Экзамен, кейс-вопрос, вариант 6

Болтушкин Леонид Станиславович, вариант 6

Какие положения законодательства были нарушены?

1. Нарушение уведомительного порядка: Согласно статье 22 «Уведомление об обработке персональных данных» ФЗ № 152 "О персональных данных", оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Исключения составляют случаи, перечисленные в части 2 статьи 22 (например, обработка осуществляется исключительно в целях исполнения договора, или обрабатываются данные работников и т.д.).

2. Нарушение прав субъекта персональных данных: По статье 14 «Право субъекта персональных данных на доступ к его персональным данным» этого же ФЗ №152 субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Часть 7:

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

Исключения из статьи 22 части 8:

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Какая ответственность накладывается за данное правонарушение?

Административная ответственность:

Часть 5 статьи 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ — обработка ПДн без надлежащего уведомления:

Первый раз:

Для физ.лиц: от 2000 до 4000 рублей

Для должностных лиц: от 8000 до 20.000 рублей

Для индивидуальных предпринимателей: от 20.000 до 40.000 рублей

Для юр.лиц: от 50.000 до 90.000 рублей

Если нарушение было зафиксировано не в первый раз, то административный штраф варьируется в других ценах:

Для физ.лиц: от 20.000 до 30.000 рублей

Для должностных лиц: от 30.000 до 50.000 рублей

Для индивидуальных предпринимателей: от 50.000 до 100.000 рублей

Для юр.лиц: от 300.000 до 500.000 рублей

Согласно ПП РФ №1119: 3. Должностными лицами, уполномоченными на осуществление федерального государственного контроля (надзора) за обработкой персональных данных, являются:

а) руководитель контролирующего органа;

б) заместитель руководителя контролирующего органа;

в) руководитель территориального органа контролирующего органа;

г) заместитель руководителя территориального органа контролирующего органа;

д) должностные лица контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий;

е) должностные лица территориального органа контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий.

Действия для устранения нарушения

1. Подача уведомления в Роскомнадзор (рисунок 1.1).

Рисунок 1.1 – Заявление в Роскомнадзор

• Необходимо немедленно подать уведомление о начале обработки персональных данных через официальный портал Роскомнадзора. Уведомление должно содержать:

• Цели обработки.

• Категории обрабатываемых данных.

• Описание мер по защите данных.

• Правовое основание обработки.

2. Внутренний аудит обработки данных:

   • Убедиться, что обработка персональных данных соответствует требованиям закона (ст. 5 закона № 152-ФЗ):

Статья 5:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

• Проверить наличие согласия субъектов на обработку данных (если необходимо).

• Убедиться в соблюдении принципов минимизации и ограничения доступа.

3. Ответ на жалобу субъекта ПДн:

   • Дать обоснованный и письменный ответ субъекту персональных данных, разъяснив меры по устранению нарушения.

4. Обучение персонала:

   • Провести инструктаж сотрудников, чтобы исключить подобные ошибки в будущем.

5. Документальное сопровождение:

   • Разработать и внедрить внутренние политики по обработке ПДн, включая порядок уведомления Роскомнадзора.

6. Уведомление Роскомнадзора об устранении нарушения:

   • Сообщить в Роскомнадзор о принятых мерах для предотвращения повторных нарушений.

Эти действия помогут не только устранить текущее нарушение, но и минимизировать риски в будущем.