Цели обработки персональных данных в организации

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Руководитель группы консалтинга Центра информационной безопасности компании “Инфосистемы Джет”

специально для ГАРАНТ.РУ

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.


Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 “Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения”. Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ “цель” указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

  1. В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).
  2. Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать п. 3 ст. 18 Закона № 152-ФЗ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
  3. При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.


О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.
Читайте также:
Трудовой договор с внутренним совместителем: образец

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России. Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.


***

При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект 1 , разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса. Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.

1 С текстом законопроекта № 992331-7 “О внесении изменений в Федеральный закон “О персональных данных”” и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Персональные данные для digital-маркетинга: полный гайд и шаблоны документов

Вы собираете имейлы или телефоны клиентов — вы оператор персональных данных. Разбираемся, как не нарушить закон.

Евгений Царёв

Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.

  • Что такое персональные данные
  • Уведомление Роскомнадзора
  • Необходимые документы и их шаблоны
  • Согласие на обработку персональных данных
  • Ответственность за нарушение закона

Самозанятый автор. Создаёт статьи в блог и коммерческий контент. Пишет о маркетинге, финансах, бизнесе и YouTube.

Что такое персональные данные

Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

  • фамилия, имя, отчество;
  • мобильный телефон;
  • электронная почта;
  • адрес проживания;
  • фотография;
  • паспортные данные;
  • другие сведения, позволяющие идентифицировать человека.

Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.

Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:

  • Пользователи оставляют имя и email, чтобы подписаться на новостную рассылку.
  • Потенциальный покупатель заполнил заявку на бесплатный тест-драйв в автосалоне и указал имя и номер телефона.
  • Клиент оформил заказ на маркетплейсе и указал там номер банковской карты, адрес и Ф. И. О.

В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.

О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.

Уведомление Роскомнадзора

Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.

Читайте также:
Трудовой договор с дистанционным работником – как заключить, особенности

Перед подачей заявления нужно подготовиться:

  1. Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
  2. Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:

  • заполнить, распечатать и отправить в местное отделение Роскомнадзора;
  • заполнить, подписать и отправить в электронной форме на сайте Роскомнадзора;
  • заполнить форму и направить её ведомству на «Госуслугах», если у вас есть подтверждённая учётная запись. Если хотите подать уведомление от имени компании, ваша учётная запись должна быть привязана к организации на портале «Госуслуг».

Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.

Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:

  • обрабатываете данные сотрудников по ТК РФ;
  • используете только Ф. И. О.;
  • выдаёте разовый пропуск на территорию.

Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.

Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.

Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных. Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ. Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.

Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:

  • Когда салон продаёт автомобиль, в том числе конкретному клиенту, он взаимодействует с дилерами.
  • Организация предоставляет услуги по гарантийному и техническому обслуживанию транспортных средств.
  • Салон выступает посредником при продаже услуг страхования.
  • Компания предлагает тест-драйв авто, собирая персональные данные в заявках, без договора.

Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.

Необходимые документы и их шаблоны

Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:

  • Политику конфиденциальности.
  • Правила работы с персональными данными.
  • Согласие на обработку персональных данных.
  • Обязательство о неразглашении персональных данных.

В разделе мы расскажем об этих документах подробнее.

Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.

Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.

Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора. Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные. Ошибкой будет написать что-то вроде « Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс .

Обязательство о неразглашении персональных данных . Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.

Приказ о назначении ответственного за работу с персональными данными . Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.

Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.

Согласие на обработку персональных данных

Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.

Читайте также:
Трудоголизм — что это такое в психологии и управлении персоналом, как лечить

Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.

Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.

Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.

Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.

Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.

В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.

Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало. Закон разрешает не брать согласие, если « обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».

Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.

Ответственность за нарушения при обработке персональных данных

Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.

По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:

  • для граждан — от 700 до 100 000 рублей;
  • для должностных лиц — от 3000 до 800 000 рублей;
  • для индивидуальных предпринимателей — от 5000 до 20 000 рублей;
  • для юридических лиц — от 15 000 до 18 000 000 рублей.

Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.

Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.

Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ. Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России. У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.

Только за 2022 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.

Кроме того, в июле 2022 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.

Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.

Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.

