Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Закон отдельно упоминает комплекс задач, которые должен решать оператор для обеспечения защиты персональных данных. Они указаны в ст. 19 закона. Задачи относятся к нескольким группам – правовым, организационным, техническим. Их выполнение должно гарантировать защиту ПД от утечек, уничтожения, неправомерного доступа, разглашения.
Основные права и обязанности оператора персональных данных
В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн. Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации. Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:
- сборе и накоплении;
- анализе и систематизации;
- уточнении (коррекции либо дополнении);
- извлечении и использовании;
- передаче третьим лицам;
- блокировке и обезличивании;
- уничтожении и удалении.
Нормативно-правовое регулирование
Персональные данные – это практически любая информация, имеющая отношение к гражданину. К ним относятся:
- паспортные данные;
- адрес проживания;
- номер телефона;
- биометрические сведения;
- номер банковской карты.
Организации, использующие в своей работе персональные данные граждан, которые не являются их работниками, признаются операторами персональных данных. Первой обязанностью оператора становится отправка уведомления о начале обработки данных в Роскомнадзор.
Обязанности оператора при сборе персональных данных устанавливаются ст. 18 закона «О персональных данных». Они не ограничиваются только нормами федерального закона, более подробно обязанности оператора описаны в нормативно-правовых актах Роскомнадзора и ФСТЭК РФ.
Но конкретизирующие требования основываются на общих, первым среди них становится обязанность оператора предоставить субъекту персональных данных, если он обратится к нему, следующую информацию:
- подтверждение, что ПД действительно обрабатываются оператором;
- основания для обработки ПД, предусмотренные законом, и цели осуществления этой деятельности;
- способы обработки ПД оператором или третьими лицами по его поручению;
- сведения, идентифицирующие оператора, а также третьих лиц, имеющих доступ к ПД. Эти сведения не касаются работников оператора;
- перечень обрабатываемых ПД и источник их получения;
- сроки обработки и хранения ПД;
- порядок, в котором оператор ПД осуществляет предоставленные ему законом права;
- сведения о том, осуществляется или предполагается ли трансграничная передача данных.
Меры по обеспечению безопасности ПД
Закон предписывает проводить защитные мероприятия в комплексе:
- разработать релевантную модель угроз безопасности персональных данных с учетом рекомендаций ФСТЭК РФ;
- применять сертифицированные ведомством программные и технические средства, позволяющие обеспечить безопасность ПД при их обработке;
- оценивать эффективность применяемых мер еще до введения в действие информационной системы обработки персональных данных;
- создать систему учета и защищенного хранения съемных и стационарных носителей информации;
- внедрить систему выявления инцидентов информационной безопасности и фактов несанкционированного доступа к данным;
- организовать механизм резервного хранения и восстановления ПД, поврежденных или утраченных из-за несанкционированного доступа;
- установить систему дифференцированного доступа к информационным ресурсам, содержащим персональные данные;
- поддерживать техническое и программное состояние сетевой инфраструктуры в соответствии с требованиями закона и регулятора.
По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.
Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:
Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.
Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.
Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.
В каких случаях потребуется уведомление Роскомнадзора
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- получаемых и обрабатываемых в рамках трудового законодательства;
- получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
- относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
- разрешенных физлицом для распространения;
- включающих в себя только фамилии, имена и отчества физлиц;
- необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Штрафы за неуведомление Роскомнадзора
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Персональные данные: успеть обеспечить защиту! Часть 2
С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.
О месторасположении баз данных необходимо уведомить Роскомнадзор.
Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.
Роскомнадзор дал операторам срок до конца февраля 2021 года, чтобы выполнить эти требования.
Независимо от сферы деятельности оператора, он обязан взять у субъекта персональных данных разрешение и указать период его действия.
Согласно положению 8 статьи 9 Федерального закона, принятого 27 июля 2006 года, «О персональных данных», согласие на обработку работника, пациента или клиента в обязательном порядке должно включать в себя срок действия и способ отзыва разрешения.
