З 1 липня зросли штрафи за порушення обробки особистих даних працівників, тому варто навести лад у документах та проінструктувати персонал. Докладніше про роботу з персональними даними з 1 липня 2017 року – у цій статті.

Персональні дані - це будь-яка інформація, що стосується конкретного співробітника. Наприклад, П. І. О., дата та місце народження, місце проживання та ін. Роботодавець - організація або ІП - у цьому випадку виступає оператором даних , які йому стають відомі про співробітника, та зобов'язаний зберігати такі відомості відповідно до встановленого порядку.

Особисті дані роботодавцю повідомляють самі працівники. Після таких відомостей, як правило, узагальнюються в особистих картках або справах. Якщо ж персональні відомості можна отримати від третіх осіб, про це слід повідомити працівника і отримати від нього письмову згоду (п. 3 ч. 1 ст. 86 ТК РФ).

Роботодавці не мають права отримувати та обробляти персональні дані, які не належать до трудової діяльності, наприклад відомості про особисте або сімейне життя. А поширювати та розкривати персональні дані третім особам можна лише за згодою працівника (ст. 7 Федерального закону від 27.07.2006 № 152-ФЗ).

З 1 липня 2017 року запроваджено нові штрафи за порушення вимог обробки та захисту персональних даних. Тому слід навести лад у документах та проінструктувати підлеглих, щоб компанія та особисто головбух уникли штрафів.

Обробка персональних даних з 1 липня 2017 року

Основне завдання роботодавця – захист персональних даних співробітників. Порядок отримання, обробки, передачі та зберігання персональних даних має бути закріплений у локальному акті організації, наприклад, у Положенні про обробку персональних даних працівників (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 закону № 152-ФЗ) .

В організації має бути офіційно призначений співробітник, який відповідає за роботу з персональними даними (ч. 5 ст. 88 ТК РФ). Це може бути, наприклад, працівник відділу кадрів.

Організація повинна вживати необхідних заходів для захисту персональних даних від неправомірного чи випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження. Заходи безпеки при обробці персональних даних детально прописані у статті 19 закону № 152-ФЗ. Нагадаємо про них.

Для забезпечення персональної безпеки необхідно своєчасно визначати загрози безпеці при обробці, застосовувати надійні засоби захисту та оцінювати ефективність захисту, вживати заходів для запобігання незаконному доступу до даних, встановити правила доступу до даних, реєструвати та вести облік усіх дій при роботі з даними.

З 1 липня 2017 року розширено перелік підстав, за якими роботодавець притягне до адміністративної відповідальності , якщо з'ясується, що порушено порядок роботи з даними. Зміни вніс Федеральний закон від 07.02.2017 №13-ФЗ. Розкажемо про них докладніше.

Замість одного виду адміністративної відповідальності, який був раніше. Тепер стаття 13.11 КоАП РФ передбачає сім пунктів. Шість із них стосуються організацій та ІП. Тобто за різні порушення роботодавців під час роботи з персональними даними можна буде застосовувати різні штрафи.

Приклади помилок обробки персональних даних із 1 липня 2017 року

Залишили документи з особистими даними на столі . Штраф за це порушення – 50 тис. рублів на компанію, 10 тис. рублів на головбуха (ч. 6 ст. 13.11 КпАП РФ). Залишати документи працівників на загальний огляд не можна. Інформацію про співробітника можуть скористатися сторонніми.

Потрібно розробити порядок роботи з персональною інформацією. Наприклад, заборонити залишати на столі папери з особистими даними та виносити їх за межі кабінету. А документи зберігати у сейфі чи шафі, де доступ до них буде обмежений.

Не видали працівникові документи з його даними . Приховування від людини його персональних даних – теж порушення. Штраф - 50 тис. рублів на організацію, 5 тис. рублів на головбуха (ст. 5.27 КоАП РФ).

Видавайте працівникам розрахункові листки. Для цього тепер навіть не треба витрачатися на папір. Можна надіслати листки на електронну пошту або повідомленням на корпоративному сайті вашої організації. Відомості про стаж видавайте протягом 5 календарних днів з моменту, коли по них звернеться працівник, а також у день звільнення.

Не оновили старі дані . Штраф складе 45 тис. рублів на компанію, 10 тис. рублів - на головбуха (ч. 5 ст. 13.11 КпАП РФ). Дані працівника можуть змінюватися, тому їх треба оновлювати на прохання працівника. Наприклад, співробітниця вийшла заміж та змінила прізвище, адресу чи реквізити рахунку. Якщо компанія не оновить інформацію, порушить правила роботи з даними.

Відразу вносите нові відомості до бази, якщо співробітник приніс документи. Так вам буде простіше заповнювати звітність.

Розмістили інформацію на стенді . Штраф - 75 тис. рублів на організацію, 20 тис. рублів на головбуха (ч. 2 ст. 13.11 КоАП РФ). Особисті дані можна розкрити випадково. Наприклад, головбух розмістив на стенді копію заяви співробітника на майновий вирахування як зразок. У документі особисті реквізити, тож це порушення. Співробітник не давав згоди, щоб інформація про нього стала загальнодоступною. Розміщувати інформацію не можна і на дошці ганьби. І тому необхідно запитати згоду працівника.

Не розголошуйте інформацію про співробітників без згоди. Якщо потрібно вивісити зразок, використовуйте вигадані відомості.

Передали ім'я, адресу або номер телефону співробітника . Ціна порушення - 50 тис. рублів на організацію, 10 тис. рублів на головбуха (ч. 1 ст. 13.11 КоАП РФ). Інформацію про співробітників заборонено передавати третій стороні без згоди, наприклад, банкам або колекторським агентствам. Щоб надіслати інформацію, запитайте згоду працівника.

Передавати інформацію про співробітника на прохання іншої організації чи «фізика» можна, лише якщо працівник видав їм доручення отримання відомостей. Згода працівника на обробку даних не потрібна лише у випадках, передбачених законом. Наприклад, якщо працівник купує щось у компанії та хоче отримати на пошту або телефон електронний чек (лист Мінкомзв'язку Росії від 07.07.2017 № П11-15054-ОГ).