обложка: Polina Vari для Skillbox Media

Новое о персональных данных

Автор: Давыдова Е. В., эксперт информационно-справочной системы «Аюдар Инфо»

С 1 марта 2022 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

Читайте также:
Трудовой договор с материальной ответственностью – особенности заключения

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Общедоступные данные по-новому

С 1 марта 2022 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2022 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

в течение трех рабочих дней с момента обращения;

или в срок, указанный в постановлении суда;

или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Оформление согласия

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Ректору
ФГБОУ ПО «Самарский государственный университет»
Владимирову Владимиру Владимировичу,
адрес местонахождения 123456, Самара, ул. Самарская, д. 1
ОГРН: 1234567890123 ИНН: 1234567890
ОКВЭД: 12.34 ОКПО: 12345678
ОКОГУ: 1234567 ОКОПФ: 12300 ОКФС: 12

От Иванова Ивана Ивановича,
паспорт серии 12 34 № 123456 выдан 12 января 2000 года
ОВД Самарского района г. Самары,
зарегистрированного по адресу 123456, Самара,
ул. Ленина, д. 1, кв. 23.
Адрес электронной почты:
ivanov@yandex.ru
Номер телефона:
+7 (123) 456-78-90

Читайте также:
Выплаты при уходе в декретный отпуск

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Настоящим я, Иванов Иван Иванович, руководствуясь статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», заявляю о согласии на распространение ФГБОУ ПО «Самарский государственный университет» моих персональных данных с целью размещения информации обо мне на официальном сайте ФГБОУ ПО «Самарский государственный университет» в следующем порядке:

Категория персональных данных

Перечень персональных данных

Разрешаю к распространению (да/нет)

Разрешаю к распространению не-ограниченному кругу лиц (да/нет)

Юридические тонкости работы с персональными данными

Эта статья будет актуальна для многих – ведь большинство владельцев сайтов и лендингов обрабатывают персональные данные, собирая контакты в формах захвата, не зная о тонкостях обновленного Закона «О персональных данных». Сегодня о нем и поговорим.

Федеральный Закон «О персональных данных»

Федеральный закон «О персональных данных» (далее – ФЗ) обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту конституционных прав на неприкосновенность частной жизни, личную и семейную тайну. Основные положения Закона подробно можно прочитать тут .

Дадим определение персональным данным, согласно ФЗ:

«Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека».

Какая информация относится к персональным данным:

  1. ФИО;
  2. место прописки и проживания;
  3. паспортные данные;
  4. образование;
  5. ИНН;
  6. контактные данные;
  7. сведения о работе;
  8. размер доходов и т.д.

Но персональные данные – не только то, что характеризуют человека, но и данные, которые могут быть использованы для идентификации: динамический IP адрес, cookie-файлы пользователя плюс информация от провайдера.

Есть и исключения: согласно Роскомнадзору телефон, ФИО без привязки к другим данным не являются ПД, т.к. только по номеру или только по имени человека идентифицировать невозможно.

Выделяют также и специальные персональные данные:

  • расовая, национальная принадлежность;
  • политические взгляды;
  • религиозные и философские убеждения;
  • состояние здоровья,
  • интимная жизнь.

Их обработка допускается, только если пользователь дал согласие на обработку именно этих ПД.

В понятие «обработка персональный данных» входит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение информации.

Обработка может вестись как при помощи технических средств (компьютера), так и сугубо на бумажных носителях;

Цели обработки персональных данных

Цели обработки должны быть конкретными, определенными заранее и законными.

Обработка ПД, несовместимая с целями сбора персональных данных, не допускается.

Цели обработки прописываются в документе «Политика обработки ПД», доступном для всех посетителей сайта.

Обработка ПД должна вестись только с согласия пользователя. Письменное разрешение не обязательно, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Инструменты сбора персональных данных на сайте

Форма обратной связи:

Форма захвата email в обмен на бонус:

Форма регистрации и создания личного кабинета:

Анкета для участия в программе лояльности:

Страница чек-аута при оформлении заказа:

Регистрация через социальные сети:

Cookie-файлы, Google Analytics, Яндекс.Метрика :

Наказание за нарушение закона о персональных данных

Закон о персональных данных распространяется на операторов ПД.

Оператор ПД — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Вы считаетесь оператором, если у вас есть:

  • форма обратной связи;
  • личный кабинет пользователя;
  • форма заказа обратного звонка;
  • форма заявки;
  • форма подписки на email-рассылку;
  • Яндекс.Метрика или Google Analytics.