Оператору предоставляется также два способа обозначить период действия разрешения субъекта – вписав четкую дату или воспользовавшись стандартной в юридической практике фразой: «Настоящее согласие действует с момента подписания и до дня отзыва». Желательно продумать и способ подачи отзыва, например, только в письменной форме.
Закон разрешает собирать информацию о пользователях только на территории России. Это значит, что компании не могут пользоваться услугами зарубежных хостинг-провайдеров, если работают с персональными данными. Чтобы не нарушать требование закона, перенесите сайт на российских хостинг.
Некоторые международные хостинг-провайдеры имеют серверы в России. В таких случаях переносить сайт на новый хостинг не придётся: просто договоритесь, чтобы его разместили на российских серверах.
Будьте осторожны с конструкторами сайтов. Обычно они используют собственные зарубежные хостинги, даже если работают с полной поддержкой русского языка. В таких случаях лучше заранее уточнять, где находятся серверы. Если Роскомнадзор обнаружит, что сервер с вашим сайтом расположен за рубежом, сайт заблокируют, а вам могут выписать штраф (о размерах мы рассказали в последнем разделе).
Закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор. К таким случаям относятся:
Если вы осуществляете обработку персональных данных, при этом ваша деятельность не подпадает под перечисленные выше случаи, вам необходимо до начала обработки персональных данных направить в Роскомнадзор уведомление.
Срок хранения личных дел работодателем
Организация заводит на каждого работника по трудовому договору личную карточку и личное дело. Личная карточка – обязательный документ. Дело же работодатель заводит по собственному желанию (кроме гос.органов и учреждений). В то же время личное дело – более информативно. Ведь здесь работодатель хранит копии документов – паспорта РФ, приказа о приеме на работу, трудовой договор и т.п.
Сразу после увольнения работника работодатель должен изъять из личного дела копии паспорта, СНИЛС, документов об образовании и всех иных, которые содержат персональные данные. Однако в силу ст. 17 и 22.1 Закона об архивном деле работодатель обязан хранить документы, подтверждающие факт работы, документы о заработной плате, об отчислениях в ПФР и т.п. Хранит организация и невостребованные документы. И только спустя 75 лет их считают невостребованными.
Как избежать возможных штрафов за хранение персональных данных работника после его увольнения? Мы рекомендуем прописать сроки хранения в Положении о персональных данных организации, а также от каждого работника получать согласие на обработку данных.
Требования к сроку хранения персональных данных по ФЗ-152
Абсолютно любые операции с Ф.И.О., адресом и другими сведениями, которые дают возможность идентифицировать гражданина, предполагают следование установленным законом требованиям. То есть работодатель не может произвольно решить, как долго будут сохраняться ПДн, как он их будет использовать и т.д. Все эти процессы регулируется ФЗ-152. Кроме определения терминов и других общих положений в документе содержатся статьи, регламентирующие сроки обработки и хранения персональных данных, а также сам процесс их применения. Вот главные моменты:
- нахождение в базе личной информации и на материальных носителях не должно быть дольше, чем время, необходимое на выполнение задач, ради которых она была собрана;
- когда цели получения и обработки выполнены, запрещено продолжать хранить ПДн. Их требуется обезличить и уничтожить в установленном законом порядке, если нет других предусмотренных законом обстоятельств этого не делать;
- уничтожению подлежат те сведения, необходимость в которых, по тем или иным причинам отпала;
- нельзя выполнять какие-либо операции до получения письменного согласия от субъекта в установленной форме либо после того, как владелец отозвал ранее предоставленное разрешение;
- оператор обязуется в период использования личной информации обеспечивать её защиту от распространения и кражи третьими лицами, а за нарушение этого правила он несет как административную, так и уголовную ответственность.
Политика обработки персональных данных на сайте
Пункт 3 статьи 13.11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:
- на граждан в размере от 700 до 1 500 рублей;
- на должностных лиц — от 3 000 до 6 000 рублей;
- на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
- на юридических лиц — от 15 000 до 30 000 рублей.
Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.
Комментарий к изменениям, вступившим в силу с 01.09.2015
01.09.2015 вступают в силу изменения в статьи 18, 22, 23 Закона «О персональных данных», согласно которым оператор обязан обеспечить обработку персональных данных российских граждан (в том числе данных, собранных посредством сети Интернет) в базах данных, находящихся на территории РФ (за исключением случаев, перечисленных в п. п. 2 — 4, 8 ч. 1 статьи 6 Закона).
Напомню, что до начала обработки персональных данных оператор обязан представить в Роскомнадзор уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 Закона). В связи с этим с 01.09.2015 в уведомлении необходимо указывать сведения о месте нахождения базы данных, содержащей персональные данные российских граждан.
Примечание: сама база данных, как и информация, в ней размещенная, имеет нематериальный характер, но имеет материальный носитель (вещь), без которого не может быть воспринята третьими лицами.
Сами базы данных как нематериальные объекты не могут находиться на определенной территории. Территория всегда материальна, а базы данных — нет.
По смыслу Закона № 242-ФЗ, на территории РФ должны находиться именно базы данных, а не их материальные носители, т.е. место нахождения материального носителя баз данных имеет значение лишь тогда, когда в нем размещены базы данных.
Требование о локализации распространяется на персональные данные, собранные или обрабатываемые после 1 сентября 2015 года (если данные были собраны до 1 сентября 2015 года и больше не обрабатываются, на такие «архивные» базы данных требование не распространяется).
Защита персональных данных
Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.
К исключениям относятся:
- только ФИО субъектов;
- трудовые отношения;
- договорные отношения;
- общедоступные персональные данные;
- однократные пропуска на территорию;
- когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
- транспортная безопасность.
Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.
Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.
Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).
Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.
Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.
Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:
- Положение о персональных данных;
- Приказ об утверждении положения;
- Приказ о назначении ответственного лица;
- Политика в отношении обработки и безопасности персональных данных;
- Пользовательское соглашение в приложении и на сайте;
- Инструкция ответственного за организацию обработки персональных данных;
- Приказ о выделении помещений для обработки персональных данных + правила доступа;
- Журнал учета машинных носителей информации с персональными данными.
Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.
Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.
У меня свой интернет-магазин и я слышал, что надо как-то работать с персональными данными, иначе меня могут оштрафовать. Как мне понять, что менять и как действовать?
Да, действительно могут. Федеральным законом №152 от 27.07.2006 «О защите персональных данных» определены требования по защите персональных данных, а в КОАП РФ предусмотрены серьёзные санкции за нарушение этого закона, которые могут представлять собой штрафы в несколько миллионов для бизнеса.
Чтобы понимать, что нужно защищать, дадим определение персональным данным. Это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. То есть охраняемыми законом будут те персональные данные, которые позволят установить личность. С учётом того, что в интернет-магазинах есть учетные записи с анкетами, которые содержат адрес отправки, получателя, пол, дату рождения, телефон и пр., то подобный вид деятельности однозначно подпадает под требования по защите персональных данных.
Что ожидает турфирмы в ближайшем будущем?
Первоначально все организации, принимающие участие в обработке персональных данных своих клиентов или работников, обязаны были привести свои информационные системы в соответствие с требованиями в сфере защиты информации до начала 2010 г. Но Федеральный закон от 27.12.2009 N 363-ФЗ продлил этот срок до января 2011 г. У турфирм, гостиниц и отелей осталось чуть больше трех месяцев, чтобы привести в порядок информационные системы персональных данных.
Напомним, речь идет о системах, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации или без использования таких средств. Правительством РФ уже разработан ряд подзаконных нормативных актов, имеющих отношение к информационным системам персональных данных. Среди них:
- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление от 17.11.2007 N 781);
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Постановление от 15.09.2008 N 687);
- Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем (Постановление от 06.07.2008 N 512).
