Статьи

Трансграничная передача персональных данных

Как подготовиться к проверке Роскомнадзора?

В каких случаях требуется отправлять уведомление об изменениях в обработке персональных данных в Роскомнадзор?

Роскомнадзор просит предоставить информацию о месте нахождения баз данных граждан РФ. Что делать?

Изменения в законодательстве с 01.09.2015 г., вносимые федеральным законом от 21.07.2014 № 242-ФЗ

Проверки Роскомнадзора - ч. 2 (какие документы проверяет Роскомнадзор?)

Проверки Роскомнадзора - ч. 1 (плановые и внеплановые)

Уведомление об обработке персональных данных и реестр операторов Роскомнадзора – ч. 2 (результаты проверки Роскомнадзора)

Уведомление об обработке персональных данных и реестр операторов Роскомнадзора - ч. 1

Политика по персональным данным: рекомендации Роскомнадзора по составлению

А зачем вообще выполнять ФЗ «О персональных данных»?

Письменное согласие на обработку персональных данных

Здравствуй, весна! Здравствуйте, штрафы!

Кто может быть оператором персональных данных?

Что такое персональные данные?

Подготовили информацию по теме трансграничной передачи персональных данных в формате «вопрос-ответ». Что считать трансграничной передачей ПДн, нужно ли получать согласие субъекта на передачу ПДн, как должна проводиться оценка соблюдения иностранными контрагентами конфиденциальности ПДн, рассказываем в статье.

Наша компания имеет на территории РФ базу данных с документами, содержащими персональные данные. К ней могут подключаться иностранные контрагенты, находящиеся на территории иностранных государств. Является ли предоставление доступа к базе данных в этом случае (без передачи нами этих данных) трансграничной передачей персональных данных?

Согласно п. 11 ст. 3 ФЗ-152, трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

В определении есть три обязательных критерия, по наличию которых мы можем понять, что конкретная операция, проводимая с персональными данными (далее – ПДн), является трансграничной передачей ПДн.

1 критерий
Само действие (ЧТО?) – передача ПДн. В 152-ФЗ не раскрыто понятие передачи данных, зато мы можем посмотреть на различные определения из других НПА:

• информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники (149-ФЗ);

• доступ к информации - возможность получения информации и ее использования (149-ФЗ);

• предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц (149-ФЗ);

• обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации (149-ФЗ);

• предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (152-ФЗ);

• передача данных по каналам электросвязи: передача данных из одного пункта в один или несколько пунктов с помощью средств электросвязи (ГОСТ 33707-2016).

Из данных определений можно сделать вывод о том, что законодательством разделяются понятия «передача данных» и «предоставление данных» / «предоставление доступа к данным». Передачей данных является физическое перемещение данных из одного места в другое по линиям связи. В вашем случае осуществляется предоставление доступа иностранным контрагентам к ПДн, т.е. предоставление возможности иностранными контрагентами получения информации и ее использования.

2 критерий
Передача ПДн (КУДА?) на территорию иностранного государства. Должна присутствовать передача ПДн за границу РФ. В вашем случае такого действия не происходит. Физически вы как оператор не передаёте ваши ПДн за границу, они остаются на территории РФ.

3 критерий
Передача ПДн (КОМУ?) органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Данный критерий выполняется.

Из вышесказанного можно сделать вывод о том, что описанный вами процесс не является трансграничной передачей ПДн и к нему не применяются требования ст. 12 ФЗ-152 «О персональных данных».Какие документы должны запрашиваться от иностранного юридического лица для проведения оценки соблюдения им конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке по новым правилам трансграничной передачи персональных данных?Новая редакция ФЗ-152 (редакция от 06.02.2023, начало действия редакции – 08.05.2023) не содержит разъяснений о том, как конкретно Оператором должна проводиться оценка соблюдения иностранными контрагентами конфиденциальности ПДн и обеспечения их безопасности при их обработке. Исходя из практики, рекомендуем запрашивать у зарубежных юридических лиц документы, в которых описаны меры по защите обрабатываемой личной информации (персональных данных). Такими документами могут быть:

- действующие Политики по обработке и защите персональных данных;

- внутренние регламенты, инструкции по обеспечению безопасности данных и информационных систем;

- акты проведения внутреннего контроля и аудита обеспечения безопасности ПДн;

- любые другие документы, в которых присутствует описание реализованных технологий, принципов защиты ПДн и используемых средств защиты информации;

- сведения о мерах ответственности за нарушения обязательных требований в области персональных данных и о размере установленных санкций.

