Согласие на обработку данных по gdpr: подробный разбор

Опубликовано: Вопросы бухучета
Политика оператора персональных данных

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

  • сделанных субъектом персональных данных общедоступными;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  • обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

Какие есть штрафы за несоблюдение Закона № 152-ФЗ?

Предусмотрены строгие штрафные санкции за допущение нарушений требований Закона № 152-ФЗ по широкому перечню оснований. В частности, налагаются штрафы:

  1. За незаконную обработку ПД (ч. 1, 1.1 ст. 13.11 КоАП РФ):
  • 2000-6000 руб. на гражданина;
  • 10000-2000 руб. на должностное лицо, ИП;
  • 60000-100000 руб. на организацию.
  1. За обработку ПД без согласия (ч. 2, 2.1 ст. 13.11 КоАП РФ):
  • 6000-10000 руб. (физлицо);
  • 20000-40000 руб. (ИП, должностное лицо);
  • 30000-150000 руб. (юрлицо).
  1. Непредоставление ПД по запросу (ч. 3 ст. 13.11 КоАП РФ):
  • 2000-4000 руб. (гражданин);
  • 8000-12000 руб. (должностное лицо);
  • 20000-30000 руб. (ИП);
  • 40000-80000 руб. (организация).

Нарушения при обработке ПД могут образовывать состав преступления по ст. 137 УК РФ. Предусматриваются, в частности;

  • штраф (до 200000 рублей);
  • лишение свободы до 2 лет с дисквалификацией до 3 лет.

Мнение эксперта
Владимир Аникеев
Специалист отдела технической поддержки

Преступление с использованием служебного положения наказывается еще строже (возможен штраф до 300000 рублей, лишение свободы на срок до 4 лет).

Как отказаться от назойливой рекламной рассылки?

При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

Можно ли сообщать персональные данные близким родственникам работника?

Нужно или не нужно согласие работника на передачу его ПД, например сведений о зарплате, его близким родственникам – законодательно не определено.

В Разъяснениях Роскомнадзора говорится только о том, нужно ли работодателю запрашивать согласие у самих родственников в необходимых случаях. В частности, поясняется, что допускается обработка персональных данных близких родственников работника без их согласия:

  • в объеме, предусмотренном личной карточкой по унифицированной форме Т-2, утвержденной Постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

  • в случаях, установленных законодательством РФ, – получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат.

В иных случаях получение согласия близких родственников работника обязательно.

Однако бывают обстоятельства, когда родственникам приходится запрашивать персональные данные работника. Например, в случае его смерти. В части 7 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) в отношении этой ситуации лишь установлено, что в случае смерти субъекта персональных данных (работника) согласие на обработку его ПД дают в письменной форме его наследники, если такое согласие не было дано субъектом ПД при жизни.

Поскольку законом установлена ответственность за нарушение порядка работы с персональными данными, а умерший на передачу уже не может согласиться, при обращении родственника с просьбой предоставить ПД умершего сотруднику кадровой службы надо запросить у родственника письменное заявление с указанием цели такого запроса. И если данные нужны, например, для получения наследства, пенсий или социальных гарантий, сведения следует предоставить. Вместе с заявлением с родственника надо запросить документ, подтверждающий родство (свидетельство о рождении, о браке и др.).

Описанная ситуация, конечно, не единственная. Запросить документы, содержащие персональные данные, родственники могут и при жизни работника

И здесь следует отнесись к передаче сведений с осторожностью и большой ответственностью, поскольку работник может обратиться в суд с требованием о возмещении работодателем морального вреда.

Так произошло, когда сотрудник отдела кадров выдал справку 2-НДФЛ бывшей гражданской жене работника Ш. без его разрешения. Эта справка понадобилась ей для представления в суд для взыскания с Ш. алиментов на их общего ребенка. И поскольку они работали в одной организации, женщина обратилась за справкой и получила ее.

Первая инстанция не усмотрела нарушения прав Ш., но апелляционная и кассационная инстанции пришли к следующему выводу: справка о доходах физического лица по форме 2-НДФЛ представляет собой документ, содержащий персональные данные физического лица (сведения о его доходах и налогах, паспортные данные), и могла быть выдана работодателем только по заявлению этого лица или с его согласия. Однако работодателем суду не были представлены доказательства обращения работника с заявлением о выдаче ему либо третьему лицу справки 2-НДФЛ. В связи с этим иск был удовлетворен. Правда, вместо 300 000 руб., которые требовал работник, суд взыскал с работодателя только 3 000 руб. (Определение Первого кассационного суда общей юрисдикции от 28.03.2022 по делу № 88-6426/2022).

