Руководство по заполнению уведомления оператора персональных данных
В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.
Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.
Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.
Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.
С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.
Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.
В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.
Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Приведем один пример, как делать не нужно.
Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.
Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.
Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».
Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».
Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?
В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.
Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».
В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».
В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.
В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.
Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».
Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.
И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.
Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…
Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.
Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.
В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.
Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.
Можно ли отказаться от обработки персональных данных в школе
С целью облегчить нашу жизнь за последнее время создано огромное количество идентификационных документов. Если в советские времена для бюрократических проволочек достаточно было паспорта и пары справок, то теперь необходимо предоставить целую охапку: СНИЛС, ИНН, медицинский полис, свидетельство о рождении, и это неполный список. А тут еще Интернет и массовые СМИ кишат страшными историями о мошенниках, способных в корыстных целях использовать подобную информацию.
Напуганные граждане часто задаются вопросом, насколько правомерны требования некоторых организаций о предоставлении клиентом персональных данных. Но наиболее часто такой вопрос задают родители, оформляющие своих детей в школы. Давайте разбираться.
Персональные данные, которые обязательно следует предоставить школе
В соответствии с федеральным законом № 152-ФЗ от 27 июля 2006 года, к персональным данным относятся любые сведения «прямо или косвенно относящиеся к определенному или определяемому лицу (субъекту персональных данных)», которые предоставляются другому физическому или юридическому лицу либо лицам.
В приказе Министерства образования и науки РФ от 22 января 2014 года № 32 «Об утверждении Порядка приема граждан на обучение по образовательным программам начального общего, основного общего и среднего общего образования» четко прописано, какие сведения для школы являются необходимыми. К ним относятся:
- фамилия, имя, отчество ребенка;
- дата и место рождения ребенка;
- фамилия, имя, отчество родителей;
- адрес проживания ребенка и его родителей;
- контактные телефоны родителей.
Для подтверждения территориального права на прикрепление к данной школе необходимо предоставить:
- оригинал свидетельства о рождении;
- свидетельство о регистрации ребенка по месту жительства или по месту пребывания на прикрепленной территории или документ, содержащий сведения о регистрации ребенка по месту жительства или по месту пребывания на прикрепленной территории.
Согласно закону, когда ребенок поступил в школу, то последняя автоматически становится оператором персональных данных и ответственной за их хранение. Правила о хранении и обработки персональных данных должны быть доступны для родителей и учеников, а именно размещены на сайтах школы и специальных стендах.
Особенности обработки персональных данных
Регламентирует порядок статья 3 части 3 федерального закона № 152-ФЗ. Здесь видно, что любые действия, такие как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение данных, должны подвергаться строгому контролю школой в целях безопасности.
Юристы отмечают хорошую проработку закона. При соблюдении его условий не должно возникнуть непредвиденных ситуаций. А главной особенностью является обязательное согласие на предоставление индивидуальной информации.
Можно ли отказаться от обработки персональных данных
Родители вполне могут отказаться от обработки персональных данных, но такое положение вызовет осложнения, и ученик не сможет участвовать в ряде мероприятий, в том числе на олимпиадах, а также возникнут проблемы при сдаче ЕГЭ или ОГЭ, вплоть до того, что ребенок не будет допущен к сдаче экзаменов.
По каким причинам родители отказываются от обработки персональных данных
Главную причину мы указали в начале – это страх использования информации мошенниками. Но мыслящий человек понимает, что дети – неплатежеспособные граждане и не представляют особую ценность для преступников. Чаще всего заказы мошенники получают от фирм, желающих привлечь клиентов, а дети для них особого интереса не представляют.
Особенное напряжение вызывает фраза, что информацию школа может предоставить внешним операторам. Под такой формулировкой подразумевается, что школа привлекает сторонние компании для обслуживания электронных дневников и журналов. Родители имеют право отказаться от внесения данных своего ребенка на электронный носитель, и школа вынуждена будет использовать бумажные аналоги.
