Тэг: ФЗ 152

СТАТЬИ

Трансграничная передача персональных данных


Как подготовиться к проверке Роскомнадзора?


В каких случаях требуется отправлять уведомление об изменениях в обработке персональных данных в Роскомнадзор?


Роскомнадзор просит предоставить информацию о месте нахождения баз данных граждан РФ. Что делать?


Изменения в законодательстве с 01.09.2015 г., вносимые федеральным законом от 21.07.2014 № 242-ФЗ


Проверки Роскомнадзора - ч. 2 (какие документы проверяет Роскомнадзор?)


Проверки Роскомнадзора - ч. 1 (плановые и внеплановые)


Уведомление об обработке персональных данных и реестр операторов Роскомнадзора – ч. 2 (результаты проверки Роскомнадзора)


Уведомление об обработке персональных данных и реестр операторов Роскомнадзора - ч. 1


Политика по персональным данным: рекомендации Роскомнадзора по составлению


А зачем вообще выполнять ФЗ «О персональных данных»?


Письменное согласие на обработку персональных данных


Здравствуй, весна! Здравствуйте, штрафы!


Кто может быть оператором персональных данных?


Что такое персональные данные?

А зачем вообще выполнять ФЗ «О персональных данных»?

Многие мои клиенты в начале сотрудничества задаются вопросом – а зачем нам вообще выполнять требования ФЗ «О персональных данных», ведь мы – маленькая организация и в штате у нас только один директор?

 

Действительно, резонный вопрос.

 

Давайте разбираться.

 

Во-первых, федеральный закон обязателен для исполнения каждым оператором персональных данных. Коим является и субъект малого предпринимательства, и микропредприятие.

 

Во-вторых, Роскомнадзор (орган исполнительной власти, контролирующий обработку персональных данных) регулярно проводит плановые проверки юридических лиц на соответствие требованиям законодательства о персональных данных. В план попадают и микропредприятия. В феврале 2017 года Роскомнадзор пришел в гости к организации, в которой в штатном расписании числился только директор, а местом обработки данных была указана его квартира. Проверяющие забрали документы на проверку и попили чай с родителями директора фирмы.

 

В-третьих, Роскомнадзор проводит и неожиданные для руководства внеплановые проверки организаций. Поводом для внеплановой проверки может послужить, например, мотивированное обращение или жалоба граждан (клиентов, сотрудников) на компанию. Также специалисты Роскомнадзора проводят мероприятия систематического наблюдения за операторами, проще говоря, мониторят сайты операторов на предмет наличия на них политики по персональным данным и формы согласий на обработку данных (если оператор собирает персональные данные через свой сайт). По итогам таких мероприятий Роскомнадзор также может внезапно прийти в гости к организации, предупредив руководителя о проверке лишь за одни сутки.

 

В-четвёртых, требования о защите персональных данных работников присутствуют в Трудовом кодексе РФ. Этой теме посвящена глава 14 ТК РФ. Инспекция по труду проверяет наличие положений по персональным данным, согласий на обработку персональных данных работников, подтверждение фактов ознакомления работников с внутренними регламентами по персональным данным и другие документы и локальные акты, регламентирующие обработку персональных данных работников. Инспекторы вправе проверить и документацию, касающуюся уволенных работников.

 

В-пятых, за несоблюдение требований ФЗ «О персональных данных» для юридических лиц и индивидуальных предпринимателей предусмотрены немалые штрафы.

Таким правонарушениям посвящена статья 13.11 КоАП РФ, изменения в которую вступят в силу с 01.07.2017 года и повлекут максимальный штраф в 75 000 р.

За несоблюдение требований Трудового кодекса статьёй 5.27 КоАП РФ предусмотрен максимальный штраф 50 000 р.

