Тэг: персональные данные

В прошлой статье я рассказывала о том, как выглядит уведомление об обработке персональных данных для Роскомнадзора и что такое реестр операторов персональных данных.

Сегодняшнюю статью меня побудили написать результаты проверки, проведенной летом 2018 года в одной иркутской организации. Руководитель организации самостоятельно принял решение подать уведомление после окончания проверки. И, конечно же, проверяющие вынесли это нарушение в Предписание.

Интерес представляет то, как обосновывается отсутствие уведомления.

Почитайте сами:

Ещё для осмысления – фрагмент научно-практического постатейного комментария ФЗ № 152 «О персональных данных» от 2015 года (под редакцией зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой).

Приведу фрагмент комментария относительно ст. 22 ФЗ № 152 «О персональных данных»:

А вот точка зрения РКН, касающаяся соответствия обработки ПДн трудовому законодательству:

Какую же в итоге позицию Роскомнадзора мы имеем?

Уведомление нужно посылать во всех случаях, не попадающих под исключения. Если деятельность попадает хотя бы под одно исключение, то она должна полностью попадать под остальные. Т.е., судя по логике РКН, Оператор должен рассмотреть свою деятельность и сравнить её поочерёдно со всеми исключениями из ч. 2 ст. 22.

Видимо, примерно так рассуждали проверяющие из Иркутска:

1) обрабатывает ПДн в соответствии с трудовым законодательством. Оператор обрабатывает ПДн в соответствии с иным законодательством (ФЗ № 402, ФЗ № 27) – всё, уведомление нужно.

Обработка ПДн работников в соответствии с ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» является обязанностью работодателя, т.е. входит в рамки трудового законодательства, но проверяющими РКН расценено как «иное». А как же быть с обработкой данных по договорам с клиентами (следующее исключение из п. 2), которая происходит в соответствии с Гражданским и Налоговым кодексом? Вопрос…

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных… . Есть ПДн субъектов, с которыми договора не заключаются (родственники работников) – нужно посылать уведомление.

3) относящихся к членам (участникам) общественного объединения или религиозной организации… – этот пункт к организации не относится? Пропускаем.

4) сделанных субъектом персональных данных общедоступными – нет таких данных? Пропускаем.

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных.

Не знаю, как рассуждали проверяющие, но очень странно, что несоответствие этому пункту не было отмечено в Предписании. Логика нарушается.

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях. Нет СКУДА или охраны? Пропускаем.

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем… У Оператора ГИС нет, это исключение пропускаем.

8) обрабатываемых без использования средств автоматизации…  Используется 1С, значит используются средства автоматизации, значит под исключение не попадает.

Интересно, найдётся ли сегодня хоть одна организация, не использующая в своей деятельности компьютеры?

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности… С этим деятельность Оператора не связана, пропускаем.

Таким образом, можно сказать, что компаний, деятельность которых полностью подходит под исключения, не существует. Поэтому лучший вариант – просто подать уведомление, чем доказывать потом, что вы всё-таки попадаете под исключения.

Ещё хотелось бы написать о мнении РКН о зарплатных проектах и о том, что они не входят в рамки трудового законодательства. Как уже писала в статье про письменное согласие на обработку, в ст. 136 ТК РФ четко прописано, что «заработная плата выплачивается работнику, как правило, в месте выполнения им работы либо переводится в кредитную организацию, указанную в заявлении работника, на условиях, определенных коллективным договором или трудовым договором». Таким образом, зарплатный проект предусмотрен трудовым законодательством.

Многие слышали о том, что нужно подавать информацию об обработке персональных данных. А куда, зачем и к чему это ведёт – понимание обычно туманное. Настало время прояснить ситуацию.

Одна из обязанностей оператора, предусмотренная ст. 22 ФЗ № 152 «О персональных данных», – подать уведомление, содержащее сведения о компании и об обработке персональных данных (далее – ПДн), в Роскомнадзор.

Стоит сразу сказать, что есть случаи, когда оператор может не подавать уведомление в Роскомнадзор (далее – РКН). Самые распространенные из них:

1) обработка ПДн ведётся в соответствии с трудовым законодательством. Но здесь нужно быть бдительным, потому что, например, передача ПДн в банк предусмотрена ТК РФ, а передача по ДМС – не предусмотрена и, следовательно, такая обработка под исключение не попадает;

2) ПДн получены оператором при заключении договора с субъектом. Это исключение работает только при выполнении 3-х обязательных условий: ПДн не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно в целях выполнения договора;

3) обработка общедоступных ПДн;

4) ПДн содержатся в ГИС;

5) ПДн обрабатываются без использования средств автоматизации, т.е. без использования компьютеров.

Уведомление должно содержать данные о наименовании и адресе оператора, о целях обработки, категориях ПДн и субъектов, о правовых основаниях обработки данных, перечне действий и способах обработки, описание реализованных мер защиты и обеспечения безопасности ПДн, ФИО и контактные данные ответственного за организацию обработки, дату начала обработки (обычно это дата постановки на учет в налоговом органе) и дату или условие прекращения обработки ПДн (в 99% случаев организация прекращает обрабатывать ПДн при ликвидации юр. лица), данные о трансграничной передаче ПДн и сведения о месте нахождения баз данных ПДн граждан РФ.

Форма уведомления заполняется в электронном виде на официальном сайте РКН, после заполнения её нужно распечатать на официальном бланке, подписать у руководителя и отнести в своё Управление Роскомнадзора.

В законе сказано, что оператор обязан подать данные ещё до начала их обработки, но, как показывает практика, это делают далеко не все. Роскомнадзор за позднее уведомление не наказывает.

После подачи уведомления об обработке организация попадает в реестр операторов персональных данных. Это, как уже стало понятно, база, в которой хранятся сведения об операторах, подавших уведомление на внесение в реестр Роскомнадзора.

По закону организация должна уведомить РКН об изменении сведений в реестре в течение 10 дней с даты возникновения таких изменений. Поэтому лицо, ответственное за организацию обработки ПДн в организации, должно следить за актуальностью сведений в реестре и своевременно уведомлять РКН.

Существует один миф о том, что если организация присутствует в реестре операторов, то вероятность её проверки выше. На самом деле это не так. Проверки проводятся как для организаций из реестра, так и для тех, кто уведомление не подал.

Рассмотрим пример. Управление Роскомнадзора по Центральному федеральному округу запланировало на июнь 2018 года проверку 3-х организаций, в реестре не было ни одной из них, на июль 2018 года – проверку также 3-х организаций, из них только 1 числилась в реестре, только в августе все 4 организации были в реестре.

На июнь 2018 года Управлением Роскомнадзора по Уральскому федеральному округу было запланировано 3 проверки организаций, из них в реестре на тот момент числилась 1 организация, в июле эти цифры составили также 3 и 1, в августе – 3 и 0.

А вот цифры для Северо-Западного федерального округа. На июнь, июль и август 2018 года было запланировано по 2 проверки, в реестре каждый раз числилась только 1 компания из двух.

Получается, что в среднем только 39% организаций, входящих в реестр операторов, попадают в план проверок.

Сейчас РКН использует так называемый «мониторинг» сайтов в Интернете и проверяет, есть ли у форм обратной связи галочка о согласии, размещена ли Политика по персональным данным, сбор каких данных ведётся. И в том числе таким вот образом выявляет потенциальных нарушителей закона.

В конце июля 2017 года Роскомнадзор опубликовал Рекомендации по составлению политики оператора в отношении обработки персональных данных. Давайте подробно рассмотрим этот документ. Но вначале вспомним, что из себя представляет Политика по персональным данным и почему она так важна.

Политика по персональным данным - локальный документ, содержащий сведения об операторе, принципы обработки персональных данных, а также описание обработки персональных данных оператором.

Согласно ч. 2 ст. 18.1 ФЗ № 152 «О персональных данных» оператор обязан опубликовать Политику у себя на сайте или разместить её бумажную версию на доске информации или в любом другом месте, к которому имеется неограниченный доступ.

Отдельно стоит сказать о ситуации, когда оператор ведёт сбор персональных данных через интернет на своём сайте, используя формы регистрации, обратной связи, приёма заказов, «вопрос-ответ» и подобные. В этом случае оператор обязан разместить Политику именно у себя на сайте.