Кроме того, закон предусмотрел возможность контроля родителями за соблюдением предписанного порядка. Они в любое время могут запросить отчет, где прослеживается движение персональных данных: кому были переданы, когда и с какой целью. А также субъект персональных данных наделен правом в любой момент отозвать согласие на обработку персональных данных, даже если оно не было оформлено и подписано отдельным документом.
Стоит ли ругаться со школой из-за персональных данных
В последнее время в школах всё чаще случаются конфликты из-за несогласия родителей с различными вариантами обработки персональных данных. Иногда школа и родители просто не могут понять друг друга или говорят о разных вещах. Михаил Кушнир рассказывает о пяти важных аспектах, которые помогут уладить или предотвратить недоразумения, связанные с законом 152-ФЗ «О персональных данных».
К счастью для школ, внимание родителей к персональным данным довольно редкое явление, но весьма неприятное:
- Во-первых, потому что школа является оператором персональных данных и отвечает за их безопасность;
- Во-вторых, потому что проблема с персональными данными крайне путанная, и никто толком в ней не разбирается;
- В-третьих, потому что претензии и угрозы родителей чаще всего далеки от адекватных.
Чтобы требования были адекватными, нужно освоить основные понятия и принципы закона. Я выделю здесь несколько ключевых особенностей, но полезно прочитать закон полностью — он небольшой.
Школа обрабатывает персональные данные учителей, учеников и их родителей. Обработку данных учителей я рассматривать здесь не буду. В отношении родителей обработка должна быть весьма ограниченная: убедиться, что школа имеет дело именно с родителями своих учеников и обеспечить с ними продуктивную коммуникацию.
1. Что такое «персональные данные»?
По закону, это любая информация, связанная с конкретным человеком. Это значит, что ее можно обрабатывать только в соответствии с теми целями, для которых персональные данные были переданы. Понятие цели обработки — не просто фигура речи, а важный критерий законности обработки.
2. Виды данных и защита данных
По закону оператор персональных данных отвечает за их сохранность. Важно различать понятие «персональные данные» и требования по их защищенности: менее строгие требования к защищенности не отменяют принципов отношения к данным как персональным. Требования по защите персональных данных зависят от их вида:
- Если субъект дает согласие на публикацию некоторых своих персональных данных в открытых источниках, то такие данные считаются общедоступными и они не требуют защиты. Но даже в отношении общедоступных данных в случае отзыва согласия необходимо соблюдать требования закона по их защите для новых условий. Бывают ситуации, когда необходимость открытой публикации определенных данных предусматривается законом, в частности, администрация и педагоги школы обязаны публиковать на официальном сайте образовательной организации свои ФИО и квалификационные показатели, названия курсов, которые они ведут.
- Если без дополнительной информации невозможно определить, к какому человеку относятся обрабатываемые данные, они называются обезличенными и требования по их защите существенно проще, чем в отношении идентифицируемых данных. Этот удобный аспект обработки данных часто остается недооцененным, а зря.
- Если данные содержат медицинскую информацию или из других специфических категорий (кому важно, уточните в законе самостоятельно), такие данные требуют наиболее жестких мер по обеспечению защищенности.
- Чем больше в системе содержится персональных данных, тем жестче требования по защищенности системы.
3. Правила обработки персональных данных в школе должны быть легко доступны, опубликованы на официальном сайте. Родителей с ними обязаны ознакомить под роспись. Умные школы предусматривают в заявлении на прием фразу «с правилами обработки данных ознакомлен». Особо умные там же предусматривают фразу «разрешаю публикацию фото- и видео- изображений моего ребенка в материалах школы при отражении событий, связанных с образовательным процессом». Это связано не с 152-ФЗ, а с ГК РФ, но очень похоже на его логику: отсутствие такого согласия может стать серьезной головной болью школы.
4. Согласие на обработку персональных данных
Тут больше всего глупостей происходит:
- Отчасти потому, что в первой версии закона всегда требовалось письменное согласие, а сейчас письменное согласие нужно только тогда, когда это явно указано в законе, причем про образовательные отношения таких требований нет.