З 1 липня 2017 року суттєво посилено відповідальність за порушення при взаємодії з персональними даними фізичних осіб. Це випливає із положень Федерального закону від 07.02.2017 № 13-ФЗ). Зміни торкнуться всіх без винятку роботодавців, які пов'язані з обробкою персональних даних працівників та підрядників-фізичних осіб. Більше того, можна сказати, що поправки стосуються практично всієї бізнес-спільноти, що взаємодіє у персональних даних фізичних осіб (наприклад, власників сайтів, які збирають персональні дані відвідувачів). Як підготуватись до змін? Чи збільшаться штрафи? Хто виявлятиме порушення в обробці персональних даних? Давайте розумітися.

Персональні дані: особлива інформація

Персональні дані працівників – це будь-яка інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного співробітника (п. 1 ст. 3 Федерального закону від 27 липня 2006 року № 152-ФЗ «Про персональні дані»).

У роботодавця (організації чи ІП) персональні дані працівників найчастіше узагальнюються в їх особистих картках та особистих справах. При цьому майже кожен менеджер готелю кадрів або HR-фахівець знає, що персональні дані допускається отримувати лише особисто від працівників. Якщо персональні відомості можна отримати лише від третіх осіб, то російське законодавство зобов'язує повідомити про це працівника і отримати від нього письмову згоду (пункт 3 частини 1 статті 86 Трудового кодексу РФ).

Роботодавці не мають права отримувати та обробляти персональні дані, які не належать безпосередньо до трудової діяльності людини. Тобто, збирати відомості, скажімо, про віросповідання співробітників – не можна. Адже така інформація представляє собою особисту чи сімейну таємницю і ніяк не може бути пов'язана з виконанням трудових обов'язків (пункт 4 частини 1 статті 86 Трудового кодексу РФ).

Отримавши персональні дані, роботодавець в силу вимог законодавства зобов'язаний їх не поширювати і не розкривати третім особам без згоди працівника (ст. 7 Федерального закону від 27 липня 2006 року № 152-ФЗ).

Під персональними даними можна розуміти будь-яку інформацію, що прямо чи опосередковано відноситься до певної фізичної особи (суб'єкта персональних даних) – пункт 1 статті 3 Федерального закону від 27 липня 2006 року № 152-ФЗ. Прикладами такої інформації може бути прізвище, ім'я, по батькові, дата та місце народження, місце проживання тощо.

Як роботодавець зобов'язаний захищати персональні дані

З метою захисту та обмеження доступу до персональних даних роботодавець повинен забезпечити якісну та сучасну систему їхнього захисту. Як це зробити? Це питання вирішує кожен роботодавець самостійно. При цьому порядок отримання, обробки, передачі та зберігання персональних даних повинен бути закріплений у локальному акті організації, допустимо у Положенні про обробку персональних даних працівників (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закону від 27 липня 2006 р. № 152-ФЗ).

Також у роботодавця має бути офіційно призначений працівник, який відповідає за роботу з персональними даними (ч. 5 ст. 88 ТК РФ). Їм може бути, наприклад, працівник відділу кадрів, які взаємодіють із особовими справами, отримує згоди працівників на обробку, веде картки співробітників тощо.

Перевірки роботодавця з питань обробки ним персональних даних проводять підрозділи Роскомнагляду. Наказом Мінкомзв'язку Росії від 14.11.2011 № 312 затверджено Адміністративний регламент виконання Роскомнаглядом функцій щодо здійснення державного контролю (нагляду).

Яка відповідальність застосовується до роботодавців

За порушення порядку отримання, обробки, зберігання та захисту персональних даних співробітників передбачена дисциплінарна, матеріальна, адміністративна та кримінальна відповідальність (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закону від 27 липня 2006 р. № 152-ФЗ). Розберемо кожну із цих видів відповідальності.

Дисциплінарна відповідальність

До дисциплінарної відповідальності порушення при роботі з персональними даними можна притягнути до відповідальності працівників, які з трудових відносин повинні дотримуватися правил роботи з індивідуальними даними, але порушили їх (ст. 192 ТК РФ). Тобто притягнути до відповідальності можна, наприклад, менеджера відділу кадрів, якому доручено відповідну роботу. За дисциплінарний провина збору, обробки та зберігання персональних даних роботодавець може покарати свого працівника, застосувавши до нього одне з таких стягнень (ч.1 ст. 192 ТК РФ):

• зауваження;
• догана;
• звільнення.

Матеріальна відповідальність

Матеріальна відповідальність працівника може настати, якщо у зв'язку з порушенням правил роботи з персональними даними організації завдано прямої дійсної шкоди (ст. 238 ТК РФ). Припустимо, що відповідальний працівник відділу кадрів припустився грубого порушення – поширив персональні дані співробітників у мережі Інтернет. Працівники, дізнавшись про це, подали на роботодавця до суду, який ухвалив: «виплатити потерпілим працівникам грошову компенсацію – 50 000 рублів кожному». У такій ситуації роботодавець може покласти на винного співробітника відділу кадрів обмежену матеріальну відповідальність у межах його середнього місячного заробітку (ст. 241 ТК РФ). Стягнення заподіяної шкоди можна здійснити за розпорядженням керівника не пізніше одного місяця з дня остаточного встановлення розміру заподіяної співробітником шкоди. Якщо місячний термін минув, то стягнути збитки доведеться через суд. Такий порядок передбачено у статті 248 Трудового кодексу РФ.

Читайте також Хто має проводити інструктаж з ГО та НС

При повної матеріальної відповідальності співробітник повинен буде повністю відшкодувати організації всю суму шкоди, що виникла у зв'язку з порушеннями у сфері персональних даних (ст. 242 та 243 ТК РФ). Однак, як правило, на працівників, відповідальних за обробку персональних даних, повну матеріальну відповідальність не покладають.

Дисциплінарну та матеріальну відповідальність роботодавець (наприклад, комерційна організація) застосовує виключно на власний розсуд. Державні контролюючі органи (зокрема., Роскомнагляд) у процесі участі не беруть.

Адміністративна відповідальність

За порушення порядку збору, зберігання, використання або розповсюдження персональних даних роботодавця та посадових осіб контролюючі органи можуть притягнути до адміністративної відповідальності у вигляді штрафів, які можуть становити:

• для посадових осіб (наприклад, генерального директора, головного бухгалтера, кадровика чи індивідуального підприємця): від 500 до 1000 рублів;
• для організації: від 5000 до 10000 рублів.

Окремий (самостійний) штраф для посадових осіб за розголошення персональних даних у зв'язку з виконанням службових чи професійних обов'язків становить від 4000 до 5000 рублів. Такі заходи відповідальності описані у статтях 13.11 та 13.14 Кодексу РФ про адміністративні правопорушення.