Обработка ПД, если она выходит за рамки целей, для которых эти ПД собирались грозит штрафами:

  • штраф для физических лиц в размере от 1000 до 3000 рублей,
  • для юридических лиц — от 30000 тысяч до 50000 рублей.

Обработка ПД без активного согласия человека чревата:

  • штраф для граждан в размере от 3000 до 5000 рублей
  • для юридических лиц — от 15000 до 75000 рублей.

Неосторожность, которая повлекла неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД:

  • штраф для граждан в размере от 700 до 2000 рублей;
  • для ИП — от 10000 до 20000 рублей;
  • для юридических лиц — от 25000 до 50000 рублей.

Чек-лист проверки вашего сайта на соответствие ФЗ

1. Хостинг и базы данных на территории РФ;

2. Активное согласие на обработку пд под каждой формой захвата:

  • разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных».
  • в тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных.
  • текст самого документа можно разместить на отдельной странице.

3. Какая информация должна содержаться в Политике обработки ПД:

  • наименование или ФИО и адрес оператора, запрашивающего ПД;
  • цель обработки ПД;
  • перечень ПД, согласие на обработку которых дает пользователь;
  • наименование или ФИО и адрес лица, которому поручена обработка ПД, если такое лицо имеется;
  • перечень действий с ПД, на которые дается согласие;
  • сроки, в течение которых действует согласие;
  • как ПД могут быть отозваны пользователем;
Читайте также:
Срок сдачи декларации по УСН для ИП

Конструктор сайтов Тильда написал очень удобный шаблон политики конфиденциальности, вы можете составить свой документ по этому шаблону.

Помимо этого, всем новым пользователям сайта нужно показывать предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении).

Регистрация в реестре операторов Роскомнадзора

Владельцем сайтов следует подать уведомление, чтобы внести свою организацию в реестр операторов персональных данных Роскомнадзора.

Вам не нужно регистрироваться в реестре, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта);
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам;
  • обрабатываете персональные данные только на бумажных носителях.

Роскомнадзор выдвигает особые требования для юридических лиц. Они обязаны:

  • назначить ответственных лиц и разработать пакет внутренних документов по обработке и защите ПД;
  • регулировать отношений с физическими лицами, государственными органами и контрагентами;
  • защищать ПД (антивирусы, средства межсетевого экранирования, разграничение прав доступа и др.);

Полный список документов, устраивающий Роскомнадзор тут .

Чтобы отрегулировать отношения с физлицами, контрагентами и другими заинтересованными сторонами, необходимо:

  1. С сотрудниками: подписать соглашение о неразглашении ПД, согласие на обработку ПД и под роспись ознакомить со внутренними документами по ПД;
  2. С другими физлицами: подписать согласие на обработку ПД или добавить пункты об обработке ПД в рабочие договоры; отвечать на запросы физлиц по обработке их ПД;
  3. С клиентами: заключать поручения на обработку ПД, при передаче данных 3-им сторонам;

Суммируем:

  • Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
  • Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
  • Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

Чтобы соблюдать 152-ФЗ, как минимум, надо:

  • зарегистрироваться как оператор ПД,
  • составить политику обработки ПД и согласие на обработку персональных данных,
  • повесить на сайт уведомление о сборе метаданных;

Добавить комментарий (9) Отменить ответ

Авторы, когда претендуете на экспертность, внимательнее источники изучайте. Вы не включили в чек-лист как раз те пункты, которые будет проверять Роскомнадзор:
1. Ссылка на текст Политики Конфиденциальности должна присутствовать на каждой (!) странице сайта.
2. Под каждой формой обратной связи, если она предполагает сбор ПДн (а два и более поля — это уже сбор ПДн) должна присутствовать ссылка на Соглашение на обработку персональных данных. При этом, что важно, Соглашение и Политика Конфиденциальности не являются взаимозаменяемыми документами, как пытаются убедить авторы сия очерка!
3. Пользователь должен САМ дать согласие на обработку ПДн. Это значит, что поле, где ставится галка, должно быть пустым, пока на него не нажмёт человек, заполняющий форму. В противном случае сайт сразу попадает под нарушение ФЗ-152, в частности под незаконный сбор данных и мошенничество. Этот важный нюанс был зафиксирован в законе ещё в 2017 году, почему авторы «экспертной статьи» его не знают в 2022 — загадка! )))
А теперь ещё одна моя любимая часть из увиденного — иллюстрации. Сначала я подумала, что сейчас нам на примере картинок в тексте расскажут, что так делать не надо, А там чек-лист. Но вишенка на торте — ТАДАМ! — форма комментария, которую я сейчас заполнила.
Господа-писари, если вам лень изучить историю вопроса и источники, не беритесь за написание экспертных статей! Стыдоба!