Также не стоит забывать о новых требованиях по получению Оператором сведений от иностранной стороны. В соответствии с новой редакцией ст. 12 ФЗ-152 Оператор до подачи уведомления о трансграничной передаче персональных данных обязан получить от иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:

1) сведения о принимаемых иностранными юридическими лицами мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

2) информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся иностранные юридические лица (в случае, если предполагается осуществление трансграничной передачи персональных данных иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);

3) сведения иностранных юридических лицах (наименование, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).Как правильно документировать проведение оценки соблюдения иностранным юридическим лицом, которому передаются персональные данные, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке?Новая редакция ФЗ-152 не раскрывает того, как как конкретно Оператором должна проводиться и документироваться оценка соблюдения иностранными контрагентами конфиденциальности ПДн и обеспечения их безопасности при их обработке.

Мы советуем действовать следующим образом:

• в функциональные обязанности комиссии для организации работ по защите персональных данных добавить обязанность по проведению оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется или осуществляется трансграничная передача персональных данных, требований конфиденциальности передаваемых персональных данных и обеспечения их безопасности с оформлением акта «О проведении оценки соблюдения требований конфиденциальности передаваемых персональных данных»;

• утвердить форму акта «О проведении оценки соблюдения требований конфиденциальности передаваемых персональных данных»;

• апросить у иностранных коллег документы, подтверждающие соблюдение ими конфиденциальности ПДн и обеспечения их безопасности при их обработке;

• на основании полученных на 3-ем этапе сведений провести оценку, составить акт «О проведении оценки соблюдения требований конфиденциальности передаваемых персональных данных»;

• в поле уведомления о трансграничной передаче ПДн указать дату проведения оценки и составления акта.

При общении и переписке с зарубежными юридическими лицами рекомендуется сохранять всю переписку. При запросе Роскомнадзора её можно будет приложить как дополнительное доказательство выполнения требований законодательства.Нужно ли получать согласие субъекта на трансграничную передачу персональных данных?До 1-го марта 2023 г., т.е. до вступления в силу новых поправок в Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» при передаче ПДн на территорию дружественных стран Оператор должен был руководствоваться условиями обработки ПДн в соответствии со ст. 6, а при передаче ПДн на территорию недружественных государств (в т.ч. в США) действовали условия наличия согласия субъекта в письменной форме, факт исполнения договора, стороной которого является субъект ПДн, а также другие основания (ч. 4 ст. 12).

С 1-го марта 2023 г. вступила в силу новая редакция закона, вносящая существенные изменения в ст. 12. Теперь письменное согласие на «трансграничку» даже при передаче в недружественные страны в общем случае не требуется, а для всех случаев передачи ПДн за границу действуют те же основания такой передачи, как и для обычной обработки ПДн. Это основания, предусмотренные статьями 6 и 9.

Поэтому, отвечая на изначально поставленный вопрос, необходимо приравнять трансграничную передачу ПДн к обычной обработке ПДн и уже отталкиваться от обычных правовых оснований такой обработки.

В прошлой статье я рассказала о том, какие проверки бывают у Роскомнадзора в сфере персональных данных, чем плановые проверки отличаются от внеплановых.

Сейчас самое время продемонстрировать те сведения, которые запрашивает Роскомнадзор перед проверкой.

Итак, какие же документы проверяет РКН в ходе проведения проверки?

Вот только несколько приказов о проведении проверок в организациях, обратившихся ко мне за разработкой необходимых документов.

1. Иркутская область, 2018 год.

2. УрФО, 2017 год.

Обращаю внимание, что красным отмечены именно сведения, которые должны быть предоставлены Оператором персональных данных по требованию РКН. А документы, в которых они содержатся, могут называться немного иначе и их количество тоже может быть разным.

Это первая часть статьи о проверках, проводимых Роскомнадзором в сфере персональных данных.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (кратко – Роскомнадзор) – это орган, уполномоченный контролировать и проверять то, как защищаются права субъектов персональных данных.

Проверки у Роскомнадзора бывают плановые и внеплановые.

 

Плановые проверки проводятся в соответствии с заранее определенным годовым планом. Роскомнадзор составляет три плана:

1) проверки органов местного самоуправления и должностных лиц местного самоуправления;

2) проверки юридических лиц;

3) государственный контроль за соответствием деятельности операторов персональных данных (государственных органов, юридических и физических лиц) требованиям законодательства.

 

Проверки проводятся местным Управлением Роскомнадзора в своем федеральном округе или области (крае).