 

В-шестых, просто введите в поисковик фразу «купить базу данных клиентов». Сотни предложений. Хотели бы вы, чтобы вся годами наработанная вами база клиентов ушла в другие руки из-за корысти одного недобросовестного менеджера по продажам? Конечно, для контроля и защиты конфиденциальной информации нужно использовать специальные программы и средства. Но первым шагом является именно организационная защита информации, разработка документов, в которых прописано, с какими именно сведениями конфиденциального характера работает сотрудник, что конкретно с этими сведениями делать нельзя и, собственно, что ему за это будет, т.е. его личная, персональная ответственность за их разглашение.

 

И, наконец, в-седьмых. Многие наши граждане, особенно молодежь, юридически подкованы, законы почитывают. И многие знают как свои права, так и ваши обязанности. Поэтому в списке конкурентных преимуществ пункт о том, что в вашей организации персональные данные клиентов надежно защищены и не попадут в чужие руки будет выглядеть очень даже привлекательно. Особенно сегодня, когда о постоянных утечках данных и об угрозах информации в сети Интернет не говорит только ленивый.

 

Если вы не хотите лишней траты денег и времени, которое иногда имеет бОльшую ценность, чем рубли, то закажите разработку пакета документов по персональным данным у профессионала и, как говорится, спите спокойно.

 

Если же к вам вдруг пришла проверка, то смело обращайтесь, разработка документов по персональным данным для вашей организации не займет много времени.

Письменное согласие на обработку персональных данных

Сегодня я расскажу вам о том, когда нужно брать письменное согласие на обработку персональных данных и как это согласие должно выглядеть.

 

В ФЗ № 152 «О персональных данных» (далее – ФЗ № 152) четко обозначены 4 случая, в которых письменное согласие необходимо:

1) включение персональных данных в общедоступные источники, например, телефонные справочники или корпоративные социальные сети, что часто встречается на больших предприятиях (ст. 8 ФЗ № 152);

2) обработка специальных категорий персональных данных, например, данных о здоровье (п. 1 ч. 2 ст. 10 ФЗ №152) с исключениями (п. 2-10 ч. 2 ст. 10 ФЗ № 152);

3) обработка биометрических персональных данных (ч. 1 ст. 11 ФЗ № 152) с исключениями (ч. 2 ст. 11 ФЗ № 152);

4) передача персональных данных в страны, не обеспечивающие их адекватной защиты, т.е. страны, не входящие в этот и этот списки (п. 1 ч. 4 ст. 12 ФЗ № 152) с исключениями (п. 2-5 ч. 4 ст. 12 ФЗ № 152).

 

Операторами персональных данных являются абсолютно все работодатели, поэтому давайте посмотрим, что о наличии письменного согласия нам говорит Трудовой кодекс. А говорит он только про передачу персональных данных: если вы хотите передавать персональные данные работников третьим сторонам, то возьмите с них на это согласие в письменном виде (ст. 88 ТК РФ). 

Например, при заключении работодателем договора с медицинской организацией на добровольное медицинское страхование работников нужно взять письменное согласие на передачу персональных данных работников страховщику. Ещё пример: передача персональных данных работников на аутсорсинг в компанию, оказывающую услуги по бухгалтерскому учету, тоже возможна только с письменного согласия работника.

 

Но такое правило действует не во всех случаях.

 

Если передача персональных данных работников предусмотрена трудовым или иным законодательством, то её можно осуществлять без письменного согласия.

 

Например, передача персональных данных работников в банк в рамках зарплатного проекта не требует письменного согласия работника, т.к. она предусмотрена Трудовым кодексом (ст. 136 ТК РФ). Единственным требованием является определение условий такой передачи коллективным договором (об этом чуть ниже).

 

Возникает вопрос о том, нужно ли брать письменное согласие на обработку персональных данных работников при устройстве на работу?


ТК РФ никак не регламентирует особенности хранения персональных данных работников и другие виды их обработки, а также необходимость письменного согласия на обработку.

Если четко следовать закону, то такого согласия не нужно. Основания два:

1) пп. 2 п. 1 ст. 6 ФЗ № 152 - обработка персональных данных работника работодателем необходима для достижения целей, предусмотренных ТК РФ, и для осуществления и выполнения возложенных ТК РФ на оператора, как работодателя, функций, полномочий и обязанностей;

2) пп. 5 п. 1 ФЗ № 152 - работник является стороной трудового договора с оператором.