Кримінальна відповідальність

Кримінальна відповідальність для директора, головного бухгалтера або начальника відділу кадрів компанії або іншої особи, яка відповідає за роботу з персональними даними, може наступити за незаконні дії:

• збирання або розповсюдження відомостей про приватне життя співробітника, що становлять його особисту чи сімейну таємницю, без його згоди;
• поширення відомостей про працівника у публічному виступі, що публічно демонструється творі або ЗМІ.

За такі порушення щодо поводження з персональними даними допускаються такі заходи кримінальної відповідальності:

• штраф до 200 000 рублів (або у розмірі доходів засудженого за період до 18 місяців);
• обов'язкові роботи терміном до 360 годин;
• виправні роботи терміном до року;
• примусові роботи терміном до двох років із позбавленням права обіймати певні посади чи займатися певної діяльністю терміном до трьох років чи ні такого;
• арешт терміном до чотирьох місяців;
• позбавлення волі на строк до двох років із позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років.

Ті ж діяння, вчинені особою з використанням свого службового становища, караються жорсткіше:

• штрафом від 100 000 до 300 000 руб. (або у розмірі доходів засудженого за період від одного до двох років);
• позбавленням права обіймати певні посади або займатися певною діяльністю терміном від двох до п'яти років;
• примусовими роботами на строк до чотирьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до п'яти років або без нього;
• арештом терміном від чотирьох до шести місяців;
• позбавленням волі терміном до чотирьох років із позбавленням права обіймати певні посади чи займатися певної діяльністю терміном до п'яти (стаття 137 Кримінального кодексу РФ).

Що зміниться з 1 липня 2017 року

Федеральний закон від 07.02. 2017 р. № 13-ФЗ розширив перелік підстав для притягнення роботодавця до адміністративної відповідальності в галузі захисту персональних даних, а також збільшив розміри адміністративних штрафів. Цей закон набирає чинності з 1 липня 2017 року. Відразу скажемо, що адміністративна відповідальність у сфері персональних даних значно посилена. У цьому важливо таке: замість єдиного виду адміністративної відповідальності, описаного у статті 13.11 КоАП РФ, з'явиться сім. Таким чином, за різні порушення роботодавців у сфері персональних даних можна буде застосовувати різні штрафи. Якщо порушення за різними складами виявлять декілька, то відповідно кількість штрафів може збільшуватися. Пояснимо нові склади правопорушень детальніше.

Порушення 1: обробка персональних даних у «інших» цілях

З 1 липня 2017 року обробка персональних даних у випадках, що не передбачені законодавством, або обробка персональних даних, несумісна з цілями збору персональних даних - самостійні види адміністративного порушення (ч. 1 ст. 13.11 КпАП РФ). Наведемо приклад: організація-роботодавець збирає персональні дані працівників та передає ці дані стороннім компаніям у рекламних цілях (передаються ПІБ, телефони, регіони проживання, рівень доходу). Потім рекламні фірми починають розсилати працівникам на телефон, e-mail та домашні адреси різноманітний спам та рекламні пропозиції. Якщо в таких діях роботодавця не буде виявлено кримінальний склад злочину, то можна буде застосувати адміністративну відповідальність. З 1 липня 2017 року адміністративне покарання може бути таким:

• чи попередження;
• чи штрафи.

Порушення 2: обробка персональних даних без згоди

Обробка персональних даних роботодавцем, за загальним правилом, можлива лише за письмовою згодою працівників. Така згода повинна включати наступну інформацію (частини 4 статті 9 Закону від 27 липня 2006 р. № 152-ФЗ):

• ПІБ, адреса співробітника, реквізити паспорта (іншого документа, що засвідчує його особу), у тому числі відомості про дату видачі документа та орган, що його видав;
• найменування або ПІБ та адресу роботодавця (оператора), який отримує згоду співробітника;
• мету обробки персональних даних;
• перелік персональних даних, на обробку яких надається згода;
• найменування або ПІБ та адресу особи, яка здійснює обробку персональних даних за дорученням роботодавця, якщо обробка буде доручена такій особі;
• перелік дій із персональними даними, на вчинення яких дається згоду, загальний опис використовуваних роботодавцем способів обробки персональних даних;
• термін, протягом якого діє згода співробітника, і навіть спосіб його відкликання, якщо інше встановлено федеральним законом;
• підпис працівника.

З 1 липня 2017 року обробка персональних даних без згоди працівника у письмовій формі, або якщо письмова згода не містить зазначених вище відомостей - це самостійне адміністративне порушення, передбачене у частині 2 статті 13.11 КоАП РФ. За нього можливі штрафні санкції:

Порушення 3: доступ до політики обробки персональних даних

Оператор персональних даних (наприклад, роботодавець або інтернет-сайт) зобов'язаний опублікувати або іншим чином забезпечити необмежений доступ до документа, що визначає його політику щодо обробки персональних даних, до відомостей про вимоги до захисту персональних даних, що реалізуються. Оператор, який здійснює збір персональних даних в Інтернеті (наприклад, через сайт), зобов'язаний опублікувати в Інтернеті документ, що визначає його політику щодо обробки персональних даних, та відомості про реалізовані вимоги до захисту персональних даних, а також забезпечити можливість доступу до зазначеного документа. Це передбачено пунктом 2 статті 18.1 Закону від 27 липня 2006 р. № 152-ФЗ.

З виконанням цього обов'язку практично стикаються багато користувачів мережі Інтернет. Так, наприклад, коли ви залишаєте якусь заявку на сайтах і вказуєте свої ПІБ та e-mail, то можете звернути увагу на посилання на такі документи: «Політика обробки персональних даних», «Положення про обробку персональних даних» тощо . Однак варто визнати, що деякі сайти цим нехтують і жодного посилання не наводять. І виходить, що людина залишає заявку на сайті, не знає, з якою метою сайт збирає персональні дані.

Деякі роботодавці також на своїх сайтах виставляють наявні вакансії та пропонують кандидатам заповнити форму «Про себе». У таких випадках інтернет-сайт також має забезпечити доступ до «Політики обробки персональних даних».