- Отчасти потому, что оператор персональных данных обязан иметь доказательство правомочности обработки данных, а письменное согласие является наиболее очевидным доказательством.
- Отчасти потому, что данные сейчас модно хранить не в школе, а в сети — в «облаках», — но правомочность такой обработки данных сложно доказать без письменного согласия.
Важно понимать, что согласие на обработку ваших персональных данных нужно обязательно, но не обязательно письменное. Есть несколько исключений в законе, когда ваше согласие не требуется, но их крайне мало. Если вы сдали данные ребенка в школу в рамках приемных мероприятий, то по факту согласились с обработкой его персональных данных для целей обучения. Эти цели должны либо быть прописаны в договоре на образовательные услуги, либо подразумеваться неявно из образовательного законодательства. Если обработка требует чего-то не предусмотренного в законе «Об образовании в РФ», нужно иметь доказательство ее правомочности — проще всего при наличии письменного согласия.
Рассмотрим типичную ситуацию организации поездки с детьми, для которой нужно покупать групповые билеты, готовить списки участников. Если поездка оформляется как мероприятие в рамках образовательных отношений, то доказательства обоснованности такой обработки не нужны. Для этого приказ о проведении мероприятия должен быть выполнен в формулировках с соответствующими тезисами 152-ФЗ.
Во всех аналогичных ситуациях вне типового образовательного процесса нужно учитывать эту специфику закона, чтобы школа всегда имела доказательства правомочности обработки данных учеников: либо в рамках образовательных отношений, либо по письменному согласию, либо в рамках иных федеральных законов.
В любой момент вы можете отозвать согласие на обработку персональных данных, в каком бы виде вы его не давали: письменно или по факту начала деловых отношений. Но нужно понимать, что такой отзыв будет иметь административные последствия, потому что оператор не сможет продолжать обработку ваших данных в прежнем режиме.
Яркой иллюстрацией важности согласия является письмо Минобрнауки от 4.3.2015 N 03-155 с ответом на вопрос, может ли родитель отказаться от передачи данных из школы в государственную информационную систему сдачи ОГЭ/ЕГЭ? Хотя для государственных систем письменное согласие субъекта можно не получать, отказаться родитель может! Но в этом случае ребенок не может быть допущен к сдаче экзамена.
4а. Согласие на передачу данных для обработки
Передача данных третьим лицам является одним из видов обработки персональных данных. Такая передача является существенной особенностью для организации требуемых по закону мероприятий по защите. Без согласия самого субъекта данные могут передаваться третьим лицам только в предусмотренных федеральными законами случаях, в частности, когда есть угроза жизни или здоровью людей.
Для доказательства такого согласия обычно школа требует письменное подтверждение. Это актуально, например, для работы в электронном классном журнале, хранящем данные где-то в сети Интернет. Проблема отражена для электронных журналов отдельным письмом Минобрнауки России от 21.10.2014 N АК-3358/08.
5. Всегда ли вы знаете, где обрабатываются ваши данные?
Если у вас есть подозрение, что ваши данные без вашего согласия кому-то передавались и/или что они используются для других целей, чем вы их передавали оператору, имеет смысл написать запрос и снять сомнения.
Любой субъект персональных данных в любой момент может потребовать от оператора отчет о том, как используются его данные, кому они передавались и с какой целью. Ответ на такие запросы должен занимать не больше месяца. Сомнение могут вызвать условия обработки данных у контрагента вашей школы — внешнего оператора, — например, оператора сетевого электронного журнала.
Примеры поводов для сомнения:
- вы не понимаете целей обработки данных у внешнего оператора;
- вы не понимаете правил обработки данных у внешнего оператора;
- вы не можете найти договор между внешним оператором и школой;
- вы не уверены, что внешний оператор надежен, поскольку не можете найти у него на сайте скана сертификата, выдаваемого регулятором для подтверждения защитных качеств информационной системы.