Смотрим план проверок на 2019 год на примере Управления Роскомнадзора по Уральскому федеральному округу:

1) «План проведения проверок органов местного самоуправления и должностных лиц местного самоуправления»

Будут проверены две Администрации.

2) «План проведения плановых проверок юридических лиц»

В столбце «Цель проведения проверки» указывается, что будет проверяться (соблюдение законодательства в сфере обработки персональных данных, телевизионного вещания, радиовещания, средств массовой информации, связи и пр.). Как видно, этим планом проверки в сфере персональных данных не предусмотрены.

3) государственный контроль за операторами в «Плане деятельности Управления» (раздел 6)

В течение года в УрФО будет проверена 21 организация на соответствие требованиям законодательства в области защиты персональных данных.

Внеплановые проверки проводятся Роскомнадзором в соответствии с положениями Административного регламента осуществления контроля за операторами ПДн (Приказ Минкомсвязи России от 14.11.2011 № 312).

В соответствии с п. 38 Регламента основаниями для внеплановой проверки могут стать:

- истечение срока исполнения выданного ранее предписания об устранении нарушений;

- жалобы граждан на организацию;

- приказ руководства службы;

- требование прокуратуры.

В прошлой статье я рассказывала о том, как выглядит уведомление об обработке персональных данных для Роскомнадзора и что такое реестр операторов персональных данных.

 

Сегодняшнюю статью меня побудили написать результаты проверки, проведенной летом 2018 года в одной иркутской организации. Руководитель организации самостоятельно принял решение подать уведомление после окончания проверки. И, конечно же, проверяющие вынесли это нарушение в Предписание.

 

Интерес представляет то, как обосновывается отсутствие уведомления.

 

Почитайте сами:

 

Ещё для осмысления – фрагмент научно-практического постатейного комментария ФЗ № 152 «О персональных данных» от 2015 года (под редакцией зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой).

 

 

Приведу фрагмент комментария относительно ст. 22 ФЗ № 152 «О персональных данных»:

 

 

А вот точка зрения РКН, касающаяся соответствия обработки ПДн трудовому законодательству:

 

 

Какую же в итоге позицию Роскомнадзора мы имеем?

 

Уведомление нужно посылать во всех случаях, не попадающих под исключения. Если деятельность попадает хотя бы под одно исключение, то она должна полностью попадать под остальные. Т.е., судя по логике РКН, Оператор должен рассмотреть свою деятельность и сравнить её поочерёдно со всеми исключениями из ч. 2 ст. 22.

Видимо, примерно так рассуждали проверяющие из Иркутска:

1) обрабатывает ПДн в соответствии с трудовым законодательством. Оператор обрабатывает ПДн в соответствии с иным законодательством (ФЗ № 402, ФЗ № 27) – всё, уведомление нужно.

Обработка ПДн работников в соответствии с ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» является обязанностью работодателя, т.е. входит в рамки трудового законодательства, но проверяющими РКН расценено как «иное». А как же быть с обработкой данных по договорам с клиентами (следующее исключение из п. 2), которая происходит в соответствии с Гражданским и Налоговым кодексом? Вопрос…

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных… . Есть ПДн субъектов, с которыми договора не заключаются (родственники работников) – нужно посылать уведомление.

3) относящихся к членам (участникам) общественного объединения или религиозной организации… – этот пункт к организации не относится? Пропускаем.

4) сделанных субъектом персональных данных общедоступными – нет таких данных? Пропускаем.

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных.

Не знаю, как рассуждали проверяющие, но очень странно, что несоответствие этому пункту не было отмечено в Предписании. Логика нарушается.

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях. Нет СКУДА или охраны? Пропускаем.

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем… У Оператора ГИС нет, это исключение пропускаем.

8) обрабатываемых без использования средств автоматизации…  Используется 1С, значит используются средства автоматизации, значит под исключение не попадает.

Интересно, найдётся ли сегодня хоть одна организация, не использующая в своей деятельности компьютеры?

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности… С этим деятельность Оператора не связана, пропускаем.

 

Таким образом, можно сказать, что компаний, деятельность которых полностью подходит под исключения, не существует. Поэтому лучший вариант – просто подать уведомление, чем доказывать потом, что вы всё-таки попадаете под исключения.