Людмила, спасибо за дополнение и критику, она помогает делать наши материалы лучше! Мы не претендуем на истину в последней инстанции в статьях, а лишь делимся своей практикой.
Ответим по пунктам:
1. Именно поэтому стоит добавлять ссылку на политику в футер сайта, который по умолчанию доступен на каждой странице сайта.
2. Именно это и написано в статье, не видим противоречий. Если хотите дополнить – welcome!
3. Об этом написано в чек-листе, чтобы не осталось вопросов, дополним его словом «активное» и напишем «активное согласие».
Чек-лист мы даем в текстовом формате, изображения – это реальные примеры, как сейчас собираются персональные данные на различных сайтах, не факт, что идеальные.
Что не так с формой комментария, дайте более развернутый фидбек! Спасибо!

В форме комментария нет чекбокса с согласием на обработку ПДн и ссылки на политику конфиденциальности, хотя почту просите указать

>Пользователь должен САМ дать согласие на обработку ПДн.
>Это значит, что поле, где ставится галка, должно быть пустым, пока на него не нажмёт человек, заполняющий форму.
Где ж в законе хоть какое-то упоминание про какую-нибудь галку?! Вы о чём?
Человек нажимает на кнопку отправки формы обратной связи, и это как раз и является активным согласием на обработку персональных данных. Равно как и ввел свои персональные данные посетитель в форму обратной связи вполне осознанно.
Поэтому текст «Нажимая на кнопку…» минимально достаточное условие. Нет никакой обоснованной необходимости усложнять посетителям использование сайта.

По этому вопросу даются пояснения на сайте Роскомнадзора: «Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме» https://rkn.gov.ru/news/rsoc/news51712.htm.
Кстати, крайне рекомендуем статью от Контура по всем важным апдейтам в закон от 1 марта 2022 года https://kontur.ru/articles/4816

Спасибо. Как раз запускаем первый раз проект со сбором данных клиентов. Мало того, что нужно разобраться с тем как это сделать, понять и прописать путь клиента, оптимизировать количество вопросов, нужно еще и соломку постелить в вопросе законодательства. Спасибо за статью. Есть с чем поработать)))

Читайте также:
Пошаговая инструкция по воинскому учету в организации

Здравствуйте! А если хостинг и БД не на территории РФ, а контент на русском языке, на что обратить внимание в подобном случае?

Наталья, добрый день. Отличный вопрос! Если объяснять простым языком, то вам нужно будет соблюдать законодательство страны, где размещен ваш хостинг и БД + учитывать законодательство РФ в части обработки данных граждан РФ, рекомендую ознакомиться с этим материалом https://habr.com/ru/post/293568/, т.к. имеет значение, какие именно данные вы собираете, обрабатываете и храните.

Скажите пожалуйста, у нас
1) фирма зарегистрирована в Турции
2) а рекламируем мы сайт (директ, рся…) на аудиторию РФ
3) потом при заказе сами привозим клиентам продукт
4) домен и хостинг в Украине
В таком случае нам нужно на форме захвата на нашем лендинге показывать «согласие на обработку своих персональных данных» с птичкой как у всех, или же в нашем случае не обязательно?

И если мы еще и на Украину рекламируемся и продаем нужно ли делать на форме захвата » согласие на обработку своих персональных данных» т.к. домен и хостинг в Украине?

Цель обработки персональных данных

Защита персональных данных
с помощью DLP-системы

П ри передаче информации о своей личности человек должен иметь уверенность, что его персональные данные не попадут в руки третьих лиц без его разрешения. В законодательство РФ внесены предупреждающие меры, которые должны защищать права граждан и их свободы. В Конституции Российской Федерации, ФЗ № 152 «О персональных данных» содержатся требования по регулированию работы с персональными данными граждан. Законодательство признает права каждого человека на неприкосновенность его личной жизни, соблюдение семейной тайны.

