Персональные данные: новое с 2021 года, проверки Роскомнадзора

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: новое с 2021 года, проверки Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

• уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
• уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
• персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Что проверяет Роскомнадзор

Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:

• Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.

• Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.

• Соответствие формы согласия на обработку персональных данных.

• Наличие разрешения на обработку специальных категорий персональных данных.

• Соблюдение условий Положения о локализации хранения персональных данных.

• Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

Как происходит фиксирование работы отеля и его сайта с персональными данными?

Юридическое лицо встает на учет в Роскомнадзоре. Подается уведомление при желании попасть в реестр. При подаче нужны договор аренды сайта либо договор использования сайта для доказывания связи конкретного юридического лица с сайтом отеля.

Наши клиенты ждали абсолютно разные сроки попадания в реестр – 2, 3, 4 месяца. К примеру, в июле 2017 года Роскомнадзор долго ставил всех на учет – причина не известна, в августе – за 2-3 недели, в сентябре – за 3-5 дней. В этом году сроки тоже разные. Мы думаем, что это не проблема Роскомнадзора, а проблема нехватки сотрудников. После одобрения приходит ответ – «Вы стоите в реестре под таким-то номером». Вопрос закрыт. Это обязательно при работе с персональными данными. Подача заявки бесплатна – запрос подается в электронном виде через сайт Госуслуги или Почтой России.

Самое главное – соблюсти все юридические формальности, предугадать, чем займется отель. По отелям я делаю так: беру туристические ОКВЕДы, размышляю – если мой клиент начнет билеты продавать, и на сайте разместит соответствующий блок, сообщающий о продаже билетов.

Ситуация следующая – он забыл внести уведомление или изменение деятельности в Роскомнадзор. Штраф будет не сразу, только если поймают и после расследования. Возможно, в первый раз дадут предупреждение.

У меня была такая ситуация с клиентом в Сахалине – ему не дали штраф, а просто пригрозили. Но мы потратили немало времени на переписку и объяснение ситуации. В неделю мы четко один-два раза переписывались.

На сайт отеля ставится номер реестра – это не обязательно, но желательно – это моя личная рекомендация.

Кто должен уведомлять Роскомнадзор об обработке персональных данных?

Требование Закона об уведомлении Роскомнадзора касается всех организаций, которые имеют дело с обработкой персональных данных. Но есть исключения, которыми в принципе могут воспользоваться участники рынка туриндустрии. Одно из исключений — обработка персональных данных, полученных в связи с заключением договора. Такие конфиденциальные сведения могут предоставляться другим лицам с согласия субъекта персональных данных и использоваться только для исполнения договора (заключения новых договоров с субъектом персональных данных).

В цепочке «турагент — туроператор — гостиница» передаваемые персональные данные клиентов, как правило, используются в целях выполнения принятых обязательств по договору о реализации туристского продукта или отдельных туристических услуг. Поэтому практически у всех участников цепочки есть основание обрабатывать персональные данные без уведомления Роскомнадзора . Однако на практике не все турфирмы уверены в том, что они смогут предотвратить использование персональных данных в иных целях, а их клиенты дадут согласие на передачу личных данных третьим лицам. Иногда возникают сложности с соблюдением условий указанного исключения и у гостиниц (отелей). Если они заключают договор на проживание непосредственно с постояльцем, то проблем нет, если же места выкуплены туроператором, турист не является стороной договорных отношений, а это обязывает гостиницу (отель) уведомлять Роскомнадзор в общем порядке.

Этот факт не освобождает фирмы от необходимости соблюдать требования Закона к порядку обработки и хранения персональных данных.

Таким образом, чтобы не повышать свои риски, туроператорам, турагентам, гостиницам и отелям следует уведомить Роскомнадзор об обработке персональных данных. До окончания формирования реестра операторов персональных данных осталось около трех месяцев, после чего те организации, которые не направили уведомления и не попали под исключение, могут быть привлечены к ответственности за нарушение Закона о персональных данных. Пока уполномоченный орган не спешит наказывать нарушителей — у них еще есть время подать уведомление и попасть в реестр операторов, осуществляющих обработку персональных данных. При этом Роскомнадзор может проверить любую организацию, вне зависимости от того, подавала она уведомление или нет. Не стоит обольщаться тем, что, подав уведомление, компания освобождается от контроля со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Хотя сам факт подачи уведомления позволяет организации освободиться от рисков, связанных с решением спорного для турфирм и гостиниц вопроса о возможности обрабатывать персональные данные своих клиентов (туристов и постояльцев) без уведомления Роскомнадзора.