 

Ещё хотелось бы написать о мнении РКН о зарплатных проектах и о том, что они не входят в рамки трудового законодательства. Как уже писала в статье про письменное согласие на обработку, в ст. 136 ТК РФ четко прописано, что «заработная плата выплачивается работнику, как правило, в месте выполнения им работы либо переводится в кредитную организацию, указанную в заявлении работника, на условиях, определенных коллективным договором или трудовым договором». Таким образом, зарплатный проект предусмотрен трудовым законодательством.

Многие слышали о том, что нужно подавать информацию об обработке персональных данных. А куда, зачем и к чему это ведёт – понимание обычно туманное. Настало время прояснить ситуацию.

 

Одна из обязанностей оператора, предусмотренная ст. 22 ФЗ № 152 «О персональных данных», – подать уведомление, содержащее сведения о компании и об обработке персональных данных (далее – ПДн), в Роскомнадзор.

 

Стоит сразу сказать, что есть случаи, когда оператор может не подавать уведомление в Роскомнадзор (далее – РКН). Самые распространенные из них:

1) обработка ПДн ведётся в соответствии с трудовым законодательством. Но здесь нужно быть бдительным, потому что, например, передача ПДн в банк предусмотрена ТК РФ, а передача по ДМС – не предусмотрена и, следовательно, такая обработка под исключение не попадает;

2) ПДн получены оператором при заключении договора с субъектом. Это исключение работает только при выполнении 3-х обязательных условий: ПДн не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно в целях выполнения договора;

3) обработка общедоступных ПДн;

4) ПДн содержатся в ГИС;

5) ПДн обрабатываются без использования средств автоматизации, т.е. без использования компьютеров.

 

Уведомление должно содержать данные о наименовании и адресе оператора, о целях обработки, категориях ПДн и субъектов, о правовых основаниях обработки данных, перечне действий и способах обработки, описание реализованных мер защиты и обеспечения безопасности ПДн, ФИО и контактные данные ответственного за организацию обработки, дату начала обработки (обычно это дата постановки на учет в налоговом органе) и дату или условие прекращения обработки ПДн (в 99% случаев организация прекращает обрабатывать ПДн при ликвидации юр. лица), данные о трансграничной передаче ПДн и сведения о месте нахождения баз данных ПДн граждан РФ.

 

Форма уведомления заполняется в электронном виде на официальном сайте РКН, после заполнения её нужно распечатать на официальном бланке, подписать у руководителя и отнести в своё Управление Роскомнадзора.

 

В законе сказано, что оператор обязан подать данные ещё до начала их обработки, но, как показывает практика, это делают далеко не все. Роскомнадзор за позднее уведомление не наказывает.

 

 

После подачи уведомления об обработке организация попадает в реестр операторов персональных данных. Это, как уже стало понятно, база, в которой хранятся сведения об операторах, подавших уведомление на внесение в реестр Роскомнадзора.

 

По закону организация должна уведомить РКН об изменении сведений в реестре в течение 10 дней с даты возникновения таких изменений. Поэтому лицо, ответственное за организацию обработки ПДн в организации, должно следить за актуальностью сведений в реестре и своевременно уведомлять РКН.

 

Существует один миф о том, что если организация присутствует в реестре операторов, то вероятность её проверки выше. На самом деле это не так. Проверки проводятся как для организаций из реестра, так и для тех, кто уведомление не подал.

 

Рассмотрим пример. Управление Роскомнадзора по Центральному федеральному округу запланировало на июнь 2018 года проверку 3-х организаций, в реестре не было ни одной из них, на июль 2018 года – проверку также 3-х организаций, из них только 1 числилась в реестре, только в августе все 4 организации были в реестре.

 

На июнь 2018 года Управлением Роскомнадзора по Уральскому федеральному округу было запланировано 3 проверки организаций, из них в реестре на тот момент числилась 1 организация, в июле эти цифры составили также 3 и 1, в августе – 3 и 0.

 

А вот цифры для Северо-Западного федерального округа. На июнь, июль и август 2018 года было запланировано по 2 проверки, в реестре каждый раз числилась только 1 компания из двух.

 

Получается, что в среднем только 39% организаций, входящих в реестр операторов, попадают в план проверок.

 

Сейчас РКН использует так называемый «мониторинг» сайтов в Интернете и проверяет, есть ли у форм обратной связи галочка о согласии, размещена ли Политика по персональным данным, сбор каких данных ведётся. И в том числе таким вот образом выявляет потенциальных нарушителей закона.

В конце июля 2017 года Роскомнадзор опубликовал Рекомендации по составлению политики оператора в отношении обработки персональных данных. Давайте подробно рассмотрим этот документ. Но вначале вспомним, что из себя представляет Политика по персональным данным и почему она так важна.

