Эта статья будет актуальна для многих – ведь большинство владельцев сайтов и лендингов обрабатывают персональные данные, собирая контакты в формах захвата, не зная о тонкостях обновленного Закона «О персональных данных». Сегодня о нем и поговорим.

Федеральный Закон «О персональных данных»

Федеральный закон «О персональных данных» (далее – ФЗ) обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту конституционных прав на неприкосновенность частной жизни, личную и семейную тайну. Основные положения Закона подробно можно прочитать тут. 

• Дадим определение персональным данным, согласно ФЗ:
• «Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека».
• Какая информация относится к персональным данным: 

1. ФИО;
2. место прописки и проживания;
3. паспортные данные;
4. образование;
5. ИНН;
6. контактные данные;
7. сведения о работе;
8. размер доходов и т.д.

Но персональные данные – не только то, что характеризуют человека, но и данные, которые могут быть использованы для идентификации: динамический IP адрес, cookie-файлы пользователя плюс информация от провайдера.

Есть и исключения: согласно Роскомнадзору телефон, ФИО без привязки к другим данным не являются ПД, т.к. только по номеру или только по имени человека идентифицировать невозможно.

Выделяют также и специальные персональные данные: 

• расовая, национальная принадлежность;
• политические взгляды;
• религиозные и философские убеждения;
• состояние здоровья,
• интимная жизнь.

1. Их обработка допускается, только если пользователь дал согласие на обработку именно этих ПД.
2. В понятие «обработка персональный данных» входит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение информации.
3. Обработка может вестись как при помощи технических средств (компьютера), так и сугубо на бумажных носителях;

Цели обработки персональных данных

• Цели обработки должны быть конкретными, определенными заранее и законными.
• Обработка ПД, несовместимая с целями сбора персональных данных, не допускается. 
• Цели обработки прописываются в документе «Политика обработки ПД», доступном для всех посетителей сайта.

Обработка ПД должна вестись только с согласия пользователя.

Письменное разрешение не обязательно, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Инструменты сбора персональных данных на сайте

Форма обратной связи:

Форма захвата email в обмен на бонус:

Форма регистрации и создания личного кабинета: 

Анкета для участия в программе лояльности: 

Страница чек-аута при оформлении заказа:

Регистрация через социальные сети:

Особенности передачи персональных данных работников

Партнер юридической компании «Гареев, Махно и Касьян» Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

При передаче данных сотрудников в пределах компании или третьим лицам необходимо соблюдать требования Трудового кодекса и Закона о персональных данных, иначе компания может понести финансовые потери

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Персональные данные: ответы на популярные вопросыКто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом […], и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД.

В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах.

Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ.

Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников.

Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Пример из судебной практики

ИП привлечен к административной ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа. Основание – отсутствие у ИП локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Удмуртской Республики по делу № 12-127/2018 от 19 октября 2018 г.).

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д.

Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку1. Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О.

и номер телефона работника-курьера, который должен доставить посылку.

Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Что учесть при переводе бизнеса в Интернет?Решили продавать товары или услуги через сайт – подумайте о грамотной обработке персональных данных, чтобы не пришлось платить тысячи и миллионы за нарушение закона

Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

Обработка персональных данных: правила и нюансы оформления

1. Главная →
2. Журнал →
3. Бизнес →
4. Риски

26 сентября 2022 21 422 9

Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. По Закону № 152-ФЗ оператор должен его получать в большинстве случаев. Разбираемся, когда требуется разрешение на обработку ПД, и какие к нему есть требования в 2022 году.

Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Это означает, что в нем есть:

• конкретная цель обработки — например, для оформления трудовых отношений;
• перечень ПД — например, ФИО, дата рождения, сведения об образовании, месте работы, адресе;
• список действий с персональными данными — к примеру, сбор, хранение;
• место и способы обработки ПД — адрес оператора, автоматизированная или неавтоматизированная обработка;
• срок действия согласия;
• наименование, ФИО, адрес лица, которое обрабатывает ПД, если оператор поручает это другому лицу;
• ясно выраженное согласие гражданина — подпись, галочка или другая отметка.

По умолчанию любые действия с личной информацией без согласия субъекта или законных оснований не допускаются (ст. 6, 9 152-ФЗ). При этом на распространение ПД документ оформляют отдельно (ст. 10.1 152-ФЗ).