Договор может быть важен, чтобы понять, кто и как обрабатывает данные вашего ребенка, можно ли ему доверять, поскольку школа эту обязанность ему перепоручила. Бывают вопиющие случаи, когда никто не может ответить на вопрос, какая система обрабатывает ваши данные, кто ее оператор, а школа регулярно отправляет в эту систему данные, причем администрация школы внимательно контролируется органами власти в отношении обеспечения этой регулярности.
Только квалифицированное обращение родителей может заставить такие ситуации разрешаться законным образом.
Следует иметь в виду, что в защите персональных данных школа не специалист и вряд ли хорошо понимает, насколько хорошо это делает ее партнер по обработке. Это не значит, что все плохо, но, если у вас появились сомнения, важно знать свои права и грамотно ими пользоваться. Более строгое изложение проблематики 152-ФЗ в школе доступно в подборке нормативных актов на сайте Ружэль.
А ваша организация – оператор персональных данных?
Удивительно холодно была встречена новость о сентябрьских изменениях в Федеральный закон «О персональных данных» на профессиональном портале «профессиональных» операторов персональных данных. Боюсь, вы зря решили, что вашей компании это всё равно не касается.
Что такое персональные данные?
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Вся соль в словах «определенному или определяемому физическому лицу». Если по информации или её совокупности можно понять, о ком речь — то перед вами то, что называют персональные данные. Если понять нельзя — то и эту информацию скорее всего нельзя отнести к персональным данным.
Приведу несколько примеров:
- Иванов Иван Иванович, паспорт гражданина РФ серии 01 00 номер 000001 — это прямо определенное физическое лицо.
- Петров Петр Петрович, отец Вовы Петрова из 5-го «Б» класса — это косвенно определенное физическое лицо.
- Генеральный директор ООО «Ромашка», личный телефон +7(900) 555-00-00 — это определяемое физическое лицо.
- Брюнет Константин — лицо не определено и не может быть определено (не персональные данные или то, что называется обезличенные данные).
Поэтому если вы увидите на стене в подъезде надпись «Машка — молодец!», знайте — это не персональные данные, в отличии от записи в ежедневнике «Мария (+7(900) 555-00-99) — встреча в 16:00». Потому что само по себе взятое отдельно имя к персональным данным не относится, но стоит прибавить к нему информацию, достаточно достоверно идентифицирующую личность (например, номер телефона или паспорта, адрес прописки или должность в конкретной организации), и вуаля! — перед нами появляются персональные данные, причем включая то же самое имя.
Нет четкого списка того, что является персональными данными. Но обычно к ним относят следующее:
Обратите внимание!
Исчерпывающего списка персональных данных нет и быть не может. Относятся данные к персональным или не относятся решается в каждой ситуации отдельно.
- фамилия,
- имя,
- отчество,
- адрес проживания,
- электронный адрес,
- номер телефона,
- дата рождения,
- место рождения,
- национальность,
- вероисповедание,
- место работы,
- должность,
- рост,
- вес,
- и так далее.
Кто является оператором персональных данных?
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
То есть формально — все. Абсолютно все.
Наверняка, прочитав предыдущий раздел, Вы пришли к выводу, что Ваш телефон, Ваш электронный почтовый ящик, Ваш ежедневник, документы на Вашем столе и даже несколько папочек в сейфе кишмя кишат персональными данными. И что же делать с этой бедой?
Абсолютно ничего не надо делать в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется (пункт 2 статьи 1 Закона):
- Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
- Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
- Персональные данные, отнесены к сведениям, составляющим государственную тайну;
- Персональные данные относятся к публичной информации о деятельности судов в РФ.
Скорее всего, ничего не надо предпринимать если:
Обратите внимание!
На практике есть много нюансов, которые нужно будет участь, чтобы иметь возможность обрабатывать персональные данные не уведомляя компетентный орган. Поэтому не делайте окончательных выводов основываясь только на этой статье!
Как минимум, обратитесь к тексту закона — в списке есть прямые ссылки.