Политика по персональным данным - локальный документ, содержащий сведения об операторе, принципы обработки персональных данных, а также описание обработки персональных данных оператором.

 

Согласно ч. 2 ст. 18.1 ФЗ № 152 «О персональных данных» оператор обязан опубликовать Политику у себя на сайте или разместить её бумажную версию на доске информации или в любом другом месте, к которому имеется неограниченный доступ.

 

Отдельно стоит сказать о ситуации, когда оператор ведёт сбор персональных данных через интернет на своём сайте, используя формы регистрации, обратной связи, приёма заказов, «вопрос-ответ» и подобные. В этом случае оператор обязан разместить Политику именно у себя на сайте.

 

Как показывает практика, даже если в форме нужно указать только имя (без фамилии) и адрес электронной почты, по которым без дополнительной информации практически нереально установить личность человека, то специалисты Роскомнадзора всё равно приравнивают этот набор информации к персональным данным и требуют наличия Политики и «галочки» о согласии с обработкой персональных данных на сайте.

 

Итак, Роскомнадзор рекомендует придерживаться следующего содержания Политики:

 

1. Общие положения

Основные понятия, используемые в Политике, назначение Политики, права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Цели обработки в основном формируются из фактической деятельности оператора и из конкретных бизнес-процессов, а также из результатов анализа правовых актов, регламентирующих деятельность оператора.

3. Правовые основания обработки персональных данных

В качестве правового основания обработки персональных данных могут быть указаны:

- статьи федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью оператора;

- уставные документы оператора;

- договоры, заключаемые между оператором и субъектом персональных данных;

- согласие на обработку персональных данных.

Роскомнадзор отмечает, что ФЗ № 152 «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Как понятно из заголовка, в разделе рекомендуется указать объем обрабатываемых персональных данных, их категории, а также категории субъектов, чьи персональные данные обрабатывает оператор. Роскомнадзор рекомендует перечислить весь перечень обрабатываемых персональных данных, а также описать все случаи обработки специальных категорий персональных данных.

 

Исходя из практики, перечень категорий персональных данных, обрабатываемых оператором, может меняться, поэтому целесообразно этот перечень делать отдельным документом и не вносить его в Политику.

5. Порядок и условия обработки персональных данных

Раздел может содержать информацию о перечне действий с персональными данными и способах их обработки. Рекомендуется описать условия передачи персональных данных третьим лицам (в том числе гос. органам) и условия трансграничной передачи, в том числе наименование и местонахождение третьих лиц, которым осуществляется передача, её цели, объем передаваемых данных, перечень действий по их обработке. Также можно указать сведения о соблюдении требований конфиденциальности персональных данных и информацию о принятии оператором и принимающей стороной мер по обеспечению их безопасности. В этом же разделе, по мнению Роскомнадзора, будет уместно разместить информацию о сроках хранения персональных данных, условиях прекращения их обработки, месте расположения баз данных с персональными данными, а также об условиях неавтоматизированной обработки персональных данных.

 

Информация, рекомендуемая к размещению в этом разделе, тянет на несколько целых документов. Обычно это сведения из Положения об организации обработки персональных данных, Положения об обеспечении безопасности персональных данных и Положения об организации неавтоматизированной обработки персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В данном разделе рекомендуется описать действия оператора при обращении к нему субъекта персональных данных.

В новостях Роскомнадзора регулярно появляются сообщения о том, что те или иные организации нарушают, нарушают и нарушают законодательство о персональных данных, в частности, не размещают на своем сайте Политику по вопросам обработки персональных данных.

 

Напомню, что за отсутствие неограниченного доступа к Политике оператору грозит штраф в размере 15 - 30 тыс. рублей.

Многие мои клиенты в начале сотрудничества задаются вопросом – а зачем нам вообще выполнять требования ФЗ «О персональных данных», ведь мы – маленькая организация и в штате у нас только один директор?

 

Действительно, резонный вопрос.

 

Давайте разбираться.

 

Во-первых, федеральный закон обязателен для исполнения каждым оператором персональных данных. Коим является и субъект малого предпринимательства, и микропредприятие.

 

Во-вторых, Роскомнадзор (орган исполнительной власти, контролирующий обработку персональных данных) регулярно проводит плановые проверки юридических лиц на соответствие требованиям законодательства о персональных данных. В план попадают и микропредприятия. В феврале 2017 года Роскомнадзор пришел в гости к организации, в которой в штатном расписании числился только директор, а местом обработки данных была указана его квартира. Проверяющие забрали документы на проверку и попили чай с родителями директора фирмы.