Согласие получают конкретно для каждой цели. То есть у оператора будет несколько документов. Это следует из части 4 ст. 9 152-ФЗ, где цель указана в единственном числе, а также из требования не хранить в одной базе данных сведения для несовместимых целей (ч. 3 ст. 5 152-ФЗ).

Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:

• личная информация обрабатывается при участии физлица в судебном процессе;
• гражданин регистрируется на портале Госуслуг;
• сведения нужны для исполнения условий договора с субъектом ПД;
• специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.

Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).

Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.

Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.

Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч. 4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ. 

В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ:

• одна цель обработки — одно согласие;
• разрешение на распространение ПД оформляется отдельно.

Лицо, которое обрабатывает ПД по поручению оператора, согласие субъекта не получает (ч. 4 ст. 6 152-ФЗ).

В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.

Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).

Сдать всю отчетность через интернет — с подсказками и проверкой на ошибки

Попробовать

 

Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):

• передано субъектом непосредственно оператору;
• заполнено с использованием информационной системы Роскомнадзора.

В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.

На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.

Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.

Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:

• разрешено;
• запрещено;
• разрешено с условиями — указать условия.

Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).

Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.

Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.

Меры по обеспечению защиты персональных данных в организации | Организация защиты персональный данных в организации по ФЗ №152-ФЗ "О персональных данных"

Любая организация, занимающаяся работой с персональными данными (ПД) и их передачей, считается оператором ПД. Операторы ПД должны руководствоваться в своей деятельности законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и другими правовыми нормами.

Оператор должен пройти регистрацию в Реестре операторов ПД в Роскомнадзоре на официальном сайте регулятора и указать, с какой целью он применяет собранные и запрашиваемые ПД. Если использование ПД служащих предусмотрено трудовым законодательством, то организация имеет право работать с ними без извещения Роскомнадзора.

Обязанностью оператора является принятие необходимых мер для защиты ПД от несанкционированного использования: фальсификации, копирования, удаления, блокировки, распространения и других противозаконных действий.

Регламентация содержания ПД, связанных с трудовой деятельностью

В ПД входят практически все сведения о человеке. Содержание ПД определяется самими операторами. Но имеют место случаи, когда их содержание четко регламентируется нормативно-правовыми актами, и отступление от этих требований является незаконным. На любом предприятии в форму учета кадров заносятся следующие сведения (персональные данные) о каждом работнике:

• ФИО;
• информация о дате рождения;
• гражданство;
• СНИЛС;
• индивидуальный налоговый номер;
• владение иностранными языками;
• полученное образование;
• приобретенные профессии, специальности;
• сведения о составе семьи;
• место проживания;
• контакты;
• отношение к военной обязанности;
• трудовая деятельность.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

• допуск к ПД работников только строго определенного внутренними документами круга лиц, которым эти сведения необходимы для выполнения своих обязанностей, предусмотренных для занимаемой должности;
• назначение ответственного служащего, который следит за выполнением правовых норм в области защиты ПД;
• создание списка документации, в которой содержатся ПД;
• выпуск регламентирующей документации по защите ПД для внутреннего пользования и контроль за соблюдением правил;
• ознакомление служащих, обрабатывающих персональные данные, с правовыми нормами по их защите и внутренними регламентирующими документами;
• периодическая проверка осведомленности служащих по этим вопросам и контролирование выполнения ими нормативных актов по защите конфиденциальных данных;
• рабочие места должны быть размещены таким образом, чтобы посторонние лица не могли видеть конфиденциальные сведения;
• создание препятствий для воздействия на техсредства, осуществляющие автоматизированную обработку ПД, в результате которого может нарушиться их работа;
• формирование списка лиц, имеющих право находиться в кабинетах с персональными данными;
• описание процедуры удаления неиспользуемой информации;
• своевременное выявление и устранение нарушений норм защиты ПД;
• проведение профилактических мероприятий по недопущению разглашения сотрудниками обрабатываемых личных данных.

Внешняя защита ПД предполагает следующие действия:

• пропускной режим;
• соблюдение установленных правил приема посетителей и их учета;
• использование приборов для охраны;
• программная защита данных.

