Требования к защите персональных данных

Консультация эксперта

Все организации работают с персональными данными. Даже если нет базы клиентов – физических лиц, то есть база сотрудников. В 2021 году произошли изменения в Законе 152-ФЗ. Увеличились штрафы. Как соблюсти все требования к защите персональных данных ‒ вы узнаете из статьи нашего эксперта Анастасии Чекмаревой.

***

Разберём по шагам, что обязаны сделать операторы, чтобы защитить персональные данные с учётом всех требований законодательства.

Шаг 1. Определить цель обработки

В законе указаны принципы работы с персональными данными, среди которых целевой характер обработки. Цель необходимо определить в первую очередь, ещё до начала обработки. Именно такую цель вы будете указывать в документах по персональным данным. Вокруг цели складывается порядок действий по работе с персональными данными. За обработку персональных данных, не совместимых с целями обработки, возможно привлечение к ответственности. Штраф по ч. 1 ст. 13.11 КоАП РФ для организации от 60 000 до 100 000 рублей.

Целей обработки у оператора может быть несколько, но по каждой должна быть создана отдельная база. Совмещать такие базы по закону нельзя.

Цель должна быть конкретной. Например, если вы собираете базу данных клиентов для направления рекламных предложений по новым продуктам, то она должна звучать не размыто, например «повышение продаж», а конкретно ‒ «осуществление рекламной рассылки».

Ранее наш эксперт рассказала, что относится к персональным данным.

Шаг 2. Разработать документы по защите персональных данных

Закон не содержит чёткого перечня документов, которые должны быть у оператора персональных данных. Рекомендуем разработать следующие документы.

1. Политика в отношении обработки персональных данных. Это самый главный документ, который устанавливает категории, цели, способы обработки, порядок хранения и использования. Роскомнадзором разработаны рекомендации по составлению этого документа. Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Приказ о назначении ответственного за организацию обработки персональных данных. Это следует из ч. 1 ст. 22.1 Закона 152-ФЗ. Закон не устанавливает требования к должности работника. Им может быть любой сотрудник организации.
3. Приказ об утверждении перечня работников, имеющих доступ к персональным данным.
4. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным.

Обратите внимание на документы, которые касаются лиц, имеющих доступ к персональным данным. Это очень важно. В первую очередь это поможет избежать ответственности за нарушение законодательства в области персональных данных. Если таких документов нет, то получается, что вы передали информацию третьим лицам без согласия. За такие действия возможен штраф по ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 150 000 рублей. Кроме того, это поможет привлечь к ответственности лиц в случае разглашения такой информации.

Вы можете разработать и другие документы, например регламенты по работе с персональными данными или журналы учёта.

Подробные инструкции, формы и образцы заполнения документов вы можете найти в справочно-правовой системе КонсультантПлюс

Шаг 3. Опубликовать политику ПД

После разработки документов один из них необходимо опубликовать или обеспечить к нему неограниченный доступ. Речь идёт о политике персональных данных. Это следует из ч. 2 ст. 18.1 Закона 152-ФЗ. Соблюсти требования закона можно следующим образом:

• Опубликовать политику на сайте организации.
• Разместить на информационном стенде в офисе.

Обратите внимание, в случае проверки вы должны подтвердить, что к политике был предоставлен неограниченный доступ.

Актуальный вопрос: необходимо ли публиковать политику в области обработки персональных данных работников?

Такого требования нет в Трудовом кодексе РФ. Кроме того, из п. 8 ст. 86 ТК РФ следует, что работники должны быть ознакомлены с таким документом под подпись и нигде не указано, что работодатель должен предоставлять к локально-нормативным актам открытый доступ.

Но обработка персональных данных работника регулируется не только Трудовым кодексом РФ. Работодатель является оператором персональных данных. На него возложены соответствующие обязанности. Таким образом, политика также должна быть опубликована на сайте или корпоративном портале. Если у организации нет возможности разместить политику в интернете, то документ можно разместить на информационном стенде в офисе, например в отделе кадров.

Если политика не опубликована, то возможен штраф по ч. 3 ст. 13.11 КоАП РФ. Для юридических лиц ‒ от 30 000 до 60 000 рублей.

Шаг 4. Уведомить Роскомнадзор

До начала обработки оператор обязан подать уведомление в Роскомнадзор о своём намерении осуществлять обработку персональных данных. Это следует из ч. 1 ст. 22 Закона 152-ФЗ. В некоторых случаях законом предусмотрены исключения.

Самое распространённое исключение – обработка в соответствии с трудовым законодательством. Обратите внимание, оно действует исключительно на те данные, которые обрабатываются в соответствии с трудовым законодательством: для исполнения оператором обязанностей как работодателя и для исполнения работником его трудовой функции. Если работодатель собирает и хранит информацию, которая выходит за пределы трудовых отношений, например сведения об имущественном положении, то он должен уведомить Роскомнадзор.