 

В-третьих, Роскомнадзор проводит и неожиданные для руководства внеплановые проверки организаций. Поводом для внеплановой проверки может послужить, например, мотивированное обращение или жалоба граждан (клиентов, сотрудников) на компанию. Также специалисты Роскомнадзора проводят мероприятия систематического наблюдения за операторами, проще говоря, мониторят сайты операторов на предмет наличия на них политики по персональным данным и формы согласий на обработку данных (если оператор собирает персональные данные через свой сайт). По итогам таких мероприятий Роскомнадзор также может внезапно прийти в гости к организации, предупредив руководителя о проверке лишь за одни сутки.

 

В-четвёртых, требования о защите персональных данных работников присутствуют в Трудовом кодексе РФ. Этой теме посвящена глава 14 ТК РФ. Инспекция по труду проверяет наличие положений по персональным данным, согласий на обработку персональных данных работников, подтверждение фактов ознакомления работников с внутренними регламентами по персональным данным и другие документы и локальные акты, регламентирующие обработку персональных данных работников. Инспекторы вправе проверить и документацию, касающуюся уволенных работников.

 

В-пятых, за несоблюдение требований ФЗ «О персональных данных» для юридических лиц и индивидуальных предпринимателей предусмотрены немалые штрафы.

Таким правонарушениям посвящена статья 13.11 КоАП РФ, изменения в которую вступят в силу с 01.07.2017 года и повлекут максимальный штраф в 75 000 р.

За несоблюдение требований Трудового кодекса статьёй 5.27 КоАП РФ предусмотрен максимальный штраф 50 000 р.

 

В-шестых, просто введите в поисковик фразу «купить базу данных клиентов». Сотни предложений. Хотели бы вы, чтобы вся годами наработанная вами база клиентов ушла в другие руки из-за корысти одного недобросовестного менеджера по продажам? Конечно, для контроля и защиты конфиденциальной информации нужно использовать специальные программы и средства. Но первым шагом является именно организационная защита информации, разработка документов, в которых прописано, с какими именно сведениями конфиденциального характера работает сотрудник, что конкретно с этими сведениями делать нельзя и, собственно, что ему за это будет, т.е. его личная, персональная ответственность за их разглашение.

 

И, наконец, в-седьмых. Многие наши граждане, особенно молодежь, юридически подкованы, законы почитывают. И многие знают как свои права, так и ваши обязанности. Поэтому в списке конкурентных преимуществ пункт о том, что в вашей организации персональные данные клиентов надежно защищены и не попадут в чужие руки будет выглядеть очень даже привлекательно. Особенно сегодня, когда о постоянных утечках данных и об угрозах информации в сети Интернет не говорит только ленивый.

 

Если вы не хотите лишней траты денег и времени, которое иногда имеет бОльшую ценность, чем рубли, то закажите разработку пакета документов по персональным данным у профессионала и, как говорится, спите спокойно.

 

Если же к вам вдруг пришла проверка, то смело обращайтесь, разработка документов по персональным данным для вашей организации не займет много времени.

Сегодня я расскажу вам о том, когда нужно брать письменное согласие на обработку персональных данных и как это согласие должно выглядеть.

 

В ФЗ № 152 «О персональных данных» (далее – ФЗ № 152) четко обозначены 4 случая, в которых письменное согласие необходимо:

1) включение персональных данных в общедоступные источники, например, телефонные справочники или корпоративные социальные сети, что часто встречается на больших предприятиях (ст. 8 ФЗ № 152);

2) обработка специальных категорий персональных данных, например, данных о здоровье (п. 1 ч. 2 ст. 10 ФЗ №152) с исключениями (п. 2-10 ч. 2 ст. 10 ФЗ № 152);

3) обработка биометрических персональных данных (ч. 1 ст. 11 ФЗ № 152) с исключениями (ч. 2 ст. 11 ФЗ № 152);

4) передача персональных данных в страны, не обеспечивающие их адекватной защиты, т.е. страны, не входящие в этот и этот списки (п. 1 ч. 4 ст. 12 ФЗ № 152) с исключениями (п. 2-5 ч. 4 ст. 12 ФЗ № 152).

 

Операторами персональных данных являются абсолютно все работодатели, поэтому давайте посмотрим, что о наличии письменного согласия нам говорит Трудовой кодекс. А говорит он только про передачу персональных данных: если вы хотите передавать персональные данные работников третьим сторонам, то возьмите с них на это согласие в письменном виде (ст. 88 ТК РФ). 