 

При этом объем собираемых персональных данных не должен быть избыточным (можно собирать только то, что предусмотрено ст. 57 и 65 ТК РФ), а обработка не должна вестись в целях, выходящих за рамки ТК РФ.

 

Но в разъяснении Роскомнадзора по кадровым вопросам говорится о том, что согласие у работников брать не нужно только в том случае, если в организации действует коллективный договор, в котором прописаны все случаи обработки персональных данных, либо в организации приняты локальные нормативные акты по вопросам обработки персональных данных в порядке, установленном статьей 372 ТК РФ.

Т.е. заключенный трудовой договор между работником и работодателем не является основанием для обработки персональных данных работников без их письменного согласия.

 

Вывод можно сделать один: во избежание вопросов от проверяющих (если отсутствуют прописанные в коллективном договоре условия хранения, передачи и других операций с персональными данными) я советую брать письменное согласие у работников.

 

Отдельно стоит сказать про обработку данных о здоровье работников. Данные, относящиеся к вопросу о возможности выполнения работником своих трудовых обязанностей, могут обрабатываться работодателем без письменного согласия на основании п. 2.3 ч. 2 ст. 10 ФЗ № 152. Но с учетом того, что письменное согласие брать всё-таки рекомендуется, то в него стоит включить и информацию о специальных категориях обрабатываемых персональных данных.

 

Теперь посмотрим, как должно выглядеть письменное согласие на обработку персональных данных.

В соответствии с ч. 4 ст. 9 ФЗ № 152 письменное согласие должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 

9) подпись субъекта персональных данных. 

 

С 1 июля 2017 года вступают в силу поправки в КоАП РФ, устанавливающие новые штрафы  за нарушение требований к обработке персональных данных. Максимальный штраф за отсутствие письменного согласия, а также за некорректно составленное письменное согласие составит 75 000 р.

Здравствуй, весна! Здравствуйте, штрафы!

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 N 13-ФЗ

"О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".

 

Закон меняет ст.13.11 и устанавливает 7 конкретных нарушений, за которые будет предусмотрена административная ответственность:


Часть

статьи

Административное правонарушение Подробнее о правонарушении

Штраф

(для юр. лиц)

1 Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Обработка персональных данных человека допускается на основании:

- его согласия;

- Налогового и Трудового Кодексов и других законодательных актов;

- договора, стороной которого он является;

- других случаев, перечисленных в ч.1 ст.6 ФЗ №152 «О персональных данных» (далее – ФЗ №152).

Персональные данные должны использоваться только для достижения конкретных целей, поставленных перед их сбором.

 

Примеры нарушений:

- оператор производит сбор персональных данных на сайте, не предусмотрев наличия галочки о согласии на их обработку;

- оператор производит сбор персональных данных для регистрации на сайте, а использует для рассылки рекламы.

30 - 50 т.р.
2 Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Существует 5 случаев, в которых необходимо брать письменное согласие на обработку персональных данных:

1) создание общедоступных источников персональных данных, например, адресных книг, справочников и т.п. (ст.8 ФЗ №152);

2) обработка специальных категорий персональных данных, к которым относятся данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья и интимной жизни (ст.10 ФЗ №152);

3) обработка биометрических персональных данных (ст.11 ФЗ №152);

4) передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (ст.12 ФЗ №152). Это страны, не ратифицировавшие Конвенцию о защите физических лиц при автоматизированной обработке персональных данных и не входящие в перечень, утвержденный приказом Роскомнадзора от 15.03.2013 №274;

5) передача персональных данных работников третьим лицам, не предусмотренная ТК РФ или другими ФЗ (ст. 88 ТК РФ).

 

Требования к составу письменного согласия указаны в ч.4 ст.9 ФЗ №152.

 

Примеры нарушений:

- обработка сведений о состоянии здоровья клиентов частного медицинского центра без их письменного согласия на обработку;

- письменное согласие не содержит перечня персональных данных, на обработку которых человек даёт своё согласие.