Уведомление не направляется, если данные обрабатываются без использования средств автоматизации.

Ряд исключений зависит от целей обработки, в том числе:

• заключение и исполнение договора, стороной которого является субъект. Исключение действует, если сведения не распространяются, не передаются третьим лицам и используются исключительно для исполнения договора;
• однократный пропуск на территорию оператора;
• защита общественной безопасности.

Предусмотрены исключения для определённых видов и категорий:

• персональные данные, разрешённые субъектом для распространения;
• база данных содержит только фамилии, имена и отчества субъектов.

Не нужно подавать уведомление общественным объединениям и религиозным организациям. Исключение действует, если обрабатывается информация о членах таких организаций в целях, предусмотренных учредительными документами.

В остальных случаях необходимо уведомить. Если вы сомневаетесь, распространяются ли на вас данные исключения, то рекомендуем подать уведомление. Реестр Роскомнадзора включает уже более 400 000 операторов. Включение в реестр не влечёт возникновение дополнительных обязанностей. В случае, когда вы должны были подать уведомление, но не сделали этого, возможна административная ответственность. Штраф по ст. 19.7 КоАП РФ для юридических лиц ‒ от 3 000 до 5 000 рублей.

Направить уведомление можно на бумажном носителе или в электронной форме.

Если вы подаёте уведомление в бумажной форме, то необходимо придерживаться рекомендаций по заполнению указанных в пункте 3.1 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94. Сама форма приведена в приложении 1 к указанным рекомендациям.

Вы можете подать документ в электронном виде. Форма документа и порядок её заполнения размещены на портале Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/, пункт 3.2 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94).

Если сведения, которые вы подавали изменились или обработка персональных данных прекращена, то необходимо уведомить Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений или прекращения обработки персональных данных (ч. 7 ст. 22 Закона 152-ФЗ).

Приглашаем на курс «Управление персоналом и кадровое делопроизводство» от практикующих экспертов. Вас ждет детальный разбор каждой темы и интерактивное общение в ходе обучения.

Шаг 5. Получить согласия на обработку персональных данных

Обрабатывать персональные данные без согласия субъекта нельзя. Это следует из п. 1 ч. 1 ст. 6 Закона 152-ФЗ. Соответственно, перед началом обработки персональных данных необходимо получить согласие на такие действия. Но и в этом правиле есть исключения.

Согласие не нужно в следующих случаях (п. п. 2 ‒ 11 ч. 1 ст. 6 Закона 152-ФЗ):

• Для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем.
  Пример: заключаете договор с гражданином и вписываете в реквизиты информацию о нём.
• Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин.
  Пример: запрашиваете адрес для доставки товара.
• Для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством.
  Пример: запрашиваете электронную почту покупателя для направления кассового чека.
• Для осуществления прав и законных интересов (ваших или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина.
  Пример: записываете данные посетителей, для того чтоб обеспечить безопасность.

В остальных случаях согласия необходимо. Согласие должно быть конкретным, информированным и сознательным, а также дано в форме, дающей возможность подтвердить его получение.

На практике встречаются ситуации, когда такое согласие включают в текст договора. Но такой способ может быть небезопасен. Например, в Постановлении Одиннадцатого арбитражного апелляционного суда от 03.07.2018 № 11АП-8336/2018 по делу № А65-33540/2017 указано, что включение согласия в форму договора не отвечает требованиям законодательства, так как оформлено мелким шрифтом и включает специфические термины («обработка персональных данных», «трансграничная передача»), которые не используются в обиходе и гражданин мог не знать их значения. Такую позицию можно встретить и в других решениях. Постановление Арбитражного суда Северо-Западного округа от 18.07.2016 № Ф07-5537/2016 по делу № А44-9647/2015. Рекомендуем получать согласие субъекта отдельно от договора.

Закон позволяет получать согласие в следующих формах:

1. Письменная форма в виде отдельного документа. Аналогом такой формы может быть в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Требования к содержанию документа указаны в ч. 4 ст. 9 Закона 152-ФЗ. В некоторых случаях такая форма согласия обязательна:

• для создания общедоступных источников (справочники, адресные книги и др.);
• для обработки специальных и биометрических данных;
• в случае трансграничной передачи;
• если решение, порождающее юридические последствия в отношении субъекта или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных;
• обработка персональных данных в рамках трудовых отношений.

1. Электронная форма согласия. Например, когда при регистрации на сайте пользователь ставит галочку под пунктом «Согласен на обработку персональных данных», переходит по ссылке в письме, вводит смс-код и другие способы подтверждения согласия. Главное, чтобы потом можно было подтвердить, что согласие действительно было дано.
2. Устная форма. Такой вариант часто используется колл-центрами. Когда субъект совершает звонок, совершается идентификация и фиксируется информация о разговоре (например, телефонный номер, время звонка, продолжительность звонка и др.). При этом он предварительно предупреждается в устной форме.

Согласие на распространение персональных данных

Если вы планируете не только обрабатывать, но и передавать данные субъектов, то на такие действия необходимо получать отдельное согласие. Это новые требования, которые появились в 2021 году (ст. 10.1 Закона 152-ФЗ). Такое согласие получается отдельно от иных согласий. Если лицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо. Субъект самостоятельно выбирает, какую информацию о себе разрешает распространять. Например, он может предоставить для обработки Ф.И.О., дату рождения, СНИЛС, сведения об образовании, а дать разрешение на распространения только на Ф.И.О. и сведения об образовании.

Согласие на распространение может быть предоставлено оператору следующими способами (п. 6 ст. 10.1 Закона 152-ФЗ):

• непосредственно на бумаге с личной подписью;
• через информационную систему Роскомнадзора.

К такому согласию применяются особые требования, указанные в Приказе Роскомнадзора от 24.02.2021 № 18. С 1 июля 2021 года на портале Роскомнадзора заработал интернет-сервис для подготовки формы такого согласия (https://pd.rkn.gov.ru/soglasiya/maket/).

Обучение и развитие персонала в организации. Мы готовим экспертов, получающих международные сертификаты АССА.

Шаг 6. Хранить в соответствии с законодательством

При хранении персональных данных вы должны принять правовые, организационные и технические меры, чтобы не допустить любые противоправные действия в отношении этих данных, например утечку, кражу, незаконное распространение (ст. 19 Закона 152-ФЗ).

Закон предъявляет ряд требований к порядку хранения персональных данных.

• Срок хранения ‒ сколько достаточно для обработки.
• При хранении должна быть возможность определить субъекта.
• В ходе хранения должна происходить актуализация сведений. Если информации недостаточно или она неточная, то персональные данные необходимо удалить.
• По каждой цели обработки должна быть отдельная база. Объединять нельзя. Например, базы данных работников и клиентов.
• После обработки информацию нужно уничтожить или обезличить.

Вы можете обрабатывать данные с помощью средств автоматизации (базы данных) или без их использования (на бумаге). Это следует из п. 3 ст. 3 Закона 152-ФЗ.

Обратите внимание, при автоматизированной обработке необходимо использовать только те базы, которые находятся в России. Это касается также сбора сведений через интернет (ч. 5 ст. 18 Закона 152-ФЗ). В случае использования баз данных, находящихся на территории других государств, оператор может быть привлечён к административной ответственности. Штраф по ч. 8 ст. 13.11 КоАП РФ от 1 000 000 до 6 000 000 рублей.

Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам, указанным в ст. 12 Закона 152-ФЗ.

Шаг 7. Уничтожить в соответствии с требованиями закона

В ряде случаев вы обязаны уничтожить персональные данные субъекта. В зависимости от ситуации установлен срок уничтожения.

• Субъект самостоятельно обнаружил, что вы обрабатываете персональные данные без его согласия, и потребовал уничтожить их (п. 3 ст. 20 Закона 152-ФЗ) – 7 рабочих дней с момента получения заявления.
• Вы самостоятельно обнаружили, что неправомерно обрабатывали персональные данные (п. 3 ст. 21 Закона 152-ФЗ) ‒ 10 рабочих дней с даты, когда выявили неправомерную обработку.
• Вы достигли цели обработки (п. 4 ст. 21 Закона 152-ФЗ) ‒ 30 дней с даты достижения цели обработки.
• Субъект отозвал согласие на обработку (п. 5 ст. 21 Закона 152-ФЗ) ‒ 30 дней с даты поступления отзыва.

Обратите внимание, возможны ситуации, когда в силу закона или договора вам необходимо продолжить обработку персональных данных даже после отзыва субъекта. Например, если работник отозвал согласие, то вы можете продолжить обработку для исполнения ваших обязанностей как работодателя. Те данные, которые не нужны для исполнения таких обязанностей, вы должны удалить.

Закон не предусматривает требований к удалению персональных данных, но вы должны иметь возможность подтвердить этот факт. Рекомендуем создать комиссию, составить акт или иным образом зафиксировать удаление. Формы документов утверждаются оператором (<Информация> Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).

Подводим итог. В работе с персональными данными много сложностей. Необходимо составить ряд документов, получить согласие, обеспечить надёжное хранение.

Анастасия Чекмарева, преподаватель-юрист ООО «Что делать Консалт»

Смотрите по этой теме видео на нашем YouTube-канале