Nalogia.ru

Роскомнадзор о персональных данных в 2021 году

Кто относится к операторам персональных данных

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

  • электронная почта;
  • телефон,
  • имя и фамилия;
  • дата рождения;
  • адрес;
  • ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • деперсонализированный идентификатор useid;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;
  • IP-адрес.

По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Судебное решение

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Персональные данные и работающие с ними организации

Закон «О персональных данных» вводит понятие оператора персональных данных. Это организация любой формы собственности или индивидуальный предприниматель, которые по роду деятельности собирают персональные данные граждан для обработки. Далеко не все компании осознают, что они являются участниками процессов, связанных с обработкой персональных данных. Закон четко определяет, что оператором становится любая организация, получающая сведения о гражданах с целями, которые не связаны с обработкой информации о персонале.

К лицам, обрабатывающим персональные данные, относятся:

  • частные организации, например, поставщики услуг связи или владельцы интернет-магазинов;
  • индивидуальные предприниматели, размещающие на своем сайте форму обратной связи;
  • муниципальные органы;
  • государственные органы, например, при проведении ЕГЭ, при сборе налоговой информации или сведений персонального учета.

Размеры штрафов за нарушения зависят от категории организации, например, частные компании будут привлечены к более серьезной материальной ответственности, чем индивидуальные предприниматели. При этом государственные органы, работающие с огромными объемами ПД граждан, за нарушение законодательства будут отвечать по тем же нормам КоАП, что и частная компания. Но сами требования по программным и техническим средствам, которые предъявляются к государственным информационным системам (ГИС), строже и трудновыполнимее, чем задачи, поставленные перед небольшой частной организацией. Для ГИС обязательны аттестация и приемочные испытания, частные компании могут вводить в действие систему без дополнительного контроля со стороны регулятора.

Обязанности оператора

Начиная работу с персональными данными, оператор обязан сообщить об этом в надзорное ведомство – Роскомнадзор. Организации необходимо:

  • заполнить электронную форму уведомления о начале деятельности, связанной с обработкой персональных данных, на сайте ведомства, подписав его ЭП;
  • направить бумажный экземпляр уведомления в ведомство почтой.

Закон не преследует участников обработки персональных данных за подачу уведомления после того, как они фактически приступили к процессу обработки персональных данных. Если в уставные документы или коды ОКВЭД не вносились изменения, связанные со сменой вида деятельности и получением нового кода ОКВЭД, на основании которого осуществляется обработка ПД, то в качестве даты начала такой обработки лучше поставить дату регистрации организации.

Уведомлять Роскомнадзор не нужно в следующих случаях:

  • организация работает только с персональными данными собственных сотрудников;
  • компания получает данные при заключении договора с клиентом, но они используются только в целях исполнения этого договора;
  • обрабатываемая информация является общедоступными персональными данными;
  • к обрабатываемым сведениям относятся только ФИО;
  • сведения необходимы для оформления разового пропуска на территорию, где располагается организация, получающая ПД;
  • данные обрабатываются в ГИС (государственных информационных системах) федерального уровня;
  • оператор работает с данными без применения средств автоматизации.

Подать уведомление необходимо в течение трех лет после начала занятия деятельностью, связанной с обработкой персональных данных. Также компания должна выполнять обязанности, предусмотренные законом и подзаконными нормативными актами, издаваемыми регуляторами – ФСТЭК РФ, отвечающей за программную и техническую организацию системы защиты персональных данных, и Роскомнадзором, следящим за соблюдением организационных требований. Через три года могут быть первые проверки, и во избежание преследования в рамках КоАП РФ организации нужно решить основные задачи по охране персональных данных:

  • обязательно получать согласие субъекта персональных данных на их обработку, передачу третьим лицам или трансграничную передачу;
  • разработать и разместить на сайте организации в открытом доступе правильно подготовленную Политику по работе с персональными данными;
  • выполнять правила ФСТЭК РФ по соответствию программных и технических средств защиты информации рекомендациям ведомства по работе с персональными данными.

Скрупулезное выполнение закона и подзаконных актов поможет избежать административной и гражданско-правовой ответственности. Штрафы за нарушения повысились с 2017 года, при неоднократном отказе от соблюдения правил возможно приостановление деятельности организации.

Минимальные меры, необходимые для защиты персональных данных и избегания ответственности:

  • под любым окном на сайте или формой, в которую пользователь заносит любые персональные данные, поместить фразу о предоставлении согласия на обработку ПД и чек-бокс для проставления галочки, говорящей о согласии;
  • разместить в окне, в котором проставляется согласие, гиперссылку на Политику обработки персональных данных. Документ должен включать всю информацию, связанную с целями и методами обработки ПД;
  • разместить на сайте всплывающее окно с информацией об использовании файлов cookie или схожих технологий, собирающих информацию о посещаемости.

Роскомнадзор вправе даже без назначения специальной проверки контролировать выполнение этих требований.

Положение или Политику обработки персональных данных можно подготовить самостоятельно, закон не регламентирует ее структуру, главное, чтобы в документе содержалась следующая информация:

  • данные об операторе персональных данных;
  • цели обработки персональных данных, совпадающие с описанными в законодательстве;
  • перечень персональных данных, на обработку которых правообладатель оставляет свое согласие;
  • указание информации о третьем лице, если ему поручена обработка персональных данных, и цель такого поручения;
  • перечень действий, которые будут осуществляться с персональными данными;
  • срок действия согласия на обработку персональных данных;
  • порядок корректировки или удаления данных.