Как показывает практика, даже если в форме нужно указать только имя (без фамилии) и адрес электронной почты, по которым без дополнительной информации практически нереально установить личность человека, то специалисты Роскомнадзора всё равно приравнивают этот набор информации к персональным данным и требуют наличия Политики и «галочки» о согласии с обработкой персональных данных на сайте.

Итак, Роскомнадзор рекомендует придерживаться следующего содержания Политики:

1. Общие положения

Основные понятия, используемые в Политике, назначение Политики, права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Цели обработки в основном формируются из фактической деятельности оператора и из конкретных бизнес-процессов, а также из результатов анализа правовых актов, регламентирующих деятельность оператора.

3. Правовые основания обработки персональных данных

В качестве правового основания обработки персональных данных могут быть указаны:

- статьи федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью оператора;

- уставные документы оператора;

- договоры, заключаемые между оператором и субъектом персональных данных;

- согласие на обработку персональных данных.

Роскомнадзор отмечает, что ФЗ № 152 «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Как понятно из заголовка, в разделе рекомендуется указать объем обрабатываемых персональных данных, их категории, а также категории субъектов, чьи персональные данные обрабатывает оператор. Роскомнадзор рекомендует перечислить весь перечень обрабатываемых персональных данных, а также описать все случаи обработки специальных категорий персональных данных.

Исходя из практики, перечень категорий персональных данных, обрабатываемых оператором, может меняться, поэтому целесообразно этот перечень делать отдельным документом и не вносить его в Политику.

5. Порядок и условия обработки персональных данных

Раздел может содержать информацию о перечне действий с персональными данными и способах их обработки. Рекомендуется описать условия передачи персональных данных третьим лицам (в том числе гос. органам) и условия трансграничной передачи, в том числе наименование и местонахождение третьих лиц, которым осуществляется передача, её цели, объем передаваемых данных, перечень действий по их обработке. Также можно указать сведения о соблюдении требований конфиденциальности персональных данных и информацию о принятии оператором и принимающей стороной мер по обеспечению их безопасности. В этом же разделе, по мнению Роскомнадзора, будет уместно разместить информацию о сроках хранения персональных данных, условиях прекращения их обработки, месте расположения баз данных с персональными данными, а также об условиях неавтоматизированной обработки персональных данных.

Информация, рекомендуемая к размещению в этом разделе, тянет на несколько целых документов. Обычно это сведения из Положения об организации обработки персональных данных, Положения об обеспечении безопасности персональных данных и Положения об организации неавтоматизированной обработки персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В данном разделе рекомендуется описать действия оператора при обращении к нему субъекта персональных данных.

В новостях Роскомнадзора регулярно появляются сообщения о том, что те или иные организации нарушают, нарушают и нарушают законодательство о персональных данных, в частности, не размещают на своем сайте Политику по вопросам обработки персональных данных.

Напомню, что за отсутствие неограниченного доступа к Политике оператору грозит штраф в размере 15 - 30 тыс. рублей.

Многие мои клиенты в начале сотрудничества задаются вопросом – а зачем нам вообще выполнять требования ФЗ «О персональных данных», ведь мы – маленькая организация и в штате у нас только один директор?

Действительно, резонный вопрос.

Давайте разбираться.

Во-первых, федеральный закон обязателен для исполнения каждым оператором персональных данных. Коим является и субъект малого предпринимательства, и микропредприятие.

Во-вторых, Роскомнадзор (орган исполнительной власти, контролирующий обработку персональных данных) регулярно проводит плановые проверки юридических лиц на соответствие требованиям законодательства о персональных данных. В план попадают и микропредприятия. В феврале 2017 года Роскомнадзор пришел в гости к организации, в которой в штатном расписании числился только директор, а местом обработки данных была указана его квартира. Проверяющие забрали документы на проверку и попили чай с родителями директора фирмы.

В-третьих, Роскомнадзор проводит и неожиданные для руководства внеплановые проверки организаций. Поводом для внеплановой проверки может послужить, например, мотивированное обращение или жалоба граждан (клиентов, сотрудников) на компанию. Также специалисты Роскомнадзора проводят мероприятия систематического наблюдения за операторами, проще говоря, мониторят сайты операторов на предмет наличия на них политики по персональным данным и формы согласий на обработку данных (если оператор собирает персональные данные через свой сайт). По итогам таких мероприятий Роскомнадзор также может внезапно прийти в гости к организации, предупредив руководителя о проверке лишь за одни сутки.

