn:
Эл. почта:

Артём Усов, партнёр Awara Group
LinkedIn:
Эл. почта:

Юридическая Консультация в Москве