Существуют ситуации, когда на организацию, связанную с обработкой персональных данных не возлагается ответственность за необходимость обеспечения их конфиденциальности:

  • если персональные данные обезличены и из массива информации невозможно выделить сведения, позволяющие идентифицировать конкретного человека;
  • если персональные данные обрабатываются в рамках конкретного договора;
  • если ПД предоставлены общественной или религиозной организации ее членами для выполнения целей, определенных законом или уставом.

В ряде случаев закон «О персональных данных» не требует получения от правообладателя согласия на обработку ПД:

  • если обработка производится на основании закона или международного договора, заключенного Россией;
  • обработка проводится в целях статистического или иного научного исследования, а данные субъекта ПД обезличены;
  • обработка ПД необходима для защиты жизни, здоровья, жизненно важных интересов конкретного лица в условиях, когда получить его согласие проблематично;
  • обработка ПД проводится на почте для оказания услуг связи;
  • обработка производится в случаях, прямо предусмотренных федеральными законами.

Далеко не всегда правообладатель может проконтролировать, насколько правильно обрабатываются его персональные данные и насколько точно оператор придерживается заявленных им целей.

В рамках национального проекта «Цифровая экономика» планируется создание единого портала персональных данных, где операторы будут размещать информацию о своей деятельности, а субъекты ПД смогут уточнить:

  • кому было предоставлено согласие на обработку ПД;
  • кем, с какой целью и какие данные обрабатываются.

При помощи ресурса пользователь должен иметь возможность отозвать свое согласие или откорректировать данные.

Правила проверки организаций, обрабатывающих персональные данные

Чтобы привлечь оператора персональных данных к ответственности, Роскомнадзор должен соблюдать правила проведения проверок, утвержденные весной 2019 года. Ранее действовал только ведомственный регламент, позволяющий отступать от строгих правил. Теперь ответственность ведомства устанавливается за соблюдение регламента проверок в полной мере.

Регламент проверок соблюдения требований законодательства о персональных данных следующий:

  • плановая проверка проводится раз в три года, срок ее проведения без продления составляет 20 рабочих дней. Узнать о планируемых проверках по защите персональных данных можно на сайте Генпрокуратуры, о конкретной дате визита инспекторов организацию предупредят за три дня;
  • срок предоставления документов организацией в рамках плановой проверки сокращен до пяти дней, ранее оператору предлагали подготовить запрошенные материалы за 20 дней;
  • внеплановая проверка проводится вне графика в случае получения жалобы. Срок ее проведения составляет 10 рабочих дней, организацию предупредят за сутки;
  • внеплановая проверка не может быть документарной, для нее предусмотрена только выездная форма;
  • добавились дополнительные основания для продления срока проверки, например, разветвленность организационной структуры компании, обработка персональных данных в нескольких информационных системах;
  • запрос документов в связи с обращениями граждан проверкой не считается;
  • Роскомнадзор вправе следить за деятельностью операторов в Интернете и при выявлении нарушений проводить внеочередные выездные проверки.

Регулирующая деятельность ведомства усилилась. Возможно, это связано с участившимися случаями утечек персональных данных российских граждан, особенно когда они публикуются на зарубежных сайтах. Операторы, являющиеся российскими организациями, должны уделить повышенное внимание соблюдению требований законодательства. Это поможет избежать ответственности и обеспечить надлежащую защиту персональных данных.

Данные из социальных сетей

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.

Судебное дело

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.
  • Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Фотографии и видеозаписи в контексте персональных данных

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Что проверяет Роскомнадзор?

Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:

  • наличие письменного согласия субъектов в случае их необходимости;
  • присутствие локальной документации, регулирующей взаимоотношения между оператором и владельцем ПДн, а также их соблюдение;
  • своевременное уведомление о начале обработки;
  • поставленные цели и длительность хранения информации;
  • применяемые меры защиты, налаженная система ограничения доступа;
  • сервера, на которые помещаются сведения для систематизации и хранения.

Естественно, если в прошлом оператор персональных данных совершал нарушения, но его будут инспектировать особенно тщательно, так что есть смысл изначально привести деятельность в сфере ПДн в соответствие в требованиями ФЗ-152.

“Письмо счастья” от Роскомнадзора

Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.

Уведомление Роскомнадзора о необходимости включения в реестр операторов персональных данных

В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма.

РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.

Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.

В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства.

За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.

*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2019 г. № 146).

Кому нужно подать уведомление в Роскомнадзор:

всем компаниям, которые собирают, хранят или обрабатывают персональные данные.

Чем грозит разглашение личной информации граждан?

Закон предусматривает различные виды ответственности за несоблюдение оператором требований ФЗ-152 в отношении операций с ПДн, а именно:

  • замечание, выговор и увольнение сотрудника, допустившего разглашение конфиденциальной информации;
  • взыскание суммы ущерба с работника-нарушителя;
  • возмещение морального вреда субъекту персональных данных в результате гражданских исков;
  • наложение административного штрафа, размер которого может варьироваться в зависимости от обстоятельств дела (от 15 тысяч до 18 миллионов рублей);
  • и другие виды ответственности, вплоть до уголовной для руководителя при значительных нарушениях, повлекших за собой серьезные последствия для субъекта.

Порядок уничтожения персональных данных

Терминатор – оператор обработки персональных данных

Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.

Вывод

Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет. Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас.

Источники

  • https://delo.modulbank.ru/all/data_operator
  • https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/reestr-operatorov-personalnyh-dannyh/kto-yavlyaetsya-operatorom-personalnykh-dannykh/
  • https://mediapravo.com/privacy/rkn-personal-data.html
  • https://data-sec.ru/personal-data/operator/
  • https://mediapravo.com/privacy/reestr-operatorov.html

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: