Персональные данные. Какие документы должны быть приняты в компании?
Большое количество компаний работают с персональными данными клиентов и работников и тем или иным образом собирают и обрабатывают их. Вопросы защиты персональных данных являются важными не только для лиц, которые их предоставляют, но и для лиц, которые их собирают и обрабатывают.
В Казахстане прослеживается тенденция на усиление мер по защите персональных данных и контроля за их соблюдением. За последние 3 года в законодательство, регулирующее обработку персональных данных, вносилось большое количество изменений. Любая организация обязана предпринимать комплекс мер, направленный на недопущение несанкционированного доступа к персональным данным и их защите.
В настоящей статье мы рассмотрим, что же относится к персональным данным, какие документы в области защиты персональных данных должны быть приняты в компании, и какая ответственность предусмотрена за нарушение законодательства в области персональных данных.
Персональные данные, что это такое?
Для начала необходимо понять, что же такое персональные данные? Определение персональных данных раскрывается в законе Республики Казахстан от 21 мая 2013 года N 94-V «О персональных данных и их защите» (далее – Закон).
Согласно пп.2 ст.1 Закона под персональными данными понимаются сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Так, к персональным данным можно отнести: имя, фамилию, отчество, дату рождения, адрес места жительства, номер ИИН и тд.
Закон также закрепляет понятия собственник, оператор базы и субъект персональных данных. Собственник базы, содержащей персональные данные — это государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.
Оператор базы, содержащей персональные данные – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
Субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные.
Таким образом, любая компания, организация, работающая с персональными данными клиентов, работников подпадает под понятие собственник и оператор базы персональных данных.
Сбор, обработка персональных данных может осуществляться собственником и (или) оператором, а также третьим лицом только с согласия субъекта или его законного представителя в порядке.
Права и обязанности собственников и операторов баз
Закон устанавливает для собственников и операторов баз, содержащих персональные данные, права и обязанности. Так, например, согласно ст.25 Закона на них возлагаются следующие обязанности:
- утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
- утверждать документ, определяющий политику оператора, собственника в отношении обработки персональных данных;
- назначить лицо, ответственное за организацию работы с персональными данными.
Трудовой кодекс Республики Казахстан также закрепил обязанность работодателя осуществлять сбор, обработку и защиту персональных данных работника в соответствии с законодательством Республики Казахстан о персональных данных и их защите.
Документы
Исходя из анализа вышеприведенных норм, в организации должны быть приняты следующие документы:
1) Приказ о назначении лица, ответственного за организацию обработки персональных данных;
Согласно Закону юридические лица обязаны назначить ответственного за организацию обработки персональных данных. Для этого необходимо принять соответствующий приказ. На ответственного Закон также возлагает обязанности: осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных; доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных,; осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.
2) Перечень персональных данных, достаточный и необходимый для выполнения задач, а также цели их обработки;
Организации должны собирать и обрабатывать персональные данные в целях и количестве, предусмотренном в перечне. Перечень персональных данных, используемый организацией, должен быть исчерпывающим и достаточным для реализации заявленных целей.
3) Документ, определяющий политику в отношении обработки персональных данных;
Одной из обязанностей собственника, оператора базы персональных данных, является разработка и принятие внутреннего документа, который определяет порядок и принципы работы с персональными данными. Как правило, в целях обеспечения его доступности, он размещается на сайте собственника или оператора. Разработать такой документ лучше доверить специалистам, которые учтут все тонкости и нюансы действующего законодательства, что поможет избежать ненужных мер воздействия со стороны контролирующих органов.
4) Форма согласия субъекта персональных данных на их сбор и обработку;
Как предусмотрено Законом обработка персональных данных осуществляется только с согласия субъекта персональных данных. В Законе закреплены обязательные требования, предъявляемые к форме согласия на обработку персональных данных. Согласие на сбор и обработку персональных данных включает:
- наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), БИН, ИИН оператора;
- ФИО субъекта;
- срок действия согласия;
- сведения о возможности передачи данных оператором третьим лицам, а также о трансграничной передаче;
- сведения о распространении персональных данных в общедоступных источниках;
- перечень собираемых данных, связанных с субъектом;
- иные сведения, определяемые собственником и (или) оператором.
Принятие в организации вышеуказанных документов, является реализацией собственниками, операторами баз персональных данных комплекса мер организационного и прававого характера, направленного на защиту персональных данных клиентов и работников. В свою очередь отсутствие указанных документов и нарушение порядка обработки персональных данных является нарушением законодательства о персональных данных, за которое предусмотрена административная и уголовная ответственность.
Так, например, статьей 79 Кодекса Республики Казахстан «Об административных правонарушениях» предусмотрена ответственность за незаконные сбор и обработку персональных данных, а также за несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных, если эти не содержат признаков уголовно наказуемого деяния.
Кроме того, статьей 147 Уголовного кодекса Республики Казахстан предусмотрена уголовная ответственность за незаконные сбор и обработку персональных данных, а также за несоблюдение мер по защите персональных данных, если эти деяние повлекли причинение существенного вреда.
Не стоит забывать и о гражданско-правовой ответственности в виде предъявления требований о взыскании морального вреда в судебном порядке.
Работая с персональными данными стоит проанализировать свою деятельность на предмет соблюдения законодательства о персональных данных и привести ее в соответствие. Это поможет вам избежать ненужные финансовые расходы и исключит репутационные риски вашей компании.