Информационные системы персональных данных (ИСПД)

Информационные системы персональных данных – это функционирующий набор информационных, аппаратных и программных составляющих.

В состав ИСПД входят: 

• обрабатываемые ПД;
• технология работы с информацией средствами вычислительной техники;
• техсредства и приспособления (серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. п.);
• средства защиты информации.

Защитные мероприятия при работе в ИСПД

Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите:

• определение актуальных угроз безопасности;
• формирование моделей угроз;
• разработка систем защиты ПДн (СЗПДн);
• проверка работоспособности средств защиты информации (СЗИ);
• заключение о пригодности к эксплуатации;
• установка и ввод в эксплуатацию СЗИ;
• обучение сотрудников работе с СЗИ;
• контроль работы СЗИ;
• оформление техдокументации;
• определение круга сотрудников, допущенных к работе с ИСПД;
• при обнаружении нарушения условий хранения носителей ПД – проведение расследования и составление заключения;
• принятие мер по ликвидации последствий этих нарушений;
• обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска;
• проведение мероприятий по недопустимости утечки информации по техническим каналам.

Защита ПД от несанкционированного доступа

Средствами защиты от несанкционированного доступа служат их подсистемы:

• управление доступом к ПД, регистрация и учет всех действий с этими данными;
• обеспечение целостности персональной информации;
• применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак;
• создание межсетевого экрана;
• анализ защищенности и принятие мер по ее усилению;
• обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом – это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему.

Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Базовой платформой построения ИСПД может выступать сетевая ОС Microsoft Windows Server (Standard Edition и Enterprise Edition), которая сертифицирована ФСТЭК России и ФСБ.

Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ. В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты.

Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов.

Для подсистемы анализа можно использовать сетевой сканер безопасности Xspider фирмы Positive Technologies, сертифицированный ФСТЭК России. Для подсистемы обнаружения вторжений специалисты рекомендуют продукт Cisco Intrusion Detection System, сертифицированный ФСТЭК.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите. Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации

Как документально оформить защиту персональных данных

Исходя из практической целесообразности, можно издать следующие документы:

• положение о ПД;
• список служащих, работающих с персональными данными;
• приказ об утверждении работника, отвечающего за работу с персональными данными;
• положение о мерах по ЗПД;
• инструкцию о служебном расследовании фактов разглашения личных данных работников;
• инструктаж по ЗПД;
• журнал антивирусных проверок;
• журнал контроля использования ПД для служебной необходимости.

Передача персональных данных третьим лицам

Чтобы обеспечить соблюдение норм закона о получении согласия физического лица на обработку и передачу ПД, можно оформить коллективный договор со служащими, в котором перечислить всех третьих лиц с указанием наименований, адресов, срока использования данных. Все работники организации должны этот договор подписать.

Необходимо знать, что законодательство РФ предусматривает передачу персональных данных судебным органам и другим правоохранительным инстанциям без необходимости получения согласия на эти действия.

Время хранения персональных данных

С персональных данных конфиденциальность снимается через 75 лет, если происходит их обезличивание, или по требованию закона. Когда ПД больше не нужны оператору, они должны быть уничтожены на протяжении пяти лет или сданы в архив.

Как работать с персональными данными в компании: новые требования 2022

С 1 сентября 2022 года работать с персональными данными (ПД) нужно по новым правилам. Федеральным законом от 14.07.2022 № 266-ФЗ внесли поправки в Закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они коснулись порядка и правил работы с персональными данными, получения согласия, прекращения обработки, уведомления Роскомнадзора.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

• назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
• издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
• проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
• оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
• ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
• соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
• персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как поступить при утечке данных

Если работодатель установит факт случайной или неправомерной передачи, предоставление и распространение ПД, он должен в установленном порядке сообщить об этом в Роскомнадзор (ч. 3.1 ст. 21Закона № 152-ФЗ):

• в течение 24 часов — о выявленных инцидентах, предполагаемых причинах и возможном вреде;
• в течение 72 часов — о результатах внутреннего расследования внутреннего инцидента.

О компьютерных сбоях, которые повлекли неправомерную передачу персональных данных, следует сообщать через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ч. 12-14 ст. 19 Закона № 152-ФЗ).

