В статье раскрываются основные положения российского законодательства относительно правового режима персональных данных. В последнее время все чаще и чаще поднимается вопрос о защите персональных данных (ПДн). Ведь федеральные законы, постановления правительства РФ обязывают

# Что представляет собой аттестат и какой уполномоченный орган его выдает?

Под аттестатом понимается документ, подтверждающий эффективность принятых Оператором организационно-технических мер защиты. Этот термин вводится в пункте 4 части 2 статьи 19 ФЗ-152.

Аттестат может выдаваться только:

  • органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну);
  • организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера, в том числе персональных данных).

Административная ответственность за разглашение персональных данных.

С 1 июля 2019 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от № 13-ФЗ. На основании Федерального закона от № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

ВАЖНО! Для справки рекомендуется ознакомиться с документом:

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.
Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

  1. Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.
  2. Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.
  3. Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.
  4. Подписание соглашений с третьими лицами, которые участвуют в обработке информации.
  5. Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.
  6. Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.
  7. Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.

Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

  • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
  • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

Из наших специальных публикаций вы также сможете узнать о том, что такое политика защиты и обработки ПД, а также какие уполномоченные органы по защите прав субъектов персональных данных существуют.

Что это такое?

Постановление Правительства РФ от N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» предъявляет особые требования к информсистемам, содержащим персональные данные, и предполагает создание особых средств и систем защиты информации.

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от N 1119.

Важно! Контролировать выполнение требований по защищенности информации, оператор может самостоятельно либо привлечь лицензированную организацию, которая специализируется на создании и реализации СЗПД.

Вопросы и ответы

Прошу Вас пояснить, необходимо ли мне,как ИП Шибанов Е.Ю.(,деятельность по сдаче в аренду нежилых помещений,без наемных работников, УСНО-6%.Оплата по Договорам на расчетный счет безналично),

РАЗРАБАТЫВАТЬ ДОКУМЕНТАЦИЮ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

С Уважением Шибанов Е.Ю.

Эксперт:

Евгений, обработкой персональных данных считаются любые действия или операции, которые вы проводите с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.

Таким образом, даже если вы, например, всего лишь получаете паспортные данные своих клиентов или создали базу данных их телефонных номеров, вы обрабатываете персональные данные и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке персональных данных.

При этом, Вы сами решаете каким образом осуществлять обработку и какие меры принимать по защите. Для этого необходимо принять локальный акт (положение).

В соответствии со статьей 18.1 и 19 Федеральный закон от 27.07.2006 N 152-ФЗ  «О персональных данных» — меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними.

Также необходимо назначить ответственное лицо в соответствии со статьей 22.1 вышеуказанного закона. Поскольку Вы осуществляете деятельность без привлеченных сотрудников, то Вы и являетесь этим ответственным лицом.

С уважением, Евгений.

Эксперт:

персональными данными является любая информация связанная с физическим, при этом не имеет принципиального значения, является ли он индивидуальным предпринимателем  или действует как директор  или иной работник юридического лица.

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных» 

Соответственно заключая любой договор,  вы производите обработку персональных данных, поскольку  в договоре как минимум указывается фио  лица действующего от имени вашего контрагента,  будь это директор, ип, или представитель по доверенности.

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных» 

При этом получать согласие контрагента на обработку их персональных данных не нужно. Но  разработать локальный нормативный акт  регулирующие обработку персональных данных(Положение о персональных данных)  вы обязаны,  в случае невыполнения можете быть привлечены к ответственности

Эксперт:

Евгений, 

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных (ч. 1 ст. 18.1 Закона о персональных данных).

Такой мерой может быть и издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона о персональных данных).

При этом, оператор обязан подтвердить принятие мер, направленных на выполнение обязанностей по соблюдению законодательства о персональных данных (по запросу уполномоченного органа по защите прав субъектов персональных данных) (ч. 4 ст. 18.1 Закона о персональных данных).