Цели сбора информации о субъектах

Любой вид информации, которая прямо или косвенно относится к определенному гражданину, рассматривается как «персональные данные» (ПДн). Обрабатывать такие сведения – значит выполнять любые действия или операции с этой информацией. Операторам разрешается эти сведения:

  • собирать;
  • записывать;
  • систематизировать;
  • накапливать;
  • хранить;
  • уточнять;
  • извлекать;
  • применять;
  • передавать;
  • обезличивать;
  • блокировать;
  • удалять;
  • уничтожать.

Выполнение таких действий должно осуществляться с определенными целями. В законе о персональных данных прописано, что обработка ПДн должна ограничиваться конкретно обозначенными целями, имеющими законные основания. Если на предприятии, к примеру, хранится две базы с персональными сведениями работников с различными целями, не допускается их объединение в одну базу.

Перечень целей обработки персональных данных должен указываться в соглашении, которое предприятие подписывает с работником, клиентом, деловым партнером. Политика компании, касающаяся обработки ПДн, должна размещаться в местах с открытым доступом.

Подписываемое соглашение должно содержать полный перечень целей, без сокращений «и т. п.; пр.; и т. д.». Они должны быть четко и полноценно обозначены, прописаны в учредительных, уставных бумагах, положениях, разработанных в компании, а также фактически выполняться оператором.

Понятие обработки ПДн

Совместно с подачей требуемых документов во время подписания трудового договора работник должен предоставить свое согласие на обработку ПДн.

Статья 2 закона о персональных данных относит к такой информации о физическом лице его ФИО, дату рождения, иные сведения, включая записи в трудовую книжку. Персональные данные разделены на три категории.

К первой относится общедоступная информация, которая состоит из основных анкетных данных (ФИО, дата, место рождения, половая принадлежность). Следующая группа ПДн – биометрические данные, состоящие из сведений о внешности и отдельных физиологических параметрах, если их можно определить визуально, и др. К специальным сведениям относят данные о национальности, религии, работе, наличии судимости и пр.

ПДн относятся к разряду конфиденциальных сведений, кроме общедоступных. В связи с этим обрабатывать их можно только в случае получения разрешения физлица.

Обязательным является условие установления срока действия такого согласия на обработку ПДн. Окончательным сроком, позволяющим совершать какие-либо действия с персональной информацией, может считаться конкретное число или событие (окончание срока действия трудового договора, выполнения каких-либо договорных обязательств и др., отзыв работником ранее данного согласия) – статья 9 ФЗ № 152, п. 4.

Цели обработки ПДн в организации

Каждое предприятие занимается сбором и обработкой персональных сведений. Избежать этих действий нельзя, так как эта информация крайне необходима для реализации в правовом поле трудовых отношений между наемным работником и работодателем.

Организация руководствуется следующими целями во время обработки ПДн:

  • оформление, выполнение, прекращение гражданско-правовых отношений работниками, юрлицами, ИП, иными лицами в случаях, указанных в законодательстве РФ и в Уставе компании;
  • организация работы с кадрами – учет сотрудников, обеспечение выполнения требований законодательства о труде, подписание и исполнение различных обязательств в отношении трудовых, гражданско-правовых соглашений;
  • выполнение функций кадрового делопроизводства, помощь сотрудникам в оформлении на работу, освоении новой профессии, продвижении по служебной лестнице, использовании льгот, компенсаций;
  • реализация требований законов о налогообложении в вопросах начисления, внесения налоговых платежей с доходов физлиц, ЕСН, пенсионных законов во время формирования, передачи в Пенсионный фонд данных персонификации относительно каждого получателя страховых выплат;
  • внесение данных в первичную статистическую документацию по Трудовому, Налоговому кодексам, а также федеральным законам.

Цели обработки персональной информации в медучреждениях

В различных организациях цели обработки ПДн могут быть разными.

В медицинских учреждениях, к примеру, собираются данные о фактическом состоянии здоровья пациента, которые относятся к виду специальных. Можно обрабатывать ПДн физлица без его согласия (ст. 10 ч. 2 п. 4 закона о персональных данных) в следующих целях:

  • постановка диагноза;
  • профилактические мероприятия;
  • предоставление медицинских, социальных услуг.

Эта норма справедлива в отношении ситуаций обработки ПДн врачом, который должен хранить врачебную тайну, что предусмотрено законами РФ. Но если получить согласие нет возможности, и ситуация для здоровья пациента и его жизни критическая, обработка ПДн может осуществляться без запроса разрешения от физлица.

Читайте также:
Сроки подачи документов на налоговый вычет

Сведения о клиенте могут быть использованы с целью:

  • предоставления ему консультаций, информации, услуг посредничества;
  • подписания с клиентом договора и выполнения его условий;
  • кадровой работы, предоставления бухгалтерских услуг;
  • прочих действий, не запрещенных законами РФ.

Цели обработки ПДн в банковском секторе

В сфере предоставления банковских услуг при выполнении определенных банковских операций цели обработки ПДн могут быть следующими:

  • открытие счета в банке, его ведение;
  • денежные переводы;
  • перечисление средств от физлица юридическому лицу без использования банковских счетов;
  • покупка или продажа инвалюты;
  • предоставление консультационных услуг, какой-либо информации, включая использование телефонной связи, электронной почты.

Не все просто с персональной информацией любого гражданина, будь то сотрудник какой-либо компании, пациент медицинского учреждения, клиент банка, любой другой организации. Закон запрещает использовать персональные данные любого человека не только без его согласия, но также и в случае, если эти сведения не нужны для реализации конкретных целей (если субъект ПДн не дал согласия на эти действия). В случае утечки персональных сведений любой гражданин имеет право подать жалобу в Роскомнадзор или обратиться в судебные органы. Поэтому обработка персональных данных должна вестись строго в рамках действующего законодательства.

Обработка и защита персональных данных в организациях

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (Закон о ПДн) защищает личную информацию от неправомерного разглашения.

Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.

Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.

Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).

Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.

На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.

За работой операторов надзирает несколько ведомств:

  1. Роскомнадзор.
  2. Федеральная служба по техническому и экспортному контролю (ФСТЭК).
  3. ФСБ России.
  4. Прокуратура Российской Федерации.

Категории персональных данных

Персональные данные делятся на категории:

  • общая;
  • специальная;
  • биометрические данные;
  • обезличенные.

Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

Этот перечень открытый.

Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

  • отпечатки пальцев;
  • ДНК;
  • сканирование сетчатки;
  • распознавание радужки.

Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).

Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.

Как обрабатывать ПДн

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

  1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
    • сотрудников фирмы;
    • при заключении договоров;
    • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
  2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
  3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
  4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
  5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

  • регламент обработки данных;
  • правила компании по подбору персонала;
  • введение пропускного режима;
  • перечень мест хранения данных;
  • регламент уточнения, уничтожения ПДн.
  • Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
  • Утвердить перечень сотрудников, которые допущены к работе с информацией.
  • Организация защиты персональных данных

    Для защиты персональных данных применяют различные возможности:

      Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

    Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

  • Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
  • Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.
  • Чем грозит невыполнение требований по обработке персональных данных

    За нарушение законодательства предусмотрен полный спектр юридической ответственности:

    • дисциплинарная — за неправомерную обработку данных работником компании;
    • гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
    • административная — когда это предусмотрено Кодексом об административных правонарушениях;
    • уголовная — за причинение вреда наиболее охраняемым общественным интересам.
    Читайте также:
    Срок сдачи декларации по УСН для ИП

    Наиболее частое наказание — назначение административного штрафа.

    Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.

    За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.

    Размер штрафа Граждане Должностные лица Юрлица и индивидуальные предприниматели
    Минимальный Предупреждение или Штраф 1 – 3 тыс. р. Штраф 5 – 10 тыс. р. Штраф 30 – 50 тыс. р.
    Максимальный Штраф 30 – 50 тыс.р. Штраф 100 – 200 тыс. р. Штраф 1 – 6 млн р.
    За повторное нарушение Штраф 50 – 100 тыс. р. Штраф 500 – 800 тыс. р. Штраф 6 – 18 млн р.

    Основные нормативные документы, касающиеся обработки персональных данных

    Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.

    Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:

    Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.

    Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.

    Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.

    Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

    ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.

