Рекомендации при проведении проверок Роскомнадзором
Закон «О персональных данных» был принят еще в 2006 г., но фактически начал действовать с 2011 года. Спорных моментов в законе предостаточно. При этом проверки на предмет соблюдения операторами правил защиты персональных данных Роскомнадзор уже проводит.
Проверки Роскомнадзора, как в прочем и других контролирующих органов подразделяются на плановые и внеплановые. Внеплановых проверок, как раз намного больше. Основанием для проведения внеплановой проверки является, как правило, является жалоба сотрудников компании или ее клиентов на серьезные нарушения в работе с персональными данными. И, как отметил Роскомнадзор в своем отчете, количество таких жалоб увеличивается каждый год примерно вдвое. Так что риск оказаться в числе проверяемых есть у любой компании – оператора персональных данных, в том числе и у Турагента.
Проверки Роскомнадзора начались относительно недавно, поэтому пока мало кто представляет себе правильную тактику поведения в это период.
Например, бухгалтерия или секретариат имеет доступ к тем же персональным данным, что и кадровая служба, что само по себе неправильно. Бухгалтеру точно не нужны сведения о здоровье работников, так же, как кадровику необязательно быть в курсе заработной платы сотрудников. Значит, нужно сделать так, чтобы у сотрудника, имеющего отношение к обработке персональных данных, не было доступа к «лишней» информации. Роскомнадзор при проверках всегда обращает внимание на такие моменты.
За что могут быть наложены штрафные санкции.
Во-первых, за избыточность персональных данных. Например, при заключении договора о реализации туристского продукта не допускается собирать сведения о туристах, которые прямо не требуются для организации путешествия (например, сведения о месте работы туриста, о семейном положении или иное, если не требуется для организации поездки). Роскомнадзор совершенно справедливо может указать, что такие сведения являются избыточными.
Во-вторых, за обработку персональных данных без согласия субъекта и получения коммерческой выгоды без согласия субъекта. Например, организация не имеет права предлагать свои товары и услуги конечному потребителю, если заранее у конечного потребителя не было взято на это согласие. В договоре о реализации туристского продукта, разработанного АТА, такое согласие уже предусмотрено.
В том случае, если вы хотите информировать туристов, посредством смс-рассылок о спецпредложениях, или каких-либо акциях Туроператоров, авиакомпаний, то, как минимум, вы должны заручиться согласием туриста на такие смс-уведомления. В ином случае, турист может написать жалобу в Роскомнадзор и потребовать провести проверку по факту данного правонарушения.
Хочется напомнить, что ответственность за нарушения в сфере персональных данных не ограничивается административными штрафами по статьям 13.11 и 13.12 КоАП РФ. Есть и другие, намного более болезненные, санкции. Во-первых, дисциплинарная ответственность, установленная подпунктом «в» пункта 6 статьи 281 Трудового кодекса РФ. Она заключается в том, что даже за однократное нарушение, связанное с разглашением персональных данных работника, работодатель вправе уволить виновное лицо.
Кроме того, за незаконный сбор и незаконное распространение персональных данных предусмотрена уголовная ответственность по статье 137 УК РФ.
Кстати, штрафные санкции в ближайшее время должны увеличиться
В настоящее время ответственность по ст. 13.11. КоАП РФ за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
Согласно законопроекту Минэкономразвития РФ, штрафы по статье 13.11 КоАП РФ увеличатся для граждан до 3 000–5 000 руб., для должностных лиц – до 30 000-50 000 руб., а для юридических лиц – до 200 000–500 000 руб. Также обещают ввести штраф и для ИП – в размере 30 000–50 000 руб.
И срок давности привлечения к ответственности по этой статье планируют увеличить до 1 года (сейчас он составляет всего 3 месяца).