С чего начинается процесс правового обоснования обработки пдн
Правовое основание обработки персональных данных
Защита персональных данных
с помощью DLP-системы
О ператоры, занимающиеся обработкой персональных данных (ПДн), обязаны руководствоваться правовыми основаниями, позволяющими осуществлять все предусмотренные законодательными нормами действия с личной информацией граждан. Это необходимо, чтобы операторы не выходили за рамки требований, изложенных в Федеральном законе № 152 «О персональных данных».
Законодательство по обработке персональных данных
В марте 2009 года было издано Положение, регулирующее полномочия и правовое основание, которым наделяется Роскомнадзор в вопросах обработки ПДн. Важность разработки и внедрения этого Положения была вызвана необходимостью обеспечения безопасности персональных данных и прав граждан.
В законе № 152 (ст. 23 ч. 5 п. 3) указывается, что уполномоченный орган, выполняющий функцию защиты прав субъектов, обязан вести реестр всех операторов. Он получает правовое основание для обработки ПДн. В этот документ вносится информация непосредственно об операторах на основании поступающих сведений в уведомлениях.
После этого в соответствии с поданным информационным письмом заносятся все необходимые изменения в сведения, имеющиеся в этом реестре по конкретным операторам. В реестре также должна быть зафиксирована информация о прекращении выполнения оператором процесса обработки ПДн. Правовым основанием для выполнения этих действий является поданное заявление, которое также позволяет выдать запрашиваемую выписку из сведений, внесенных в реестр.
Ведение реестра
На официальном портале Роскомнадзора и на портале ПДн размещен исчерпывающий объем сведений по форме работы с реестром. На этих ресурсах также можно ознакомиться:
Основная информация
Операторами могут являться любые органы государственного или муниципального управления, а также физлица, юрлица, обеспечивающие на правовых основаниях обработку ПДн на предприятии. Этим органам и лицам необходимо установить цели и определить содержание такой обработки.
В качестве правового основания выполнения любых действий по обработке ПДн выступают операции, совершаемые с помощью автоматизированных средств или без их применения.
Оператор может выполнять с ПДн следующие операции:
Именно на эти действия уполномочен оператор при заполнении реестра.
Правовые основания
Всем организациям, учреждениям, компаниям, которые являются операторами, занимающимися сбором, обработкой, хранением ПДн, необходимо придерживаться общих требований, установленных законами России, включая требования статьи 86 ТК РФ.
Правовым основанием для обработки ПДн для компаний сельскохозяйственной отрасли, промышленных предприятий, любых других организаций является выполнение норм действующих законов и иных актов, регламентирующих эту деятельность.
В качестве целей этой обработки могут рассматриваться:
Все ПДн после их получения подвергаются обработке, после чего отправляются на хранение независимо от того, какие носители используются для их размещения (в бумажном или электронном вариантах).
Согласие и условия
Чтобы появились правовые основания для начала процесса обработки ПДн, работодателю нужно в обязательном порядке получить согласие от работника в письменном виде на выполнение такого рода действий. Передавать личные сведения субъектов разрешено на различных условиях. Если письменное согласие сотрудника не предоставлено, передавать ПДн третьим сторонам не разрешается. Исключение составляют случаи, когда существует угроза жизни и здоровью и возможны иные, прописанные в законодательных документах причины.
Запрещено использовать личную информацию сотрудника, если при этом преследуются коммерческие цели и не получено согласие от работника на возможность выполнения таких действий. Лица, которые получают личные данные, должны придерживаться полной конфиденциальности в отношении этой информации.
Иметь доступ к ПДн могут только те сотрудники, которые получили правовое основание, позволяющее им собирать, хранить, обрабатывать эту информацию. Сведения о здоровье работника могут быть запрошены только в объемах, необходимых для реализации трудовых отношений и выполнения им своих трудовых обязанностей.
Выполняя любое действие с ПДн, оператор должен придерживаться правил, предусмотренных в ТК РФ.
Обеспечение хранения и защиты персональных данных
Любая компания должна оформлять, формировать, вести и хранить информацию, в которой содержатся персональные данные. Такая работа всегда выполняется теми, кто наделен правовыми основаниями, которые должны быть занесены в должностные инструкции на предприятии. Лицо, ответственное за выполнение этой работы, назначается приказом генерального директора.
Посторонние лица не должны иметь доступа к персональной информации. Руководитель предприятия также должен утвердить список лиц, допущенных к такой деятельности, а генеральный директор должен завизировать этот документ.
Иметь постоянное право доступа к ПДн на предприятии могут лица из числа административных работников, такие как начальник, сотрудники, отвечающие за работу с персоналом, работник кадрового отдела (инспектор), инженерный персонал, ответственный за организацию и нормирование труда по структурным подразделениям.
В некоторых компаниях любые персональные данные могут потребоваться главному бухгалтеру в случае необходимости подготовки определенных документов.
Постоянный доступ к конфиденциальным данным имеет сотрудник, отвечающий за безопасность на предприятии, но только в рамках выделенных ему полномочий.
В список, который составляется на предприятии по лицам, имеющим доступ к ПДн сотрудников и выполняющим с ними определенную работу, могут быть включены другие работники. Он варьируется в соответствии с Правилами внутреннего трудового распорядка.
Возможность передачи данных
Передача ПДн любого сотрудника компании может выполняться, только если есть запрос, поданный государственными органами власти. Такими органами и организациями могут быть:
Но следует учитывать требования законодательства во время предоставления запрашиваемых этими инстанциями документов с ПДн работников. Необходимо получить на выполнение этих действий письменное согласие сотрудников, в отношении которых надо сформировать и передать личные данные. Без наличия такого согласия передавать ПДн субъектов запрещено как по факсу, так и в телефонном режиме, а также по электронной почте и с использованием иных носителей. Исключение составляют случаи, указанные в законодательстве.
Политика обработки персональных данных: как составить документ
Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.
1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.
Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.
Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.
Структура Политики обработки персональных данных
Ведомство рекомендует предусмотреть в документе шесть основных компонентов:
1. Общие цели
В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.
2. Цели сбора персональных данных
Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.
Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:
3. Правовые основания обработки персональных данных
Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.
Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.
К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).
5. Порядок и условия обработки персональных данных
Что указывается в этом разделе:
Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:
Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.
В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).
Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.
Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.
Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.
На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.
Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.
Размещение Политики обработки персональных данных в офисе и на сайте
Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.
Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.
Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Правовой статус “обработчика” персональных данных в России и его отличие от оператора
Все, кто сталкивался с обработкой персональных данных (ПД) знаком с понятием Оператор. И в целом законодательство, а именно ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ, дает достаточно емкое понятие термина Оператор.
На практике часто возникает ситуация, когда организация обрабатывает ПД, которые ей передал на обработку Оператор. Это может быть: ЦОД, который осуществляет хранение данных или, например, сервис рассылок email или sms сообщений, который действует по поручению онлайн-ритейлера.
Встает вопрос, кем является организация, получившая данные от Оператора, по отношению к субъекту ПД: тоже Оператор или же просто “Обработчик”, правовой статус которого в N 152-ФЗ не определен?
Пункты 3-5 ст. 6 N 152-ФЗ предусматривают возможность Операторов поручать обработку ПД третьим лицам. Эти третьи лица как раз и являются “Обработчиками”.
Права и обязанности Обработчика сформулированы достаточно кратко: лицо обязано соблюдать принципы и правила обработки персональных данных выполнять требования Оператора.
Также, закон закрепляет, что
“Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных”.
Это ограничивает ответственность Обработчика:
“В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором”.
Европейский GDPR четко выделяет два субъекта обработки ПД: Контроллер и Процессор, аналог российского Оператора и “Обработчика”. GDPR фиксирует правовой статус, права, обязанности и ответственность обоих субъектов обработки ПД.
В России же, изучая административную практику Роскомнадзора и Судебную практику, бросается в глаза, что третьих лиц, занимающихся обработкой, еще ни разу не назвали “Оператором”, но и как-то иначе, чем “третьи лица” они также не именуются.
Бывают ситуации, когда юридическое лицо поручает другому лицу собирать персональные данные и оказывать определенные услуги с использованием таких данных. При этом такое юридическое лицо считает, что оно не является Оператором, а факт того, что оно определяет цели обработки ПД, состав ПД, подлежащих обработке и действия (операции), совершаемые с ПД, его не сильно волнует. И при этом лицо, которому поручили собрать ПД и оказать с ними определенные услуги, также не является Оператором.
Встает вопрос о разграничении ответственности субъектов, обрабатывающих ПД. Также, нередко дискутируется необходимость уведомления РКН и включения в реестр третьих лиц, если они все такие не являются “Операторами”, но обрабатывают ПД по поручению.
Если у организации есть своя база ПД, собранная ей на своем сайте, и база ПД, полученная ей по договору с целью оказания услуг, неужели по отношению к обеим базам ПД она будет выступать Оператором?
Это далеко не единственная неопределенность ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ, ответ на которую не может дать РКН.
3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах
Консультант Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.
При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.
В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.
Что говорит законодательство?
Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.
Что говорит Роскомнадзор?
На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.
Что говорит судебная практика?
Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.
Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
Что говорит законодательство?
Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Что говорит Роскомнадзор?
На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.
По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.
Что говорит судебная практика?
Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.
Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.
Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).
Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
Что говорит законодательство?
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
Что говорит Роскомнадзор?
На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
не указан перечень организаций, в которые передаются персональные данные;
требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
Что говорит судебная практика?
Рассмотрим два примера с противоположными решениями суда.
В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).
В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.
В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.
Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.