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

• цели обработки персональных данных;
• перечня персональных данных, на обработку которых даёт согласие их субъект;
• наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
• перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
• срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

• категории и перечень персональных данных
• категории субъектов, персональные данные которых обрабатываются;
• способы и сроки хранения персональных данных;
• порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

• перечень обрабатываемых персональных данных;
• обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
• обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
• обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Правила обработки ПД работают и в отношении иностранных организаций и физлиц (ч. 1.1 ст. 1 Закона № 152-ФЗ). Положения закона применяются к случаям, когда ПД граждан РФ обрабатываются на основании договора (соглашения) или на основании согласия гражданина на обработку ПД.

Ответственность перед субъектом ПД при этом несёт как само обрабатывающее ПД лицо, так и оператор ПД (ч. 6 ст. 6 Закона № 152-ФЗ).

Когда следует прекратить обработку ПД

По общему правилу, оператор ПД должен в течение 10 рабочих дней обеспечить прекращение обработки ПД при обращении субъекта ПД с таким требованием.

Срок можно продлить, но не более чем на пять рабочих дней. Для этого оператор должен направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных.

Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183).

Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Разъяснения Роскомнадзора по порядку защиты персональных данных

Что такое персональные данные? Персональные данные — это любая информация, относящаяся к человеку.

К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты.

Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО).

Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству.

Также государственный номер автомобиля не является ПД, так как относится к транспортному средству. Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.

Обработка персональных данных

Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ,  .

Часто в правовых основаниях обработки забывают указать  Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры.

 ФЗ «О персональных данных» не является правовым основанием!

Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.

Для обработки персональных данных необходимо получить согласие субъекта ПД.

В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.

Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета). При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать. Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД. При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД. После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.

Обязанности оператора

Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН. Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.

Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).

Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала. Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.

Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр.

___, в том числе базы данных сайта и информационной системы персональных данных оператора.

Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).

При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД. После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней. Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции. Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ. Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.

Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)

• Ч. 1 ст. 13.11 КоАП: включение избыточного объема данных, неправомерное размещение изображения гражданина на сайте, неправомерная обработка работодателем ПД близких родственников, неправомерная обработка ПД в целях продвижения товаров, работ, услуг;
• Ч. 2 ст. 13.11 КоАП: публикация статьи в интернете, которая содержит инфо в большом объеме со специальной категорией ПД без согласия гражданина, письменная форма согласия не соответствовала ч. 4 ст. 9 ФЗ;
• Ч. 3 ст. 13.11 КоАП: нет политики обработки ПД на сайте;
• Ч. 4 ст. 13.11 КоАП: нереализация права субъекта на получение информации, которая относится к обработке его ПД;
• Ч. 5 ст. 13.11 КоАП: нарушение сроков по уточнению, блокированию, уничтожению ПД;
• Ч. 6 ст. 13.11 КоАП: невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность материальных носителей (например, неправильная утилизация медицинских амбулаторных карт).

Основные проблемы при взаимодействии проверяющих лиц с операторами в рамках проведения плановых/внеплановых проверок

1. Отсутствие уполномоченного представителя оператора;
2. Отсутствие документа, подтверждающего полномочия сотрудников на представление интересов оператора и взаимодействие с проверяющими лицами (доверенность, приказ);
3. Назначение в качестве уполномоченных представителей оператора лиц, не обладающих достаточными профессиональными знаниями;
4. Отказ в предоставлении запрашиваемой информации и документации;
5. Отказ в предоставлении доступа в помещения оператора, где осуществляется обработка ПД;
6. Отказ в предоставлении доступа к оборудованию оператора;
7. Неумышленное затягивание сроков проведения проверки (продление сроков – это дополнительная административная нагрузка).

При этом важно помнить, что должностные лица РКН:

1. Не осуществляют консультирование проверяемого лица;
2. Не предоставляют проект акта проверки для предварительного ознакомления представителем проверяемого лица;
3. Не дают пояснений относительно причин или оснований квалификации отдельных действий оператора как нарушающих ФЗ «О ПД», их можно получить только при обжаловании акта;
4. Не продлевают, в том числе и по письменному обращению проверяемого лица, контрольные сроки исполнения предписания об устранении нарушений.