З 1 липня 2017 року в частині 3 статті 13.11 КоАП РФ виділено самостійний склад правопорушення – невиконання оператором обов'язку щодо публікації або надання необмеженого доступу до документа з політикою з обробки персональних даних або відомостями щодо їх захисту. Відповідальність за цією статтею може виглядати як попередження чи адміністративні штрафи:

Порушення 4: приховування інформації

Суб'єкт персональних даних (тобто фізична особа, кому належать ці дані) має право на отримання інформації щодо обробки її персональних даних, у тому числі містить (ч. 7 ст. 14 Закону від 27 липня 2006 р. № 152-ФЗ) :

1. підтвердження факту обробки персональних даних оператором;
2. правові підстави та цілі обробки персональних даних;
3. цілі та застосовувані оператором способи обробки персональних даних;
4. найменування та місце знаходження оператора, відомості про осіб (за винятком працівників оператора), які мають доступ до персональних даних або яким можуть бути розкриті персональні дані на підставі договору з оператором або на підставі федерального закону;
5. оброблювані персональні дані, які стосуються відповідного суб'єкту персональних даних, джерело їх отримання, якщо інший порядок подання таких даних передбачено федеральним законом;
6. терміни обробки персональних даних, зокрема терміни їх зберігання;
7. порядок здійснення суб'єктом персональних даних прав, передбачених цим Законом;
8. інформацію про здійснену або про передбачувану транскордонну передачу даних;
9. найменування або прізвище, ім'я, по батькові та адресу особи, яка здійснює обробку персональних даних за дорученням оператора, якщо обробку доручено або буде доручено такій особі;
10. інші відомості, передбачені Федеральним законом чи іншими федеральними законами.

Тетяна Гежа,
головний експерт-консультант ТОВ «ТЛС-ПРАВО»

З 01.07.2017 суттєво підвищилася відповідальність за порушення при обробці персональних даних. Федеральний закон від 07.02.2017 № 13-ФЗ «Про внесення змін до Кодексу Російської Федерації про адміністративні правопорушення» вніс зміни до статті 13.11 КоАП РФ. Нова редакція містить диференційовану шкалу штрафних санкцій, запроваджується сім нових складів правопорушень. До відповідальності притягуватимуться не лише організації, а й посадові особи. Крім тих організацій, які обробляють персональні дані фізичних осіб - клієнтів, ці зміни, безумовно, стосуються і всіх роботодавців, які обробляють персональні дані своїх працівників. Ми розглянемо деякі ситуації з практики, які роботодавця можуть притягнути до відповідальності.

Персональні дані працівників

Відповідно до ст. 3 Федерального закону від 27.07.2006 № 152-ФЗ «Про персональні дані», персональні дані - це будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних), тобто це будь-яка інформація про людину, за якою його можна ідентифікувати. У тому числі: П.І.Б., рік, місяць, дата та місце народження, адреса, сімейний стан, освіта, професія, доходи та інша інформація.
Для того щоб ідентифікувати людину, часом достатньо мати прізвище, ім'я та по батькові та якусь додаткову інформацію, наприклад, П.І.Б. та номер телефону. І тут можна ідентифікувати особистість.
Якщо ж, наприклад, є лише електронна адреса та телефон, то ідентифікувати особу навряд чи вийде.
Найчастіше персональні дані, з якими мають справу кадровики, бухгалтери, - це прізвище, ім'я, по батькові, рік, місяць, дата та місце народження, адреса, номер телефону, сімейний стан, освіта, професія.

Чи потрібно брати згоду на обробку персональних даних під час прийому на роботу?

Під час укладання трудового договору відповідно до ст. 65 ТК РФ роботодавець одержує від працівника великий перелік персональних даних. До них, зокрема, належать: дані документа, що засвідчує особу, СНІЛЗ, трудова книжка, дані про освіту, документи військового обліку тощо. Усе це персональні дані працівника.
Оскільки працівник виступає стороною трудового договору, отримувати згоду на обробку його персональних даних під час укладання трудового договору не потрібно (п. 5 ст. 6 Закону від 27.07.2006 № 152-ФЗ «Про персональні дані».) Також на це вказує Роскомнагляд у своїх Роз'ясненнях «Питання щодо обробки персональних даних працівників, претендентів на заміщення вакантних посад, а також осіб, які перебувають у кадровому резерві».

Чи має право роботодавець, отримавши персональні дані працівника під час укладання трудового договору, зберігати в особистій справі копії паспортів, військових квитків, дипломів тощо?

Якщо кадрова служба зберігає у особових справах співробітників копії паспорта, військового квитка, Роскомнагляд під час проведення перевірки, може притягти роботодавця до відповідальності відповідно до ч. 1 ст. 13.11 КоАП РФ за обробку надлишкових персональних даних працівника у випадках, не передбачених законодавством РФ у сфері персональних даних.
За це юридична особа може бути покладено штраф у розмірі від 30 000 до 50 000 руб., а на посадову особу - від 5 000 до 10 000 руб.
Цей висновок підтверджується судовою практикою (див. Постанову ФАС Північно-Кавказького округу від 21.04.2014 р. у справі № А53-13327/2013).
У цій Постанові зокрема зазначено: «…суд апеляційної інстанції зробив правильний висновок про те, що для ідентифікації особи при прийомі на роботу достатньо прізвища, імені та по батькові, за умови пред'явлення особою документа, що засвідчує особу, в якій містяться всі необхідні відомості.
Зберігання копій паспорта, сторінок військового квитка, свідоцтва про укладення шлюбу, свідоцтва про народження дитини на робочому місці перевищує обсяг оброблюваних персональних даних працівника та чинним законодавством не передбачено, це порушує права та свободи громадянина, знижує рівень прав та гарантій працівника,
суперечить федеральному законодавству.
Під час проведення перевірки зроблено правильний висновок про те, що «організація<…>здійснює обробку надлишкових персональних даних, порівняно з тими, що визначені до заявлених цілей їх обробки, що є порушенням ч. 5 ст. 5 Закону №152-ФЗ».

Чи зобов'язана організація, яка орендує офіс у будівлі, де діє пропускний режим, направляючи сторонній організації персональні дані працівників з метою видачі їм перепусток на прохід до будівлі, отримувати від них дозвіл на передачу таких даних третім особам?