15 - 75 т.р.
3 Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Оператор должен вывесить Политику в отношении обработки персональных данных на видном общедоступном месте (например, на доске информации) согласно ч.2 ст.18.1 ФЗ №152. Если персональные данные собираются через форму на сайте, то на этом сайте также должна быть опубликована Политика.

 

Примеры нарушений:

- доступ к вывешенной Политике ограничен (клиент не может свободно пройти и ознакомиться с ней);

- на сайте форма для сбора персональных данных есть, а Политики нет.
15 - 30 т.р.
4 Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Любой человек может запросить у оператора информацию об обрабатываемых им персональных данных согласно ч.7 ст.14 ФЗ №152. Невыполнение этого требования (непредоставление информации или предоставление неполной или ложной информации) является нарушением. 20 - 40 т.р.
5 Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Если персональные данные человека изменились (изменился номер телефона, адрес, фамилия и т.д.), то он имеет право требовать, чтобы оператор (например, банк) и у себя внёс соответствующие изменения в данные. Также можно требовать уничтожения персональных данных в случае, если они были получены незаконно или цель их обработки достигнута (при отсутствии у оператора законных оснований продолжать обработку).

Пример нарушения (из жизни): вам звонят из недавно открывшегося театра и приглашают посетить ближайший спектакль. На вопрос «откуда вы знаете моё имя и номер телефона?» ответ такой: «ваша мама/тётя/бабушка недавно у нас была и в анкете указала ваши данные как человека, кому бы она порекомендовала к нам сходить». Вы точно знаете, что ваша родственница в таком месте не была. На лицо пример незаконного получения персональных данных. Если по запросу оператор не удалит их из своей базы, то это будет являться нарушением.
25 - 45 т.р.
6 Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных.

При хранении материальных носителей персональных данных (документов, договоров, карточек в картотеке и пр.) оператор должен самостоятельно установить следующие меры:

- меры, необходимые для обеспечения сохранности персональных данных;

- меры, исключающие несанкционированный доступ к персональным данным.

Об этом сказано в п.15 Постановления Правительства от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

Примером нарушения будет невыполнение правил, определенных самим оператором в своих локальных актах, повлекшее указанные негативные последствия. А вот наказание за несоблюдение остальных пунктов Постановления Правительства (кроме п.14) под вопросом, т.к. в них уже говорится совсем не о хранении материальных носителей персональных данных.
25 - 50 т.р.
7 Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.

Для государственных и муниципальных органов подпунктом з) пункта 1 Постановления Правительства РФ от 21.03.2012 №211 установлена обязанность по обезличиванию персональных данных. Приказом Роскомнадзора от 05.09.2013 №996 установлены требования и методы по обезличиванию персональных данных (а также в помощь операторам госам и муниципалам выпущены методические рекомендации по обезличиванию, утвержденные Роскомнадзором 13.12.2013 г.).

 

Примеры нарушений:

- несоблюдение правил обезличивания (например, после обезличивания часть данных теряется, т.е. не соблюдается требование сохранения полноты обезличенных данных).
3-6 т.р. только для должностных лиц

 

Также закон меняет название самой статьи в КОАП – раньше она называлась «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», теперь – «Нарушение законодательства Российской Федерации в области персональных данных». О чем это говорит? О том, что теперь Роскомнадзор с полным правом может проверять выполнение требований не только ФЗ №152 «О персональных данных», но и Трудового кодекса (а именно главы 14, описывающей правила обработки персональных данных работников).

 

Нововведения вступают в силу уже с 1 июля 2017 года. Но заняться приведением обработки ПДн в соответствие с законом нужно уже сейчас.

Кто может быть оператором персональных данных?


Что такое персональные данные я рассказала в предыдущей статье.

А сейчас рассмотрим, кто такой оператор персональных данных.