В-четвёртых, требования о защите персональных данных работников присутствуют в Трудовом кодексе РФ. Этой теме посвящена глава 14 ТК РФ. Инспекция по труду проверяет наличие положений по персональным данным, согласий на обработку персональных данных работников, подтверждение фактов ознакомления работников с внутренними регламентами по персональным данным и другие документы и локальные акты, регламентирующие обработку персональных данных работников. Инспекторы вправе проверить и документацию, касающуюся уволенных работников.

В-пятых, за несоблюдение требований ФЗ «О персональных данных» для юридических лиц и индивидуальных предпринимателей предусмотрены немалые штрафы.

Таким правонарушениям посвящена статья 13.11 КоАП РФ, изменения в которую вступят в силу с 01.07.2017 года и повлекут максимальный штраф в 75 000 р.

За несоблюдение требований Трудового кодекса статьёй 5.27 КоАП РФ предусмотрен максимальный штраф 50 000 р.

В-шестых, просто введите в поисковик фразу «купить базу данных клиентов». Сотни предложений. Хотели бы вы, чтобы вся годами наработанная вами база клиентов ушла в другие руки из-за корысти одного недобросовестного менеджера по продажам? Конечно, для контроля и защиты конфиденциальной информации нужно использовать специальные программы и средства. Но первым шагом является именно организационная защита информации, разработка документов, в которых прописано, с какими именно сведениями конфиденциального характера работает сотрудник, что конкретно с этими сведениями делать нельзя и, собственно, что ему за это будет, т.е. его личная, персональная ответственность за их разглашение.

И, наконец, в-седьмых. Многие наши граждане, особенно молодежь, юридически подкованы, законы почитывают. И многие знают как свои права, так и ваши обязанности. Поэтому в списке конкурентных преимуществ пункт о том, что в вашей организации персональные данные клиентов надежно защищены и не попадут в чужие руки будет выглядеть очень даже привлекательно. Особенно сегодня, когда о постоянных утечках данных и об угрозах информации в сети Интернет не говорит только ленивый.

Если вы не хотите лишней траты денег и времени, которое иногда имеет бОльшую ценность, чем рубли, то закажите разработку пакета документов по персональным данным у профессионала и, как говорится, спите спокойно.

Если же к вам вдруг пришла проверка, то смело обращайтесь, разработка документов по персональным данным для вашей организации не займет много времени.

Здравствуйте!

Меня зовут Анастасия Успенская. А вас? Мужчина вы или женщина? Сколько вам лет? Где вы работаете? В каком городе живете? Какого цвета ваши глаза?

Можете не отвечать, просто представьте, что ответы на подобные вопросы о вас являются не чем иным, как персональными данными.

Это данные о персоне, о человеке.

Даже то, что вы добровольно выкладываете в социальные сети - тоже является персональными данными: и фотографии с посиделок у друзей, и видеозапись вчерашней тренировки по настольному теннису, и выжимка из рассказов о ваших интересах и увлечениях. Что и говорить об информации, которая собирается при введении вами запросов в поисковиках и посещении различных сайтов.

Меньше всего повезло работодателям. При устройстве на работу человек предоставляет свои документы (минимальный набор - это паспорт, документ об образовании, страховое свидетельство обязательного пенсионного страхования, трудовая книжка), содержащие его персональные данные.

Даже если вы работаете как индивидуальный предприниматель, не имеете в штате сотрудников и всего лишь заключаете договора на оказание каких-либо услуг, то вы всё равно обрабатываете персональные данные представителя заказчика: фамилию, имя, отчество, должность, место работы, подпись, иногда контактные данные этого представителя (номер личного телефона, адрес электронной почты).

Одним словом, персональные данные везде и всюду, и иногда небрежное к ним отношение как со стороны оператора (того, кто ведёт обработку), так и со стороны субъекта (того, чьи данные обрабатываются) ведёт к достаточно неприятным для обоих последствиям. Но это тема другой статьи.