Відповідно до ст. 88 ТК РФ роботодавець не повинен повідомляти персональні дані працівника третій стороні без письмової згоди працівника, за винятком випадків, коли це необхідно з метою попередження загрози життю та здоров'ю працівника, а також в інших випадках, передбачених ТК РФ або іншими федеральними законами.
У своєму Листі від 13.05.2011 № 1302-6-1 Роструд роз'яснює, що якщо обробкою персональних даних працівників займається організація, яка не є стороною трудових відносин, передача персональних даних працівників даної організації для подальшої обробки повинна здійснюватися з дотриманням обмежень, встановлених ст. 88 ТК РФ.
Це означає, що з оформлення перепусток організація має отримувати від працівників дозвіл на передачу їх персональних даних третій особі - сторонньої організації.
А якщо ні, то до організації можуть застосувати ч. 2 ст. 13.11 КоАП РФ: обробка персональних даних без згоди в письмовій формі суб'єкта персональних даних на обробку його персональних даних у випадках, коли така згода має бути отримана відповідно до законодавства РФ у сфері персональних даних<…>тягне за собою накладення адміністративного штрафу<…>на посадових осіб – від 10 000 до 20 000 руб.; на юридичних - від 15 000 до 75 000 руб.

Оформлення особистої картки працівника

При прийомі працювати роботодавець зобов'язаний оформити на працівника особисту картку формою Т-2. Чи необхідно для її оформлення брати згоду із родичами працівника на обробку їх персональних даних?
Відповідно до Роз'яснень Роскомнагляду обробка персональних даних близьких родичів працівника в обсязі, передбаченому уніфікованою формою № Т-2, затвердженою Постановою Держкомстату РФ від 05.01.2004 № 1 «Про затвердження уніфікованих форм первинної облікової документації з обліку праці та її оплати», або випадках, встановлених законодавством РФ (отримання аліментів, оформлення допуску до державної таємниці, оформлення соціальних виплат) непотрібен.
В інших випадках отримання згоди близьких родичів працівника є обов'язковою умовою опрацювання їх персональних даних, інакше також можливе притягнення до відповідальності відповідно до ч. 2 ст. 13.11 КпАП РФ.

Кадровий та бухгалтерський облік здійснюється сторонньою організацією. Чи потрібно брати згоду від працівників на обробку їхніх персональних даних?

Відповідно до Роз'яснень Роскомнагляду при залученні сторонніх організацій для ведення кадрового та бухгалтерського обліку роботодавець зобов'язаний дотримуватись вимог, встановлених ч. 3 ст. 6 Федерального закону «Про персональні дані», зокрема одержати згоду працівників на передачу їх персональних даних. Інакше можливе притягнення до відповідальності роботодавця відповідно до ч. 2 ст. 13.11 КпАП РФ.

Що необхідно вказати у згоді на обробку персональних даних?

Відповідно до ч. 2 ст. 13.11 КоАП РФ роботодавця можуть притягнути до відповідальності за обробку персональних даних з порушенням встановлених законодавством РФ у сфері персональних даних вимог до складу відомостей, що включаються за згодою у письмовій формі суб'єкта персональних даних на обробку його персональних даних.
Згода співробітника на обробку персональних даних має бути оформлена письмово. Роботодавцю має сенс розробити та затвердити як додаток до положення про персональних працівників бланк згоди працівника на обробку та передачу його персональних даних.
Вимоги щодо змісту письмової згоди встановлено ч. 4 ст. 9 Закону №152-ФЗ «Про персональні дані».

У згоді слід зазначити:
П.І.Б., адреса працівника, реквізити документа, що засвідчує його особу, включаючи дату видачі та відомості про орган, що його видав;
при отриманні згоди від представника працівника - його П.І.Б., адреса, реквізити документа, що засвідчує його особу, включаючи дату видачі та відомості про орган, що його видав, реквізити довіреності або іншого документа, що підтверджує повноваження представника;
найменування або П.І.Б. та адресу роботодавця;
мету обробки персональних даних;
перелік персональних даних, що підлягають обробці;
П.І.Б. та адресу особи або найменування організації, що здійснюють обробку персональних даних за дорученням роботодавця, якщо вона доручена такій особі чи організації;
перелік дій з персональними даними, на вчинення яких працівником надано згоду, загальний опис способів їх обробки;
строк, протягом якого діє згода працівника на обробку його персональних даних, та спосіб відкликання згоди;
підпис працівника.

Чи потрібно розробляти положення щодо персональних даних працівників?

Відповідно до ст. 87 ТК РФ порядок зберігання та використання персональних даних працівників встановлюється роботодавцем з дотриманням вимог ТК РФ та інших федеральних законів.
Роботодавець повинен визначити політику організації щодо обробки персональних даних, а також видати локальний акт, у якому буде встановлено порядок обробки, зберігання та захисту персональних даних працівників (пп. 2 п. 1 ст. 18 Закону № 152-ФЗ «Про персональні дані») ).
Це означає, що роботодавець повинен видати локальний нормативний акт, в якому він пропише весь порядок, що регулює питання зберігання та використання персональних даних, а також забезпечує захист останніх від їх неправомірного використання чи втрати.
З відповідним актом, а також зі своїми правами у сфері захисту персональних даних працівники мають бути ознайомлені під розпис.
Необхідність затвердження такого документа підтверджується судовою практикою (див., наприклад, Постанова ФАС Московського округу від 26.10.2006 № КА-А40/10220-06).

Приблизна структура положення може бути такою:

1) «Загальні положення» - у цьому розділі слід зазначити, з якою метою приймається це Положення та які питання воно регулює;
2) «Основні поняття. Склад персональних даних працівників» - тут слід зазначити, які документи в організації містять персональні дані;
3) «Обробка персональних даних» - у цьому розділі слід зазначити, які умови мають бути дотримані під час обробки персональних даних працівника;
4) «Передача персональних даних» - тут слід прописати порядок передачі персональних даних працівників усередині організації, а також стороннім особам та державним органам;
5) «Доступ до персональних даних» - у цьому розділі має бути інформація про порядок доступу до персональних даних працівників. Доступ ділиться на внутрішній (надання персональних даних окремим працівникам організації) та зовнішній (передача персональних даних представникам інших організацій та державних органів);
6) «Відповідальність порушення норм, регулюючих обробку і захист персональних даних» - у розділі слід зазначити, хто у організації відповідає за порушення правил зберігання та використання персональних даних.
Відсутність розробленого в організації порядку зберігання та використання персональних даних працівників розцінюється як порушення вимог ст. 87 ТК РФ і, утворює склад адміністративного правопорушення, передбаченого ст. 5.27 КпАП РФ. (Див., наприклад, Рішення Верховного суду Республіки Карелія від 11.04.2014 у справі № 21-153/2014).