- Персональные данные обрабатываются исключительно во исполнение требований трудового законодательства (подпункт 1 пункта 2 статьи 22 ФЗ «О персональных данных»);
- Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных (подпункт 2 пункта 2 статьи 22 ФЗ «О персональных данных»);
- Персональные данные о членах общественной или религиозной организации обрабатываются самой этой организацией (подпункт 3 пункта 2 статьи 22 ФЗ «О персональных данных»);
- Сам субъект персональных данных сделал их общедоступными (подпункт 4 пункта 2 статьи 22 ФЗ «О персональных данных»);
- Персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных (подпункт 5 пункта 2 статьи 22 ФЗ «О персональных данных»);
- персональные данные используются для предоставления одноразового пропуска и т.п. (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);
- Обрабатываются персональные данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);
- Персональные данные обрабатываются без использования компьютера (но с соблюдением требований установленных Постановлением Правительства РФ от 15.09.2008 N 687) (подпункт 8 пункта 2 статьи 22 ФЗ «О персональных данных»);
- Персональные данные обрабатываются в целях транспортной безопасности (подпункт 9 пункта 2 статьи 22 ФЗ «О персональных данных»).
Придется позаботится о соблюдении всех требований ФЗ «О персональных данных», если:
Обратите внимание!
Не важно, кто является владельцем сайта: физическое лицо или организация. В обоих случаях необходимо зарегистрировать оператора персональных данных.
1. Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:
- форумы;
- социальные сети;
- многие новостные сайты;
- интернет-магазины;
- блоги;
- сайты с частными объявлениями;
- и так далее.
2. Ваш сайт позволяет вносить в формы персональные данные пользователей, которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.
3. Ваш сайт просто уже содержит реальные персональные данные граждан.
4. Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:
- большинства юридических фирм;
- абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
- реестродержателей;
- бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
- банков, МФО и других компаний финансового сектора, работающих с данными граждан;
- медицинских учреждений;
- магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
- образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
- ТСЖ и управляющих компаний в сфере ЖКХ;
- турагентств;
- третейских судов;
- и так далее.
5. Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).
6. Ваша компания использует CRM или аналогичные системы.
7. Во всех остальных случаях, если Вы или Ваша компания не подпадаете под исключения, которые я описала выше.
Что делать организации, занимающейся обработкой персональных данных?
Если вы нашли свою компанию в третьем списке, то, во-первых, придется подготовить пакет документов, предусмотренных законодательством о персональных данных, который включает в себя:
- Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
- Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
- План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.
- Перечень должностей и третьих лиц, допущенных к обработке персональных данных.
- Форма Обязательства о неразглашении персональных данных.
- Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку.
- Перечень обрабатываемых персональных данных.
- Форма Согласия на обработку персональных данных.
- Форма Согласия на обработку персональных данных для сайта.
- Перечень информационных систем персональных данных.
- Перечень применяемых средств защиты информации.
- Перечень помещений, в которых ведется обработка персональных данных.
- Технический паспорт информационных систем персональных данных.
- Приказ о назначении лиц, ответственных за обработку и защиту персональных данных.
- Инструкция администратора информационной безопасности.
- Инструкция менеджера обработки персональных данных.
- Положение по обработке персональных данных.
- Политика компании в отношении обработки персональных данных.
- Положение об обеспечении безопасности персональных данных.
- Уведомление об обработке персональных данных.
- Приказ об утверждении Инструкции пользователя информационных систем персональных данных.
- Инструкция пользователя информационных систем персональных данных.
- Регламент по учёту, хранению и уничтожению носителей персональных данных.
- Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.
- Регламент по реагированию на запросы субъектов персональных данных.
- Регламент по взаимодействию с органами государственной власти в области персональных данных.
- Регламент по резервному копированию персональных данных.
- Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности.
Во-вторых, уведомить компетентный орган — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о начале обработки персональных данных. После чего компания будет внесена в Реестр операторов персональных данных.
Например, 1 сентября вступили в силу изменения в Закон, ограничивающие трансграничную передачу данных, в связи с чем до 12 сентября операторы персональных данных должны были сообщить в Роскомнадзор о том, где они обрабатывают персональные данные — в России или за рубежом.
В-третьих, отслеживать изменения в законодательстве о персональных данных, так как периодически придется направлять в Роскомнадзор новые уведомления и вносить коррективы в действующие внутренние положения, регламенты и другие документы.
Ответственность за нарушение законодательства о персональных данных
Роскомнадзор периодически производит проверки как среди компаний, внесенных в Реестр операторов персональных данных, так и среди компаний, которых нет в этом реестре, но они с точки зрения Роскомнадзора потенциально могут заниматься обработкой данных граждан. Со списком запланированных проверок можно ознакомится на сайте органа.
Кроме того, проверки могут назначаться после поступившей жалобы, чем, к сожалению, периодически пользуются обиженные бывшие работники или недобросовестные конкуренты.
Если в ходе проверки Роскомнадзор обнаружит нарушения, то компании, её руководителю и сотрудникам может грозить административная ответственность по статьям:
Кстати, не обольщайтесь совсем небольшим размером штрафов в санкции статьи. Как правило, при проверке выявляется сразу ряд нарушений, а штраф может назначаться за каждое нарушение отдельно, что может увеличить его суммарно до 100 000 рублей и более.
- Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных):
предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
Ряд требований, касающихся обработки персональных данных, установлены трудовым законодательством.
- Статья 5.27. Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права:
предупреждение или наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от одной тысячи до пяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей (в первый раз);
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до двадцати тысяч рублей или дисквалификацию на срок от одного года до трех лет; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятидесяти тысяч до семидесяти тысяч рублей (при повторном нарушении). - Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль:
наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от десяти тысяч до двадцати тысяч рублей. - Статья 13.12. Нарушение правил защиты информации:
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей. - Статья 13.14. Разглашение информации с ограниченным доступом:
наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от четырех тысяч до пяти тысяч рублей.
Кроме того Роскомнадзом имеет право блокировать сайты, нарушающие законодательство, в том числе законодательство о персональных данных. То есть если на вас пожалуется физическое лицо, то сайт может быть заблокирован.
Если очень не повезет, то ответственность может стать и уголовной:
- Статья 137. Нарушение неприкосновенности частной жизни:
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (если использовалось служебное положение). - Статья 140. Отказ в предоставлении гражданину информации:
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
Кстати, Госдума в начале этого года приняла в первом чтении законопроект, увеличивающий до 300 000 рублей штрафы за нарушения при обработке персональных данных. На настоящий момент законопроект «завис» в ожидании второго чтения. Зная специфику работы нашей Госдумы сложно предугадать дальнейшую судьбу поправок в КоАП: канут они в Лету или будут спешно приняты накануне очередных праздничных дней или каникул — мы пока не знаем.
Быть или не быть?
С точки зрения юриста ответ на вопрос очевиден: если компания занимается обработкой персональных данных и не в состоянии свести это обработку к исключениям, указанным в статьях 1 и 22 Закона, то обязательно нужно подготовить все необходимые документы и направить соответствующее уведомление в Роскомнадзор. В таком случае юрист может быть уверен, что риски связанные с проверкой регулирующего органа снижены до минимальных.
С точки зрения руководителя или собственника бизнеса ситуация не на столько очевидная. Те, кто управляют компаниями, обычно делят риски на допустимые и недопустимые (даже если они это так не называют). И в данном случае степень риска и его допустимость зависят от многих факторов. Во-первых, это так скажем заметность компании на рынке, во-вторых, способы обработки персональных данных, в-третьих, ценность юридического лица и его репутации, в-четвертых, политика работы с клиентами.
Поясню на примерах, что я имею в виду. Вероятность того, что Роскомнадзор заинтересуется форумом муромских садоводов-любителей стремится к нулю. А вот у крупного портала или интернет-магазина шансов попасть под пристальный взгляд регулирующего органа значительно больше. На мой взгляд это даже скорее вопрос времени. Поэтому чем крупнее бизнес, тем вероятнее назначение проверки Роскомнадзора.
Способы обработки персональных данных тоже играют большую роль. Сильнее всего рискуют компании, у которых есть сайты, содержащие персональные данные (причем не важно: пользователей или третьих лиц), или позволяющие через формы вносить персональные данные (опять же не важно: пользователей или третьих лиц). Равно высоки риски у компаний регулярно производящих e-mail-рассылки по более или менее крупной базе адресов. Главная проблема и первых, и вторых в том, что Роскомнадзор имеет большой опыт работы именно с интернетом, а также имеет дополнительный способ воздействия на нарушителя — блокировка сайта.
Кроме того, сильно рискуют компании обрабатывающие персональные данные офлайн, но способами, которые легко установить и доказать. Например, ведение клиентской базы в CRM или аналогах, постоянная работа с документами, содержащими данные граждан (так работают регистраторы, реестродержатели, внешние бухгалтеры, банки, МФО, турагентства, третейские суды и некоторые другие).
Третий фактор — ценность юридического лица и его репутации. С одной стороны, это то, о чем обычно не принято говорить вслух. Но мы с вами юристы и прекрасно знаем, что относительно устоявшийся способ решения половины проблем бизнеса — это «закрыть старое ООО, открыть новое». Хозяева бизнеса, которые придерживаются такой философии, редко всерьез заботятся о «безупречности» юридической стороны своего дела, поэтому и риски проверок Роскомнадзора их вряд ли будут волновать.
С другой стороны вопрос репутации становится крайне важен для компаний, заработавших себе определенное имя. И особенно это важно владельцам популярных сайтов. Блокировка сайта на 90 дней способна не только на долгое время выбросить сайт из топ-10 Яндекса или Гугла, но и сильно пошатнуть отношение клиентов или пользователей сайта.
Агрессивная политика работы с клиентами или потенциальными клиентами также может сильно увеличить риск проверок. Кому не звонил в выходной день на сотовый телефон бойкий менеджер какой-то неизвестной компании с «отличным предложением»? Кому не приходилось маниакально по сотому разу добавлять в спам и черный список ненужные рассылки от интернет-магазинов?
Не знаю, как вы, а я очень люблю таким менеджерам напомнить, что их компания нарушает Закон «О рекламе» и Закон «О персональных данных», и порекомендовать исключить мои данные из их базы, а то «мне же придется писать на вас жалобы, а так не хочется…». Но ладно я — я только пугаю, а писать жалобы у меня действительно желания мало. Есть же и более решительные юристы (и не только юристы), которые с удовольствием ввяжутся в это дело, еще и компенсацию морального вреда потребуют. Напомню, что свои проверки Роскомнадзор может производить на основании поступивших жалоб.
Ещё один фактор я не упомянула — это юридическая чистота бизнеса. К сожалению, в нашей стране частично в силу качества законов, частично из-за устоявшейся привычки, этот фактор не очень популярен. Особенно это бросается в глаза, когда сталкиваешься с представителями крупных иностранных компаний, для которых нарушить закон — это экстраординарная ситуация. Хочется верить, что и наш бизнес рано или поздно обратится к этой философии, а пока вам решать, обращать на это внимание или нет.
Собственно, на основании этих факторов и стоит принимать решение по вопросу официальной регистрации в качестве оператора персональных данных.
Кстати, дополнительный бонус для законопослушных компаний — появляется реальный способ борьбы с бывшими сотрудниками, прихватившими с собой клиентскую базу. «Натрави́те» на них Роскомнадзор — у них ведь не будет даже согласия об обработке персональных данных от клиентов, не говоря уже о полноценной строчке в Реестре операторов персональных данных.
Коллеги, мне интересно ваше мнение по проблеме нелегитимной обработки персональных данных!