 

Оператором персональных данных может быть любой государственный или муниципальный орган, любое юридическое или физическое лицо, любой индивидуальный предприниматель. Чтобы называться оператором персональных данных, должны одновременно выполняться несколько условий:

- вы организуете работу или непосредственно работаете с персональными данными

(заключаете договора, причем неважно – с юридическими или физическими лицами, собираете данные клиентов, храните базы данных, картотеки с информацией о людях, обновляете их периодически, передаёте данные другим фирмам или людям, размещаете данные на сайте в сети Интернет, удаляете данные из баз, уничтожаете документы с персональными данными и пр.);

- вы определяете цели обработки этих данных

(храните трудовые книжки и личные дела с целью исполнения требований трудового законодательства, собираете данные клиентов с целью рассылать им смс рекламу, заключаете договора с целью выполнения договорных обязательств, ведёте реестр клиентов с целью оказания им услуг и пр.);

- вы определяете состав обрабатываемых персональных данных

(например, в вашей организации обрабатываются фамилия, имя, отчество, дата рождения, место рождения, номер телефона, паспортные данные и подпись клиента);

- вы определяете действия, которые с персональными данными осуществляются

(сбор, хранение, запись, уточнение (изменение, обновление), использование, обезличивание, передача (распространение, предоставление, доступ), уничтожение, удаление и пр.).

 

Со 100-процентной уверенностью можно сказать, что оператором персональных данных является любой работодатель, любая фирма или ИП, работающие со своими клиентами по договорам (сам договор содержит персональные данные) или без таковых (записываете данные у себя в блокнотике).

 

Многие интернет-магазины ведут деятельность на основе публичной оферты, не заключая с каждым клиентом договор в письменной форме. Замечательно, так делать можно в соответствии со ст. 437 Гражданского Кодекса РФ. Обычно при таком способе взаимодействия с клиентом собирается полный набор персональных данных (фамилия, имя, отчество, телефон, адрес и др.) для доставки почтой. Но если на сайте собираются только, например, логин и пароль (без имени), то это не дотягивает до персональных данных, и если у такой фирмы нет в штате работников, то оператором она не является (хотя тут тоже можно поспорить, ведь юр. лицо обрабатывает персональные данные своего руководителя, который точно есть).

 

Если ваша организация является оператором персональных данных, но в реестре операторов Роскомнадзора не числится, то требования ФЗ "О персональных данных" вам необходимо выполнять всё равно.

 

У наблюдательного читателя, скорее всего, возник вопрос о том, что такое реестр Роскомнадзора. Об этом вы узнаете из следующей моей статьи.

 

До встречи на страницах этого сайта!

Что такое персональные данные?

Здравствуйте!

 

Меня зовут Анастасия Успенская. А вас? Мужчина вы или женщина? Сколько вам лет? Где вы работаете? В каком городе живете? Какого цвета ваши глаза?

 

Можете не отвечать, просто представьте, что ответы на подобные вопросы о вас являются не чем иным, как персональными данными.

Это данные о персоне, о человеке.

 

Даже то, что вы добровольно выкладываете в социальные сети - тоже является персональными данными: и фотографии с посиделок у друзей, и видеозапись вчерашней тренировки по настольному теннису, и выжимка из рассказов о ваших интересах и увлечениях. Что и говорить об информации, которая собирается при введении вами запросов в поисковиках и посещении различных сайтов.

 

Меньше всего повезло работодателям. При устройстве на работу человек предоставляет свои документы (минимальный набор - это паспорт, документ об образовании, страховое свидетельство обязательного пенсионного страхования, трудовая книжка), содержащие его персональные данные.

 

Даже если вы работаете как индивидуальный предприниматель, не имеете в штате сотрудников и всего лишь заключаете договора на оказание каких-либо услуг, то вы всё равно обрабатываете персональные данные представителя заказчика: фамилию, имя, отчество, должность, место работы, подпись, иногда контактные данные этого представителя (номер личного телефона, адрес электронной почты).

 

Одним словом, персональные данные везде и всюду, и иногда небрежное к ним отношение как со стороны оператора (того, кто ведёт обработку), так и со стороны субъекта (того, чьи данные обрабатываются) ведёт к достаточно неприятным для обоих последствиям. Но это тема другой статьи.