Таким образом, закон не устанавливает обязательное принятие индивидуальным предпринимателем локальных актов, направленных на защиту персональных данных. Вместе с тем, наличие такой документации поможет хозяйствующему субъекту (в случае спорных ситуаций) подтвердить выполнение требований законодательства о персональных данных.

От россертификации пришло вот такое письмо "счастья"

Предписание о необходимости разработки системы защиты персональных данных,

согласно Федеральному закону № 152-ФЗ (в ред. от 03.07.2016)

В связи с началом проведения внеплановых проверок, с 1 апреля 2018г., во избежание штрафных санкций, информируем, что все организации Российской Федерации, вне зависимости от формы собственности и организационно-правовой формы, обязаны уведомить Федеральную службу по надзору в сфере связи, информационных технологий и коммуникаций (Роскомнадзор) об обработке персональных данных и разработать комплект документации по информационной безопасности.

На момент 03.05.2018г., если Ваша организация Общество с ограниченной ответственностью "Твой Офис" не зарегистрирована в реестре операторов персональных данных, а также не разработан комплект документов по защите персональных данных, ей грозят штрафные санкции в размере от 45 000 руб. до 290 000 руб., в зависимости от количества выявленных нарушений, с возможным приостановлением деятельности предприятия до 90 суток в соответствии c частями статьи 13.11 КоАП РФ, от 30.12.2001 N 195-ФЗ (ред. от 07.02.2017).

Роскомнадзор обращает внимание на то, что если организация полагает, что попадает под исключение, тем не менее, она должна дать ответ на письмо Федеральной службы, в котором следует указать, на основании каких норм Закона организация считает, что может воздержаться от направления уведомления. При этом, в любом случае, организация обязана выполнять все требования по защите персональных данных.

При отсутствии необходимых документов и внедренной системы защиты персональных данных сотрудников и клиентов, ваша организация не может законно продолжать свою деятельность.

В случае отсутствия необходимых документов, настоятельно рекомендуем не затягивать до штрафов при внеплановой документарной проверке, а принять участие в льготной федеральной программе, по разработке документации и внесению в единый реестр, предусматривающей льготные ценовые условия представителям малого бизнеса и государственным организациям.

Теперь они хотят разработать документацию за 28 тысяч. Вопрос. Маленькая фирма на два человека по продаже офисной мебели. С клиентов никаких данных не собираем. С работников данные собирали только согласно трудовому законодательству в момент устройства на работу. Надо ли нам регистрироваться как оператору персональных данных или все проверки и желающие заработать могут искать других жертв?

Эксперт:

Из требования уведомлять Роскомнадзор есть исключения – случаи, которые перечисляет часть 2статьи 22 Закона о персональных данных. Например, не нужно отправлять уведомление:

работодателям, которые собирают информацию о своих сотрудниках (п. 1) или
операторам, которые обрабатывают исключительно фамилии, имена и отчества субъектов персональных данных (п. 5).

Одднако если Вы просто продаете мебель- Вы тоже обрабатываете персональные данные в силу ФЗ о персональных данных

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

Санкции за нарушение: ст. 13.11 КОАП

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

Эксперт:

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. 
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться. 

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно:

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте.

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children's Online Privacy Protection Act (COPPA). 

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать.

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. 
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. 

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.
С Уважением,
Васильев Дмитрий.
 

Источники

Использованные источники информации.

  • https://iaas-blog.it-grad.ru/bezopasnost/obrabotka-i-zashhita-personalnyx-dannyx-chasto-zadavaemye-voprosy/
  • http://hr-elearning.ru/organizaciya-zashhity-personalnyy-dannyx-organizacii/
  • https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/sistema-zpd.html
0 из 5. Оценок: 0.

Комментарии (0)

Поделитесь своим мнением о статье.

Ещё никто не оставил комментария, вы будете первым.


Написать комментарий