З 1 липня 2017 року посилено адміністративну відповідальність за порушення законодавства в галузі персональних даних та їх обробку.

УВАГА!

Наразі перевірочні дії в Інтернет держструктурами ведуться дуже активно, штрафи значні та обчислюються сумарно за кожним порушенням.

Уважно вивчіть цю статтю або скористайтеся нашими послугами з усіх необхідних заходів.

Федеральний закон від 07.02.2017 N 13-ФЗ "Про внесення змін до Кодексу Російської Федерації про адміністративні правопорушення"

Для цього він новою редакцією статті 13.11 КоАП РФ розширено перелік складів правопорушень, і навіть збільшено розміри штрафів.

Так, зокрема, встановлено адміністративну відповідальність за:

Обробку персональних даних у випадках, не передбачених законодавством у сфері персональних даних, або обробку персональних даних, несумісну з цілями збору персональних даних, якщо ці дії не містять кримінального діяння (потягне попередження або накладення штрафу на громадян у розмірі від 1000 рублів до 3000 рублів) , На посадових осіб - від 5000 рублів до 10000 рублів, на юридичних осіб - від 30000 рублів до 50000 рублів);

Обробку персональних даних без згоди в письмовій формі суб'єкта персональних даних на обробку його персональних даних у випадках, коли така згода має бути отримана відповідно до законодавства, якщо ці дії не містять кримінального діяння, або обробку персональних даних з порушенням встановлених законодавством у сфері персональних даних даних вимог до складу відомостей, що включаються за згодою у письмовій формі суб'єкта персональних даних на обробку його персональних даних;

Невиконання оператором передбаченого законодавством у сфері персональних даних обов'язки щодо опублікування або забезпечення іншим чином необмеженого доступу до документа, що визначає політику оператора щодо обробки персональних даних, або відомостей про реалізовані вимоги до захисту персональних даних;

Невиконання оператором передбаченого законодавством у сфері персональних даних обов'язку щодо надання суб'єкту персональних даних інформації щодо обробки його персональних даних.

Упорядкування протоколів з адміністративних справ цієї категорії віднесено до компетенції посадових осіб Роскомнадзора (раніше справи цієї категорії порушувалися прокурором).

У колишній редакції статті 13.11 КоАП РФ було встановлено відповідальність лише порушення порядку збору, зберігання, використання чи поширення інформації про громадян (персональних даних), яка передбачала попередження чи накладення штрафу громадян у розмірі від 300 рублів до 500 рублів, на посадових осіб - від 500 рублів до 1000 рублів, на юридичних - від 5000 рублів до 10000 рублів.

Як дотримуватись закону про персональні дані 2017 року

До уваги власників сайту! З 1 липня штрафи за порушення закону про персональні дані збільшаться до 75 тисяч рублів (за одне виявлене порушення).

У Вас є контактна форма на сайті?

Значить, швидше за все, це стосується і вас. Прокуратури вже штрафують компанії та суди їх підтримують. Крім штрафів на користь держави за порушення правил обробки персональних даних може бути також стягнуто компенсацію моральної шкоди та визначено іншу відповідальність.

Правила безпеки під час роботи з персональними даними

У лютому 2017 року внесено поправки до статті 13.11 КоАП щодо порушень закону про персональні дані, які набудуть чинності 1 липня. Нововведення торкнуться всіх, хто отримує, збирає, обробляє чи зберігає персональні дані.

Штрафи збільшено в десятки разів та поділено за видами порушень. Так, якщо на сайті не розміщено політику конфіденційності, то штраф для ІП становитиме 10 тисяч рублів, а для компанії – 30 тисяч. До 75 тисяч рублів становитиме штраф для юросіб, якщо за допомогою сайту обробляються персональні дані клієнта інтернет-магазину або передплатника на інформаційний ресурс без його згоди (директор компанії чи ІП повинен буде заплатити до 20 тисяч).

І т.д. Якщо буде зафіксовано кілька порушень, штрафів також буде кілька.

Що робити? Терміново привести сайти до ладу! Перевірки вже розпочалися

Наразі протоколи про порушення має право виписувати лише прокуратура, і розмір штрафу незалежно від виду порушення становить для юрособи 10 тисяч рублів, а для ІП чи директора – 1000 рублів. З 1 липня вже відповідно до вищих ставок і, мабуть, більш завзято, виписувати протоколи буде Роскомнагляд.

Як дізнатися, чи ви є тим самим оператором персональних даних?

Персональні дані згідно з Федеральним законом «Про персональні дані» — це будь-які дані про людину, за якими її можна ідентифікувати. При цьому закон не містить переліку типів таких даних, тому доводиться виходити із загальної логіки закону і практики, і «дути на воду». Наприклад, на ім'я користувача чи логіну не можна зрозуміти, що це за людина, то на ім'я і телефону або ПІБ та електронною поштою вже можна певним чином ідентифікувати людину, а отже отримання подібного поєднання вже може визначатися як збір та зберігання персональних даних.

Отже, швидше за все, ви вже є оператором персональних даних, якщо якимось чином отримуєте від людей, наприклад, наступну інформацію (у будь-якому поєднанні): прізвище, ім'я, по батькові, якусь фізичну адресу, електронну пошту, номер телефону, дату чи місце народження, фото, посилання на персональний сайт чи соцмережі, професію, освіту, рівень доходів, сімейний стан тощо.

На практиці це означає, що всі власники сайтів, які містять особисті кабінети, форми зворотного зв'язку, підписки або реєстрації, анкети і т.д., одним словом форми, що заповнюються, де відвідувач повинен залишити свої дані — це оператори персональних даних. Навіть якщо на сайті є лише популярні нині кнопки замовлення зворотного дзвінка (користувач залишає ім'я та номер телефону) або відправлення повідомлення (ім'я та електронна адреса) – це також може бути кваліфіковано як обробка персональних даних.

А записи у моїй телефонній книжці теж вважаються збором та зберіганням персональних даних?

Ні. На дані, які ви зберігаєте для особистих та сімейних потреб, цей закон не поширюється. Але якщо ви передасте ці дані особі чи організації, яка згідно із цим законом є оператором персональних даних або опублікуєте відомості, це вважатиметься порушенням.

Як працювати із персональними даними, не порушуючи закон?