Например, при заключении работодателем договора с медицинской организацией на добровольное медицинское страхование работников нужно взять письменное согласие на передачу персональных данных работников страховщику. Ещё пример: передача персональных данных работников на аутсорсинг в компанию, оказывающую услуги по бухгалтерскому учету, тоже возможна только с письменного согласия работника.

 

Но такое правило действует не во всех случаях.

 

Если передача персональных данных работников предусмотрена трудовым или иным законодательством, то её можно осуществлять без письменного согласия.

 

Например, передача персональных данных работников в банк в рамках зарплатного проекта не требует письменного согласия работника, т.к. она предусмотрена Трудовым кодексом (ст. 136 ТК РФ). Единственным требованием является определение условий такой передачи коллективным договором (об этом чуть ниже).

 

Возникает вопрос о том, нужно ли брать письменное согласие на обработку персональных данных работников при устройстве на работу?

ТК РФ никак не регламентирует особенности хранения персональных данных работников и другие виды их обработки, а также необходимость письменного согласия на обработку.

Если четко следовать закону, то такого согласия не нужно. Основания два:

1) пп. 2 п. 1 ст. 6 ФЗ № 152 - обработка персональных данных работника работодателем необходима для достижения целей, предусмотренных ТК РФ, и для осуществления и выполнения возложенных ТК РФ на оператора, как работодателя, функций, полномочий и обязанностей;

2) пп. 5 п. 1 ФЗ № 152 - работник является стороной трудового договора с оператором.

 

При этом объем собираемых персональных данных не должен быть избыточным (можно собирать только то, что предусмотрено ст. 57 и 65 ТК РФ), а обработка не должна вестись в целях, выходящих за рамки ТК РФ.

 

Но в разъяснении Роскомнадзора по кадровым вопросам говорится о том, что согласие у работников брать не нужно только в том случае, если в организации действует коллективный договор, в котором прописаны все случаи обработки персональных данных, либо в организации приняты локальные нормативные акты по вопросам обработки персональных данных в порядке, установленном статьей 372 ТК РФ.

Т.е. заключенный трудовой договор между работником и работодателем не является основанием для обработки персональных данных работников без их письменного согласия.

 

Вывод можно сделать один: во избежание вопросов от проверяющих (если отсутствуют прописанные в коллективном договоре условия хранения, передачи и других операций с персональными данными) я советую брать письменное согласие у работников.

 

Отдельно стоит сказать про обработку данных о здоровье работников. Данные, относящиеся к вопросу о возможности выполнения работником своих трудовых обязанностей, могут обрабатываться работодателем без письменного согласия на основании п. 2.3 ч. 2 ст. 10 ФЗ № 152. Но с учетом того, что письменное согласие брать всё-таки рекомендуется, то в него стоит включить и информацию о специальных категориях обрабатываемых персональных данных.

 

Теперь посмотрим, как должно выглядеть письменное согласие на обработку персональных данных.

В соответствии с ч. 4 ст. 9 ФЗ № 152 письменное согласие должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 

9) подпись субъекта персональных данных. 

 

С 1 июля 2017 года вступают в силу поправки в КоАП РФ, устанавливающие новые штрафы  за нарушение требований к обработке персональных данных. Максимальный штраф за отсутствие письменного согласия, а также за некорректно составленное письменное согласие составит 75 000 р.

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 N 13-ФЗ

"О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".

 

Закон меняет ст.13.11 и устанавливает 7 конкретных нарушений, за которые будет предусмотрена административная ответственность:

Часть статьи	Административное правонарушение	Подробнее о правонарушении	Штраф (для юр. лиц)
1	Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.	Обработка персональных данных человека допускается на основании: - его согласия; - Налогового и Трудового Кодексов и других законодательных актов; - договора, стороной которого он является; - других случаев, перечисленных в ч.1 ст.6 ФЗ №152 «О персональных данных» (далее – ФЗ №152). Персональные данные должны использоваться только для достижения конкретных целей, поставленных перед их сбором.   Примеры нарушений: - оператор производит сбор персональных данных на сайте, не предусмотрев наличия галочки о согласии на их обработку; - оператор производит сбор персональных данных для регистрации на сайте, а использует для рассылки рекламы.	30 - 50 т.р.
2	Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.	Существует 5 случаев, в которых необходимо брать письменное согласие на обработку персональных данных: 1) создание общедоступных источников персональных данных, например, адресных книг, справочников и т.п. (ст.8 ФЗ №152); 2) обработка специальных категорий персональных данных, к которым относятся данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья и интимной жизни (ст.10 ФЗ №152); 3) обработка биометрических персональных данных (ст.11 ФЗ №152); 4) передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (ст.12 ФЗ №152). Это страны, не ратифицировавшие Конвенцию о защите физических лиц при автоматизированной обработке персональных данных и не входящие в перечень, утвержденный приказом Роскомнадзора от 15.03.2013 №274; 5) передача персональных данных работников третьим лицам, не предусмотренная ТК РФ или другими ФЗ (ст. 88 ТК РФ).   Требования к составу письменного согласия указаны в ч.4 ст.9 ФЗ №152.   Примеры нарушений: - обработка сведений о состоянии здоровья клиентов частного медицинского центра без их письменного согласия на обработку; - письменное согласие не содержит перечня персональных данных, на обработку которых человек даёт своё согласие.	15 - 75 т.р.
3	Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.	Оператор должен вывесить Политику в отношении обработки персональных данных на видном общедоступном месте (например, на доске информации) согласно ч.2 ст.18.1 ФЗ №152. Если персональные данные собираются через форму на сайте, то на этом сайте также должна быть опубликована Политика.   Примеры нарушений: - доступ к вывешенной Политике ограничен (клиент не может свободно пройти и ознакомиться с ней); - на сайте форма для сбора персональных данных есть, а Политики нет.	15 - 30 т.р.
4	Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.	Любой человек может запросить у оператора информацию об обрабатываемых им персональных данных согласно ч.7 ст.14 ФЗ №152. Невыполнение этого требования (непредоставление информации или предоставление неполной или ложной информации) является нарушением.	20 - 40 т.р.
5	Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.	Если персональные данные человека изменились (изменился номер телефона, адрес, фамилия и т.д.), то он имеет право требовать, чтобы оператор (например, банк) и у себя внёс соответствующие изменения в данные. Также можно требовать уничтожения персональных данных в случае, если они были получены незаконно или цель их обработки достигнута (при отсутствии у оператора законных оснований продолжать обработку). Пример нарушения (из жизни): вам звонят из недавно открывшегося театра и приглашают посетить ближайший спектакль. На вопрос «откуда вы знаете моё имя и номер телефона?» ответ такой: «ваша мама/тётя/бабушка недавно у нас была и в анкете указала ваши данные как человека, кому бы она порекомендовала к нам сходить». Вы точно знаете, что ваша родственница в таком месте не была. На лицо пример незаконного получения персональных данных. Если по запросу оператор не удалит их из своей базы, то это будет являться нарушением.	25 - 45 т.р.
6	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных.	При хранении материальных носителей персональных данных (документов, договоров, карточек в картотеке и пр.) оператор должен самостоятельно установить следующие меры: - меры, необходимые для обеспечения сохранности персональных данных; - меры, исключающие несанкционированный доступ к персональным данным. Об этом сказано в п.15 Постановления Правительства от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».   Примером нарушения будет невыполнение правил, определенных самим оператором в своих локальных актах, повлекшее указанные негативные последствия. А вот наказание за несоблюдение остальных пунктов Постановления Правительства (кроме п.14) под вопросом, т.к. в них уже говорится совсем не о хранении материальных носителей персональных данных.	25 - 50 т.р.
7	Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.	Для государственных и муниципальных органов подпунктом з) пункта 1 Постановления Правительства РФ от 21.03.2012 №211 установлена обязанность по обезличиванию персональных данных. Приказом Роскомнадзора от 05.09.2013 №996 установлены требования и методы по обезличиванию персональных данных (а также в помощь операторам госам и муниципалам выпущены методические рекомендации по обезличиванию, утвержденные Роскомнадзором 13.12.2013 г.).   Примеры нарушений: - несоблюдение правил обезличивания (например, после обезличивания часть данных теряется, т.е. не соблюдается требование сохранения полноты обезличенных данных).	3-6 т.р. только для должностных лиц

 

Также закон меняет название самой статьи в КОАП – раньше она называлась «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», теперь – «Нарушение законодательства Российской Федерации в области персональных данных». О чем это говорит? О том, что теперь Роскомнадзор с полным правом может проверять выполнение требований не только ФЗ №152 «О персональных данных», но и Трудового кодекса (а именно главы 14, описывающей правила обработки персональных данных работников).

 

Нововведения вступают в силу уже с 1 июля 2017 года. Но заняться приведением обработки ПДн в соответствие с законом нужно уже сейчас.