Права и обязанности ответственного за организацию обработки персональных данных

22.03.2021 Интернет-интервью с Антоном Викторовичем Ловыгиным, Заместителем руководителя Управления Роскомнадзора по Пермскому краю – начальником отдела административного обеспечения

1. Когда допускается работа с персональными данными без согласия? В каких законах это обозначено? Если человек не написал отказ от обработки своих персональных данных, то это подразумевает, что ими можно распоряжаться по своему усмотрению?

Распоряжаться по своему усмотрению нельзя, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, что сказано в ст. 5 Закона о персональных данных.

Даже если согласие на обработку персональных данных подписано, это не означает, что полученными данными можно распоряжаться по своему усмотрению: они были взяты для конкретных действий (исполнение договора, оказание услуги и т.д.).

При этом необходимо напоминать операторам, которые просят граждан подписать согласие в письменной форме, что согласие должно быть конкретным, информированным и сознательным, и про тот факт, что в силу требований Федерального закона № 152-ФЗ и иных нормативных правовых актов Российской Федерации в настоящее время предусмотрено предоставление согласия в письменной форме в следующих случаях:

обработки специальной категории персональных данных (п. 1 ч. 2 ст. 10 Федерального закона № 152-ФЗ);

обработки биометрических персональных данных (ч. 1 ст. 11 Федерального закона № 152-ФЗ);

при осуществлении трансграничной передачи персональных данных (п. 1 ч. 4 ст. 12 Федерального закона № 152-ФЗ);

при включении персональных данных в общедоступные источники персональных данных (в том числе справочники, адресные книги) (ч. 1 ст. 8 Федерального закона № 152-ФЗ);

при принятии оператором решения на основании исключительно автоматизированной обработки персональных данных, которое порождает юридические последствия в отношении субъекта персональных данных или иным образом затрагивает его права и законные интересы (ч. 2 ст. 16 Федерального закона № 152-ФЗ).

Кроме этого, отдельными актами предусмотрено получение согласия в письменной форме в следующих случаях:

для государственных и муниципальных служащих (п.п. б п. 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного Постановлением Правительства РФ от 21.03.2012 № 211);

для родителей (законных представителей) учащихся и/или поступающего (Порядок приема на обучение по образовательным программам образования, утвержден Приказом Минпросвещения от 02.09.2020 N 458).

Вместе с тем у оператора есть право продолжить обработку персональных данных без согласия субъекта персональных данных (отказа от обработки персональных данных) при наличии оснований, указанных в п. 211 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.


2. Добрый день! Являюсь новичком в бизнесе. Штат фирмы — 3 человека: ген. директор, менеджер и бухгалтер. Должны ли мы при таком штате хранить персональные данные? Кто ответственен за их хранение?

Эти вопросы требуют отдельных консультаций, в рамках короткого интервью мы ограничимся следующим.

Хранение персональных данных осуществляется в любом случае, однако сам срок хранения может быть разным. Примеры:

  1. Хранение персональных данных лица, подавшего резюме для устройства на работу, может быть ограничено принятием решения руководителя об отказе, тогда резюме и, соответственно, персональные данные уничтожаются.
  2. Персональные данные работника хранятся в течение всего срока его работы и затем передаются в архив, где срок их хранения определен требованиями к архивным делам.

Руководитель определяет лицо, ответственное за хранение персональных данных, предусматривает место хранения персональных данных и иные локальные акты организации, примерный перечень которых указан в ст. 18.1 Федерального закона «О персональных данных».

3. Я аудитор на государственном предприятии. Законодательно предусмотрена сохранность персональных данных. Почему происходит их утечка и огласка широкой публике? Какие меры применяются для пресечения таких фактов? Какая ответственность предусмотрена за сбыт подобной информации сторонним лицам?

В большинстве случаев утечка информации происходит по вине сотрудников (недобросовестность, невнимательность, злой умысел).

Обязанность по обеспечению безопасности персональных данных ТК РФ возложена на работодателя (глава 14), а в силу требований Закона «О персональных данных» на оператора персональных данных и лицо, ответственное за организацию обработки персональных данных (ст. 22.1 Федерального закона № 152-ФЗ).

Ответственность за нарушение законодательства в области персональных данных предусмотрена ст. 24 Федерального закона № 152-ФЗ, в том числе дисциплинарная, административная и уголовная, что отражено в ТК РФ (ст. 81, 90, 192), КоАП РФ (13.11, 13.12, 13.14) и УК РФ (137, 140, 272).

4. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных. Какая ответственность предусмотрена?

В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Ответственность предусмотрена ст. 19.7 КоАП РФ «Непредставление сведений (информации)».


5. Кто на предприятии должен разрабатывать и опубликовывать политику обработки персональных данных: ответственный за хранение персональных данных или ген. директор?

Это не имеет принципиального значения. Документ должен быть, и он должен быть утвержден лицом, имеющим право его подписывать.

В таком документе как раз и может быть назначено лицо, ответственное за организацию обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.


6. Какая ответственность предусмотрена за документально незафиксированный факт уничтожения персональных данных ответственным сотрудником?

В случае если такой факт выявился по результатам внутренней проверки самой организации, то решение принимает работодатель.

В практике проведения проверок Управлением Роскомнадзора по Пермскому краю такое нарушение еще выявлено не было.

Интернет-интервью с А. В. Ловыгиным на тему: «Права и обязанности за организацию обработки персональных данных» доступно также в СПС КонсультантПлюс: Пермский край