  • Федеральном законе от 27.07.2006 N 149-ФЗ “Об информации, информационных технологиях и о защите информации”. ФЗ № 149-ФЗ определяет право на доступ к информации, условия ограничения доступа, требования к защите информации, ответственность за разглашение информации ограниченного доступа.
  • ТК РФ, Глава 14 — применительно к защите персональных сведений работников организации.
  • Указе Президента РФ от 6 марта 1997 г. N 188 “Об утверждении перечня сведений конфиденциального характера”.

    Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.

    Постановлении Правительства РФ от 01.11.2012 N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

    Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.

    Приказ устанавливает правила обезличивания информации.

    Приказом утверждён перечень организационных и технических мер по обеспечению безопасности ПДн.

    Кроме того, положения о защите конфиденциальной информации установлены в других федеральных законах; регламентах, приказах, инструкциях министерств и ведомств.

    Назначение ответственных за организацию защиты данных

    Оператор должен назначить ответственного за операции с конфиденциальными данными.

    Ответственное лицо обязано:

    • контролировать соблюдение законодательства в сфере защиты ПДн оператором и работниками;
    • информировать работников о правилах обработки конфиденциальных данных;
    • вести приём и обработку обращений субъектов ПДн.

    В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.

    Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.

    Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

    Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

    Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

    1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
    2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
    3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
    4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
    5. Со всеми приказами работники должны быть ознакомлены под подпись.

    Вывод

    С каждым годом контроль по стороны Роскомнадзора становится всё жёстче, а ответственность операторов — выше:

    Период Выписано протоколов Сумма штрафов
    2018 г. 156 437 тыс. рублей.
    2019 г. 215 1 млн 99 тыс. рублей

    Из таблицы видно, что в 2019 году привлечение к административной ответственности выросло на 22 % по сравнению с предыдущим годом.

    В 2022 году ситуация обострилась: ответственность за некорректную обработку персональных данных ужесточилась. Более того, индивидуальных предпринимателей по объёму ответственности приравняли к юридическим лицам.

    Только строгое следование требованиям закона при обработке конфиденциальной информации позволит избежать нарушений и привлечения к ответственности.

    Организация защиты персональных данных работников

    Больше материалов по теме «Сотрудники» вы можете получить в системе КонсультантПлюс .

    1. Персональные данные: законодательное определение
    2. Насколько необходимо Положение о персональных данных
    3. Что значит обрабатывать персональные данные
    4. Как передаются персональные данные

    Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент.

    Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать. Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя.

    Персональные данные: законодательное определение

    Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

    Читайте также:
    Выплаты при уходе в декретный отпуск

    Порядок действий с этой информацией определен в таких законодательных документах, как:

    • Конституция Российской Федерации;
    • ст. 85 Трудового кодекса РФ;
    • Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
    • Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
    • Указ Президента России от 06.03.1977 г. № 188.

    Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

    Перечень данных, считающихся персональными:

    • ФИО физического лица;
    • дата рождения;
    • место проживания и/или прописки;
    • полученное человеком образование;
    • состав семьи;
    • социальный статус;
    • сведения, касающиеся владения имуществом;
    • ранее занимаемые им должности;
    • уровень получаемых доходов и их источники;
    • иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

    КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

    Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

    Насколько необходимо Положение о персональных данных

    Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

    Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

    Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

    • положение о защите персональных данных наемных сотрудников;
    • обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
    • согласие самого работника на обработку персональных данных.

    ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

    Состав Положения о персональных данных

    Разделы данного документа содержат следующие необходимые подпункты:

    • общие сведения;
    • перечисление данных, считающихся персональными в конкретной компании;
    • регламент применения данной информации;
    • особенности доступа к этим сведениям;
    • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
    • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

    Источник получения персональных данных

    Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

    Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

    К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

    Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

    Что значит обрабатывать персональные данные

    Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

    • сбор;
    • фиксация;
    • систематизация;
    • накопление;
    • сбережение;
    • защита;
    • передача;
    • использование.

    Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

    1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
    2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
    3. Выбирать способы обработки нужно в соответствии с заявленными целями.
    4. Все требования касаются только полных и достоверных персональных данных.
    5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

    Как передаются персональные данные

    Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

    Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

  • Рейтинг
    ( Пока оценок нет )
    Понравилась статья? Поделиться с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: