Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?
Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.
Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.
Что нужно знать о сборе персональных данных, чтобы не нарушить закон?
Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:
До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.
Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.
Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.
По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:
Конклюдентное согласие
Согласие в письменной форме
Иные формы согласия
+
Легко получить (за исключением случаев, когда нужно согласие в письменной форме)
При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства
Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
–
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ
Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ
Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе
Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода
Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ
На что еще важно обратить внимание до сбора персональных данных?
Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.
О чем всегда забывают при подготовке документации?
Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:
Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.
Среди документов второго уровня в иерархии можно выделить следующие:
Для наглядности иерархическая структура необходимых документов представлена на схеме:
Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных
***
1 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.
Корпоративная мобильная связь: что изменилось с июня 2021 года
Как организациям приобретать сим-карты с 1 июня 2021 года
С 1 июня 2021 года вступили в силу новые правила предоставления организациям и ИП услуг корпоративной мобильной связи (Федеральный закон от 30.12.2020 № 533-ФЗ).
В числе прочих изменений – новый порядок приобретения бизнесом через интернет корпоративных сим-карт, которые предполагается использовать в разного рода оборудовании (например, в онлайн-кассах) или в мобильных устройствах сотрудников компаний.
По новым правилам организация или ИП могут заключить договор об оказании услуг связи и приобрести корпоративные сим-карты через интернет одним из указанных ниже способов (п. 1 ст. 44 Федерального закона от 07.07.2003 № 126-ФЗ «О связи»):
Раскрытие информации о корпоративных сим-картах с 1 июня 2021 года
С 1 июня 2021 года обязательным условием предоставления и получения услуг корпоративной мобильной связи является раскрытие компаниями информации о себе и своих сотрудниках, которые пользуются такой связью.
Данная информация подлежит раскрытию в единой системе идентификации и аутентификации абонентов (ЕСИА), через которую будут контролировать и мониторить все организации и ИП, заключившие договоры с операторами мобильной связи и интернета.
В целях информационной безопасности и борьбы с телефонным мошенничеством компании теперь обязаны размещать в ЕСИА, которая интегрирована с единым порталом «Госуслуги», следующую информацию (п. 1.1 ст. 44 Федерального закона от 07.07.2003 № 126-ФЗ):
Сведения подаются по каждому оператору связи, с которым заключен договор. Все эти сведения абоненты вносят в ЕСИА сразу же после заключения договора с оператором связи, но до начала получения соответствующих услуг. В свою очередь оператор связи обязан проверять наличие таких сведений в системе мониторинга посредством направления запроса в ЕСИА до начала оказания услуг связи.
Если при проверке оператор связи обнаружит, что вышеуказанные сведения в ЕСИА отсутствуют или являются недостоверными, оператор обязан уведомить об этом абонента, предоставив ему срок для внесения/исправления в ЕСИА соответствующих сведений.
Если абонент в оговоренный с оператором срок не раскроет достоверную информацию о пользователях корпоративных сим-карт, оператор должен будет расторгнуть договор с абонентом и перестать обслуживать ранее выделенный компании абонентский номер (ст. 1 Федерального закона от 30.12.2020 № 533-ФЗ).
Раскрытие сведений о корпоративных сим-картах, используемых в оборудовании
Если корпоративная сим-карта используется организацией/ИП в применяемом оборудовании (онлайн-кассах, модемах, платежных терминалах и т.д.), то в единую систему идентификации и аутентификации должны вноситься следующие сведения (п. 2 постановления Правительства РФ от 31.05.2021 № 844):
Порядок раскрытия сведений о корпоративных сим-картах
Сведения о корпоративных сим-картах вносятся в единую систему идентификации и аутентификации через Единый портал государственных и муниципальных услуг. Внесение сведений осуществляется уполномоченным лицом абонента через учетную запись на портале «Госуслуги».
Уполномоченное компанией-абонентом физлицо вправе через портал «Госуслуги» вносить в ЕСИА и исключать из нее (п. 7 ст. 45 Федерального закона от 07.07.2003 № 126-ФЗ «О связи»):
Раскрыть данные о корпоративной сим-карте необходимо еще до момента ее использования в целях получения услуг связи. А именно – не позднее 3 рабочих дней до планируемой даты начала оказания услуг связи, если иной срок не определен договором с оператором мобильной связи/интернета (п. 3 постановления Правительства РФ от 31.05.2021 № 844).
Если раскрытые сведения претерпели какие-либо изменения (например, сменился адрес использования онлайн-кассы или поменялось Ф.И.О. предпринимателя), такие изменения компания должна отразить в единой системе идентификации в течение 3 рабочих дней со дня изменения сведений.
Если корпоративные сим-карты приобретались до 1 июня 2021 года и к указанному моменту уже использовались, то раскрыть информацию о таких сим-картах компании должны не позднее 30 ноября текущего года.
В противном случае операторы связи должны будут уже 1 декабря 2021 года заблокировать корпоративные сим-карты, по которым не была раскрыта информация в ЕСИА (ст. 2 Федерального закона от 30.12.2020 № 533-ФЗ).
Политика обработки персональных данных: как составить документ
Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.
1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.
Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.
Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.
Структура Политики обработки персональных данных
Ведомство рекомендует предусмотреть в документе шесть основных компонентов:
1. Общие цели
В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.
2. Цели сбора персональных данных
Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.
Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:
3. Правовые основания обработки персональных данных
Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.
Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.
К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).
5. Порядок и условия обработки персональных данных
Что указывается в этом разделе:
Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:
Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.
В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).
Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.
Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.
Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.
На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.
Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.
Размещение Политики обработки персональных данных в офисе и на сайте
Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.
Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.
Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Объявляю вас оператором персональных данных
Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.
Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.
Кто относится к операторам персональных данных
Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:
Збагойно: 152-ФЗ — в «Деле»
Персональные данные — это любые данные о человеке, по которым его можно определить. Например:
Ник без других данных не считается персональными данными, по нему нельзя определить человека.
С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.
«МГТС» продавала данные своих клиентов другим компаниям:
По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.
Суд с компанией не согласился и назначил штраф 30 000 рублей.
Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.
Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.
Данные из социальных сетей
По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.
Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:
В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.
В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.
Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.
Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.
Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:
«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».
Если пользователь согласится, то претензий к компании не будет.
Когда уведомление не нужно
По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:
Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;
Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.
Проверка Роскомнадзора
Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.
В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:
Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.
Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.
Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.
Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:
Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.
Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.
Счет для ИП и ООО в Модульбанке
Удобный сервис, недорогие тарифы, защита от блокировок по 115ФЗ
.jpg)
Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных
Сведения подаются по каждому оператору связи, с которым заключен договор. Все эти сведения абоненты вносят в ЕСИА сразу же после заключения договора с оператором связи, но до начала получения соответствующих услуг. В свою очередь оператор связи обязан проверять наличие таких сведений в системе мониторинга посредством направления запроса в ЕСИА до начала оказания услуг связи.