Кого проверяет Роскомнадзор

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

• паспортные данные;
• ИНН;
• место проживания;
• информация о составе семьи;
• данные о фактическом местонахождении;
• банковские реквизиты;
• личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

• любого работодателя, который консолидирует личную информацию о сотрудниках;
• компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
• фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

Что изменилось для работодателей

О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.

С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ), и норма стала строже. Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.

От подачи уведомления компания освобождается только в таких ситуациях:

• если персональные данные включены в государственные защищенные информсистемы;

• если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);

• если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

• Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
• трудовой стаж и предыдущие места работы (из трудовой книжки);
• регистрация в органах ПФР (из карточки СНИЛС);
• отношение работника к воинскому учету (из документов воинского учета);
• образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
• судимость (из справки о ее наличии или отсутствии);
• употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

Компания вправе по запросу адвоката выдать копию трудовой книжки супругу

Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.

Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.

Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.

Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.

Однако суд решил, что адвокат является именно уполномоченным лицом.

Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.

Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.

Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).

Таким образом, нормы права не были нарушены.

В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Наблюдение за оператором

Проводится тайно. Не предупреждая оператора, инспекторы смотрят, какую информацию компания/человек публикует в интернете и СМИ, какие документы предоставляет в Роскомнадзор. Например, сотрудники ведомства могут изучить пользовательское соглашение или форму подписки на вашем сайте.

Работники ведомства имеют право проводить наблюдение только по заданию.

Основанием могут стать следующие события:

• Президент, правительство или руководитель федерального РКН поручили наблюдать за оператором.
• Граждане (пользователи, сотрудники) обратились с жалобой в РКН.
• В СМИ появилась информация, что оператор нарушает закон о защите персональных данных.

Если при наблюдении проверяющий выявил нарушения, то докладывает о них руководству отделения Роскомнадзора. После этого могут назначить проверку вне графика или просто сразу попросить устранить нарушения, уточнить, заблокировать или удалить недостоверные или неправомерно полученные данные. Как правило, на это дается 10 дней. Если оператор не выполнит требования, его оштрафуют.

Как составить согласие на обработку персональных данных

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

• наименование оператора персональных данных;
• место и дата составления документа;
• фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва.

Шаг 7. Уведомите Роскомнадзор

152-ФЗ советует отправить в Роскомнадзор уведомление, что компания использует персональные данные.

Закон перечисляет ряд случаев, когда это не обязательно, но лучше исключениями не пользоваться.

Корректно применить исключения к компании сложно. Не легче доказать это контролирующему органу, если он не согласится.

Уведомление отправляется через сайт Роскомнадзора или портал госуслуг, а затем по почте. В уведомлении укажите реквизиты компании и информацию из политики. Используйте инструкцию на сайте Роскомнадзора, она ответит на некоторые вопросы по заполнению.

Этих шагов хватит, чтобы подготовиться к проверке или «письму счастья» из Роскомнадзора. Гарантировать успех в общении с контролирующим органом нельзя, но принять разумные меры стоит уже сегодня… или завтра. Да и Роскомнадзор лоббирует повышение штрафов на порядок.

Обязанность подать уведомление об обработке персональных данных

Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.

В некоторых ситуациях разрешено не состоять в реестре:

1. Компания обрабатывает информацию только о сотрудниках.
2. Сведения нужны в рамках договорных отношений между оператором и субъектом ПДн (например, для того, чтобы клиент мог сделать заказ и получить его).
3. Общественные объединения, религиозные организации обрабатывают информацию об участвующих в них лицах.
4. В состав собираемых сведений входит только ФИО.
5. Компания собирает ПДн субъекта для оформления разового прохода на территорию.
6. ПДн хранятся в бумажном виде, и вы их не дублируете на электронные носители. При этом бумажные документы должны быть надежно защищены от посторонних лиц.

Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.

ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.

Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.

Похожие записи:

• ​Пособие по инвалидности в 2022 году
• Порядок контроля. Организация и проведение плановой проверки
• Организационно-правовые формы предприятий и виды организаций в России