Як мінімум необхідно виконати та дотримуватися 10 нижченаведених правил:

• публікувати у відкритому доступі всю інформацію про ваші принципи взаємодії та роботи з персональними даними клієнтів та відвідувачів вашого підприємства чи ресурсу;
• запитувати ті дані, які необхідні кожної конкретної мети. Наприклад, не можна запитувати паспортні дані або домашню адресу для здійснення розсилки електронною поштою;
• перед отриманням персональних даних, які передбачається публікувати у загальнодоступних джерелах, отримувати письмову згоду кожного відвідувача, клієнта чи передплатника з їхньої обробку, зберігання та поширення. У разі, якщо дані не публікуються, а використовуються виключно для обробки всередині компанії, необхідно явно обмежити можливість передачі вам персональних даних без згоди на їх обробку;
• використовувати дані тільки для тих цілей, про які ви попередили людину та які вказані в опублікованих вами документах, що стосуються роботи з персональними даними;
• повідомляти на запит людини, які у вас є дані про неї, як і для чого вони обробляються і кому ви їх передавали;
• видаляти дані на першу вимогу особи, персональні дані якої зберігаються у вашій базі;
• зберігати бази даних у надійному місці, захищати їх від злому та витоку (Вимоги визначені законодавством!);
• призначити особу, відповідальну за забезпечення безпеки персональних даних та дотримання певних ФЗ N152 правил роботи з персональними даними;
• навчити співробітників працювати з персональними даними;
• зареєструватися в Роскомнагляді.

Відповідно до Закону обов'язок надати доказ отримання згоди суб'єкта персональних даних на обробку його персональних даних або доказ наявності підстав, зазначених у Законі, покладається на оператора.

Чому власник сайту має реєструватися?

За законом оператори персональних даних повинні повідомити Роскомнагляд. Причому зробити це потрібно до початку обробки даних або незабаром після початку цієї діяльності. Роскомнагляд внесе інформацію про оператора до Реєстру операторів персональних даних.

Повідомлення можна не подавати, якщо:

• обробляються лише дані працівників;
• персональні дані отримані тільки для виконання конкретного договору з конкретною людиною і не поширюватимуться і не використовуватимуться ніяк інакше;
• у вас зберігаються тільки ПІБ клієнта;
• дані опубліковані у загальному доступі самою людиною або кимось або за її дорученням.

Що робити, якщо ваш сайт містить форми та дозволяє отримувати персональні дані?

Якщо ваш сайт дає можливість отримувати персональні дані і ви досі не виконали вищезазначені умови, то вже зараз може бути зафіксовано порушення і вже зараз вас можуть оштрафувати. Навіть якщо ваш сайт обслуговується іншою компанією або фахівцем на аутсорсингу, штраф буде виписаний на компанію або ІП, які вказані на сайті як власник і, отже, одержувач персональних даних.

Як уникнути можливих проблем (необхідна програма-мінімум):
1) Підготуйте публічні документи та розмістіть їх на сайті так, щоб вони були доступні з будь-якої сторінки вашого сайту. Це може бути повідомлення, угода користувача, правила продажу або політика щодо обробки персональних даних.
Як би не називався цей документ, він має містити правила та умови обробки персональних даних.

2) Не використовуйте документи інших компаній без обробки. Їх можна використовувати як шаблон, але список даних та цілі використання персональних даних необхідно прописати свої. Те, що потрібна друкарня для оформлення замовлення або інтернет-магазину для доставки товару, не знадобиться для e-mail розсилки. Запит зайвих даних може бути розцінений як порушення закону та стати приводом для штрафу.

3) Реалізуйте програмне рішення, яке гарантує однозначне встановлення того, що людина погодилася на обробку персональних даних. Це може бути чек-бокс у формі реєстрації, в якому необхідно поставити галочку, або кнопка згоди з умовами використання без активації яких людина не зможе відправити повідомлення або оформити замовлення.
Для підстрахування можна завірити у нотаріуса роздруковані скріншоти веб-сторінок з формами, прокоментувавши їх супровідним текстом (наприклад, «на момент завірення вказані на даній роздруківці кнопки працювали згідно з описаним у преамбулі функціоналу і без їх активації пересилання даних було технічно неможливим».

4) Підготуйте внутрішні документи, що регламентують правила зберігання та обробки персональних даних, та відповідальності працівників, які мають до них доступ.

5) Відправте, якщо сайт підпадає під вимоги Закону, повідомлення до Роскомнагляду. Якщо повністю впевнені, що відправлення повідомлення не потрібне, оформіть всю документацію так, щоб це було явно зрозумілим і можливим перевіряльником. Наприклад, можна вказати в політиці роботи з персональними даними, що вони використовуються лише для виконання конкретних договорів, або зафіксувати в документації, що дані відкриті для загального доступу за бажанням користувача (але пам'ятайте, що доведення цього факту Закон покладає на оператора).

З 1 липня 2017 року набули чинності жорсткіші заходи покарання у сфері порушень законодавства про персональні дані (стаття 13.11. КоАП РФ). Для юридичних штрафи зростуть з 10 000 до 75 000 рублів.

До кого це стосується?

Ця стаття застосовна до компанії, якщо вона:

• Є форма заявки чи особистий кабінет на сайті.
• Маркетологи або менеджери користуються такими інструментами, як e-mail розсилки, sms-розсилки, обдзвонення клієнтської бази.
• Зберігається у вигляді клієнтська база з персональними даними.

Тобто. ця норма стосується практично всіх діючих бізнесів. Крім цього, закон поширюється і на роботодавців, які отримують відомості від працівників за трудовими договорами та договорами цивільно-правового характеру.

Що потрібно робити?

Зареєструватися в РОСКОМНАДЗОРІ

Якщо ви обробляєте персональні дані (далі ПДн) з метою:

• Виконання зобов'язань за договором і при цьому не поширюєте та не передаєте ПДН третім особам без згоди суб'єкта ПДн.
• Організації одноразової перепустки суб'єкта ПДн на територію, на якій знаходиться оператор.
• Дотримання трудового законодавства.
• А також, якщо ви обробляєте загальнодоступні дані.

цей пункт не для вас, можна переходити до наступного.

Якщо ви використовуєте інструменти е-mail або sms-розсилок, регулярно обдзвонюєте клієнтів і т.п. - то вам необхідно зареєструватися в реєстрі операторів, які здійснюють обробку персональних даних на сайті Роскомнагляду. Це процедура безкоштовна. Щоправда, ніхто не гарантує, що зібрана база операторів не буде використана Роскомнаглядом для планомірної перевірки останніх вимог закону.

Дотримуватись вимог обробки ПДН, а саме:

• Обробляти ПДн лише з сумісними цілями збору цих даних, тобто. обробка даних повинна бути лише за призначенням (наприклад, при реєстрації в особистому кабінеті варто здійснювати збір паспортних даних лише в тому випадку, якщо цього вимагає галузеве законодавство).
• Отримати згоду використання персональних даних.
• Опублікувати у відкритому доступі політику обробки ПДН та відомості про реалізовані вимоги до захисту ПДн.
• Інформувати клієнтів (на їх запит), у тому, як використовуються (обробляються) їх ПДн.
• Виконувати вимоги клієнтів щодо уточнення ПДН, їх блокування чи знищення. Це необхідно, коли ПНн є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої обробки.
• Забезпечити збереження матеріальних носіїв ПДН, крім несанкціонованого доступу, їх знищення, зміна, блокування, копіювання тощо.
• Зберігати ПДН біля Російської Федерації.

Забезпечити безпеку передачі та зберігання даних

Однією з основних вимог нового закону є забезпечення безпеки передачі, зберігання та використання персональних даних. Але у тексті статті законодавці обмежилися загальними формулюваннями, поставивши посилання на рекомендації ФСБ

Спробуймо розібратися докладніше. Весь процес передачі та зберігання даних можна умовно поділити на 4 зони.

Зона 1

Коли користувач заходить на ваш сайт і заповнює на ньому форму заявки, реєструється або заходить до особистого кабінету, його особисті дані надсилаються на сервер вашого сайту. Якщо це відбувається через незахищений протокол http, особливо у відкритих wi-fi мережах, дані відносно просто перехоплюються зловмисниками.

Проблема вирішується настроюванням на вашому домені захищеного протоколу https. Після цієї процедури дані передаються у зашифрованому вигляді і вже слабко піддаються перехопленню.

Зона 2

Усі особисті дані користувача передаються на сервер (хостинг) вашого сайту.

Як забезпечити безпеку цієї зони:

• Підписати зі співробітником, відповідальним за адміністрування та доопрацювання сайту, угоду про нерозголошення.
• Зобов'язати зберігати паролі від CMS та хостингу у зашифрованому вигляді.
• Забезпечити захист від brute force злому (перебір паролів) доступу до хостингу та CMS.

Зона 3

З сервера вашого сайту дані зазвичай передаються до CRM-системи (інформаційна система персональних даних, ІСПДн). Ця зона зазвичай не піддається атакам, але вона повинна бути захищена шифруванням трафіку з використанням сертифікованих засобів криптографічного захисту інформації.

Зона 4

Безпосередньо захист вашого сервера, де розгорнуто CRM-систему. Захистити цю зону дозволить:

• Використовувати процедуру оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку.
• Визначити коло співробітників, які працюють з CRM-системою.
• Визначити рівні доступу до системи.
• Підписати з ними угоду про нерозголошення.
• Зобов'язати зберігати паролі у зашифрованому вигляді.

Отримання згоди використання персональних даних

Згоду користувача можна отримати двома способами – письмово на паперовому носії та в електронному вигляді. Розглянемо другий спосіб, як простіший і найчастіше використовуваний.

Отримання згоди можна поділити на два рівні

1. Згода на обробку тільки в рамках, необхідних для надання послуг (виконання умов договору),
2. Згода на подальше комерційне використання даних (розсилки тощо).

Зазвичай у першому випадку як вираз згоди користувачем використовується постановка галочки в «чекбоксі», під яким є посилання на сторінку (або текст) політики використання конфіденційних даних компанії.

На ній докладно описано, що дані збираються лише з метою виконання договору, а постановка галочка потрібна згідно із законом. Подальше проходження форми реєстрації (заявки) неможливе без постановки галочки, що, швидше за все, і буде доказом отримання згоди.

У другому випадку (комерційне використання даних) бажано зробити підтвердження згоди щодо системи double opt-in,при якій користувач не тільки погоджується на обробку персональних даних, вказуючи свій e-mail та висловлюючи таким чином зацікавленість у ній, а й спрямовує підтвердження із зазначеної адреси.

Об'єднувати перший та другий випадок вкрай не бажано. Тоді вам доведеться в політиці використання конфіденційних даних прописувати, що дані будуть використовуватися вами, у тому числі з маркетинговою метою. А це суперечить нормі закону про необхідність збору лише тих даних, які необхідні у рамках виконання договору чи надання послуги.

Виходячи з вищесказаного, нормальною практикою буде наступний алгоритм:

• При заповненні форми заявки/реєстрації на сайті користувач ставить першу галочку — згоду на обробку персональних даних лише в рамках, необхідних для виконання договору — та натискає кнопку «Надіслати» або «Зареєструватися».
• Після чого йому показується екран, де обіцянням усіляких вигод виманюється згода на комерційне використання даних.

Отримання згоди від існуючої бази клієнтів

Якщо ви не перейнялися згодою в минулому — необхідно це зробити. При e-mail розсилках зазвичай використовуються «вітальні листи». Такий лист розсилається по існуючій базі та містить:

• Текст звернення до клієнта. «Ми раніше намагалися вас не спамити, а надсилати тільки потрібну інформацію. Намагатимемося і надалі, але законодавство зобов'язує нас отримати вашу згоду на розсилку»
• Кнопка «Дякую, надсилайте»
• Кнопка «Відписатися»

Винятки для джерел збору персональних даних

Якщо ви зібрали свою базу з відкритих джерел, а до них належать соціальні. мережі, адресні книги, корпоративні сайти тощо, то хвилюватися не варто — вимоги закону до них не належать.

Як користувач може прибрати свої дані з бази

Якщо вас замучили щоденні дзвінки або sms від компаній, яких ви навіть не знаєте, або щогодинні листи, що захаращують вашу пошту, відмовитися від цього буде не просто.

Законодавці передбачили два варіанти змусити компанію видалити ваші дані зі своєї бази:

• Надіслати вашу вимогу на юридичну адресу компанії у паперовому вигляді поштою.
• Або надіслати вимогу в електронному вигляді, але для цього потрібно отримати кваліфікований електронний цифровий підпис. А це не швидко та не безкоштовно.

Інформація на тему

• Послуга підготовки документів під вимоги закону захисту персональних даних (ФЗ 152)
• Послуга з впровадження системи обробки персональних даних відповідно до вимог Регламенту (ЄС) N 2016/679 (GDPR)