Государственный контроль и надзор за деятельностью юридических лиц, индивидуальных предпринимателей, занимающихся обработкой персональных данных, осуществляет Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций ). За обеспечением безопасности персональных данных наблюдают ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) (ч. 3 ст. 19 Закона о персональных данных). Перечисленные уполномоченные органы уже составили планы проведения проверок организаций, занимающихся обработкой персональных данных, на предстоящий 2011 г. Поэтому турфирмам, гостиницам и отелям нужно быть готовыми к приходу проверяющих: ознакомиться с нормами указанных документов (и первоисточника — Закона о персональных данных) и выполнять их. К чему Закон о персональных данных обязывает турфирмы и гостиницы?
Несколько случаев из практики
Турагент заключает с туристом договор на реализацию туристического продукта. При заключении договора и исполнении его условий турфирма запрашивает у клиента личные данные. Для того чтобы их обработать (принять, систематизировать, ввести в базу), согласия туриста не требуется, но без него не обойтись при передаче персональных данных туроператору, реализующему туристский продукт. Личные данные могут понадобиться не только для заселения туриста в гостиницу или отель, но и для бронирования определенных туристических услуг, не входящих в туристский продукт.
Согласие на передачу таких данных третьим лицам (туроператору, гостинице) можно включить в текст договора, заключаемого с туристом, и договора между турагентом и туроператором, указав на обязательное использование личных данных туриста исключительно для выполнения условий договора о реализации туристского продукта. Это позволит избежать возможных претензий со стороны субъекта персональных данных при условии, что, получив согласие от туриста, турагент и туроператор не будут использовать данные клиента для целей, отличных от исполнения договора с туристом.
К сведению. Правительством РФ утвержден Перечень персональных данных, записываемых на электронные носители информации, содержащихся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане выезжают из РФ и въезжают на ее территорию. В него входят номер документа, фамилия и имя его владельца, гражданство, дата рождения, пол, цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа) (Постановление от 04.03.2010 N 125). Обработка таких персональных данных может осуществляться без согласия их субъекта (п. 2 ст. 11 Закона о персональных данных).
Практика показала: для упорядочивания работы с персональными данными турфирме целесообразно разработать внутренний нормативный акт, который устанавливал бы порядок работы с персональными данными сотрудников и клиентов. Правила разрабатываются самостоятельно исходя из специфики деятельности турфирмы. Не помешает, если работники будут ознакомлены (под роспись) с документом, в котором прописаны права и обязанности конкретных исполнителей при обработке данных.
Истребование информации судебными приставами
В процессе исполнения требований исполнительных документов судебный пристав-исполнитель вправе запрашивать необходимые сведения у физических лиц, организаций и органов, находящихся на территории РФ (пп. 2 п. 1 ст. 64 Закона N 229-ФЗ ). Его право получать при совершении исполнительных действий необходимую информацию, объяснения и справки предусмотрено п. 2 ст. 12, ст. 14 Закона N 118-ФЗ , причем законные требования пристава обязательны для всех органов, организаций, должностных лиц и граждан РФ (п. 1 ст. 6 Закона N 229-ФЗ). В поле зрения пристава могут попасть турфирмы, которые обладают определенными сведениями о туристах, оказавшихся должниками. Имеет ли право турфирма предоставлять им персональные данные о своих клиентах?
Федеральный закон от 02.10.2007 N 229-ФЗ «Об исполнительном производстве».
Федеральный закон от 21.07.1997 N 118-ФЗ «О судебных приставах».
Ранее этот вопрос не был четко урегулирован. Задачей судебных приставов-исполнителей является исполнение судебных и иных актов, предусмотренных законодательством об исполнительном производстве. Законодатель не предусмотрел права отдела судебных приставов на получение конфиденциальной информации, в то же время оговорив это право для других государственных органов (например, оперативно-разыскных служб). Исходя из такого положения вещей, турфирма не обязана была сообщать судебным приставам конфиденциальные сведения о своих клиентах.