Библиотека как оператор персональных данных: как не нарушить закон № 152-ФЗ

С 1 июля вступили в силу поправки в закон № 152-ФЗ «О персональных данных». Главные изменения коснулись административной и уголовной ответственности — штрафы за нарушение конфиденциальности выросли многократно. Нарушения отдельных статей КоАП теперь будут стоить библиотеке до 50 тысяч рублей. Причём, в случае однотипных нарушений, например, когда несколько карточек с персональными данными читателей лежат на столе библиотекаря в открытом доступе, штраф будет суммироваться за каждый случай нарушения, то есть заплатить придётся за каждую такую карточку.

Специалисты методического отдела Губернской библиотеки напоминают о важности соблюдения закона «О персональных данных» в библиотеке, и подготовили ответы на наиболее часто задаваемые вопросы.

В конце материала — список обязательных для библиотеки документов, касающихся работы с персональными данными.

---

Должны ли муниципальные библиотеки регистрироваться в Роскомнадзоре?

Да. Оператор персональных данных, каковым является и библиотека, перед обработкой этих данных обязан направить уведомление в Роскомнадзор (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

В законе прописаны условия, когда регистрация организации в Роскомнадзоре не обязательна, но для этого придётся юридически обосновать, что:

• Сбор и обработка персональных данных осуществляется в связи с установлением трудовых отношений.
• Персональные данные гражданина обрабатываются для заключения и исполнения договора с субъектом персональных данных. При этом данные не передаются третьим лицам без его согласия. Имейте ввиду, что передача персональных данных от оператора библиотеки-филиала к центральной библиотечной системе, считается передачей данных третьим лицам.
• Обрабатываются персональные данные, находящиеся в открытом доступе.
• Персональные данные состоят только из фамилии, имени и отчества. Не собираются номера телефонов и адреса электронной почты.
• Персональные данные собираются исключительно для однократного пропуска гражданина на территорию библиотеки.
• Сбор, обработка и хранение персональных данных проводятся без средств автоматизации.

Несмотря на предусмотренную в законодательстве возможность не подавать уведомление в Роскомнадзор, все же, рекомендуем это сделать. Практика работы библиотеки с персональными данными, как правило, не соответствует всем вышеозначенным условиям.

---

Могут ли несовершеннолетние подписывать согласие на обработку персональных данных?

Нет. Обязательное согласие на обработку персональных данных гражданина, не достигшего 14 лет, дают законные представители: родители, усыновители, опекуны или попечители. Для обработки персональных данных граждан в возрасте от 14 до 18 лет требуется разрешение самого несовершеннолетнего и письменное согласие его законного представителя.

---

В какой срок библиотека обязана прекратить обработку персональных данных пользователя?

3 дня. Библиотека обязана прекратить обработку и уничтожить персональные данные в трехдневный срок с даты поступления отзыва. Об уничтожении персональных данных она обязана уведомить субъекта персональных данных. В этом случае пользователь может получать библиотечно-информационное обслуживание только в помещении библиотеки, т. е. в читальном зале.

---

Как часто уточняются персональные данные пользователя при посещении его библиотекой?

Ежегодно. Персональные данные пользователя уточняются ежегодно: при первом посещении библиотеки в новом году, следующем за годом регистрации или последнего уточнения персональных данных. В случае их изменения библиотека переоформляет регистрационную карточку, читательский формуляр и билет пользователя.

---

Какие персональные данные библиотека не имеет право получать и обрабатывать от пользователей?

Библиотека не имеет право получать и обрабатывать персональные данные пользователя о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, судимости.

Библиотека вправе обработать указанные данные только с письменного согласия гражданина и только в исключительных случаях, с соблюдением определённых условий.

---

Какой штраф, если библиотека проигнорирует запрос субъекта персональных данных о том, как обрабатываются его персональные данные? (ч. 4 ст. 13.11 КоАП РФ)

От 20 000 до 40 000 рублей для организации и от 4 000 до 6 000 рублей для должностного лица. Граждане вправе запросить следующую информацию по обработке их персональных данных:

• о целях, способах, сроках обработки и хранения его персональных данных;
• кто имеет доступ к данным, кроме самого оператора и его работников;
• будут ли персональные данные передаваться за рубеж.

Запрос от субъекта персональных данных должен быть подписан им или его представителем («живой» или электронной подписью), содержать все необходимые реквизиты. По такому запросу оператор обязан дать ответ в течение 30 дней.

---

Какой штраф, если библиотека проигнорировала требование об уточнении, блокировании или уничтожении персональных данных? (ч. 5 ст. 13.11 КоАП РФ)

От 20 000 до 45 000 рублей для организации и от 4 000 до 10 000 рублей для должностного лица. Если по мнению субъекта персональных данных или Роскомнадзора обработка персональных данных ведётся незаконно, то:

• на период проверки обоснованности запроса персональные данные должны быть заблокированы;
• неточные персональные данные на период проверки нужно скорректировать в течение 7 рабочих дней после получения уточнений;
• неправомерная обработка персональных данных после получения соответствующего запроса должна быть прекращена оператором в течение 3 рабочих дней.

---

Какая ответственность наступает для оператора, если не обеспечена сохранность / конфиденциальность при хранении материальных носителей персональных данных? (ч.6 ст.13.11 КоАП РФ)

От 25 000 до 50 000 рублей для организации и от 4 000 до 10 000 рублей для должностного лица. Следует обратить внимание на Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В документе говорится о том, что оператору необходимо:

• раздельное хранение персональных данных, обрабатываемых в различных целях;
• определить места хранения персональных данных и перечень лиц, имеющих к ним доступ;
• определить меры по обеспечению безопасности и сохранности материальных носителей.

Административное наказание применяется в случаях наступления негативных последствий: неправомерного доступа третьих лиц к персональным данным, уничтожения или распространения данных.

---

Какая ответственность по 137 статье УК РФ «Нарушение неприкосновенности частной жизни»?

За незаконное собирание или публичное распространение сведений о частной жизни лица, не давшего на то своего согласия, суд может назначить:

• штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода за период до 18 месяцев;
• обязательные работы на срок до 360 часов, либо исправительные работы на срок до 1 года, либо принудительные работы на срок до 2-х лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет или без такового;
• арест на срок до 4 месяцев;
• лишение свободы на срок до 2 лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет.

---