Возможно, если бы брак был официальным, судьи приняли бы другое решение. В частности, в отношении передачи паспортных данных. Но в этом конкретном случае то обстоятельство, являлась ли женщина официальной или гражданской женой, судьями не учитывалось. Иск удовлетворили в соответствии с нормами законодательства о персональных данных.

Ограничение доступа к персональным данным

Операторам ПД запрещается раскрывать доступ к ПД третьим лицам и распространять их без согласия субъекта ПД, если законом не установлено иного (ст. 7 Закона № 152-ФЗ). Пример случая, когда согласие не требуется — передача сведений о работнике предприятия, когда это требуется для защиты его жизни и здоровья (ст. 88 ТК РФ). Оператор ПД принимает юридические и техническим меры для защиты доступа к ПД (ст. 19 Закона № 152-ФЗ).

При этом, сам субъект ПД в любой момент может запросить доступ к данным, а также к сведения о лицах, которые обладают доступом к ПД (ст. 14 Закона № 152-ФЗ). Так же как внести корректировки в ПД либо инициировать их удаление. Вместе с тем, доступ к ПД для их субъекта может быть ограничен в случаях, перечисленных в п. 8 ст. 14 Закона № 152-ФЗ (например, если обработка ПД осуществляется органами безопасности, или же если получение доступа субъектом ПД нарушает интересы третьих лиц).

Что такое персональные данные?

Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.

1. Общие ПД

С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.

Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

2. Специальные ПД

Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.

Обработка таких ПД не допускается, за исключением следующих случаев:

  • вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
  • обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
  • обработка в целях страхования;
  • обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

3. Биометрические ПД

Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Как обеспечить соответствие Закону № 152-ФЗ?

Главный критерий обеспечения деятельности компании соответствия многочисленным требованиям по Закону № 152-ФЗ — составление полного перечня документации, используемой в целях организации оборота персональных данных. Прочими условиями будут:

  1. Установка и обеспечение стабильного функционирования технических средств защиты персональных данных.
  2. Обеспечение качественного контроля над исполнением работниками требований законодательства о защите ПД, а также внутрикорпоративных нормативов.
  3. Регулярный мониторинг законодательной базы на предмет появления поправок, новых нормативных актов (в том числе на уровне проектов, обсуждаемых и рассматриваемых на различных стадиях), изучение судебной практики и экспертных мнений.
  4. Повышение уровня компетенций работников в области применения средств защиты ПД и соблюдения нормативных требований — посредством проведения обучающих, проверочных мероприятий.
  5. Концептуальное отражение установок на строгое соблюдение законодательства о ПД (и положений локальных нормативов) в корпоративной культуре предприятия.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Виды проверок

Выездные проверки

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

случилась

Как правильно уничтожить персональные данные

ОПД уничтожает
персональные данные в четырех случаях. Обобщили их в таблице.

Таблица 8.
Когда нужно уничтожить персональные данные

В каком случае

В какой срок

Где про это в Законе №
152-ФЗ

По требованию гражданина, в
любом из двух случаев:

· ОПД получил данные незаконно. Например, купил
базу с ними на черном рынке;

· для заявленной цели обработки часть данных
лишняя. Например, пиццерия запрашивает скан паспорта для интернет-заказа

7 рабочих дней с даты
получения требования

П. 1 ст. 14,

п. 3 ст. 20

ОПД установил, что
неправомерно обрабатывает данные. Например, данные остались в базе после
окончания срока их обработки

10 рабочих дней с даты
выявления неправомерной обработки

П. 3 ст. 21

ОПД достиг цели обработки.
Например, выполнил заказ, под который брал данные*

30 дней с даты достижения цели
обработки

П. 4 ст. 21

Гражданин отозвал согласие на
обработку данных*

30 дней с даты поступления
отзыва, если для целей обработки данные не нужно сохранять

П. 5 ст. 21

Примечание: * в отмеченных
случаях ОПД вправе не уничтожать данные, если:

· договорится об этом с гражданином. Например,
отправит ему уведомление о сохранении данных в базе по завершении конкурса,
под который эти данные собирались, а гражданин даст на это согласие;

· ОПД не нужно согласие на обработку данных.
Например, адрес клиента запрашивается для исполнения договора купли-продажи

Уничтожение данных проходит в три этапа.

Первый. Удалите персональные данные из информационной системы
так, чтобы их нельзя было восстановить. Например, одновременно очистите
«Корзину» на ПК или удалите резервную копию с данными.

Удалить может ответственный за обработку персональных данных или
комиссия из него и других работников. Однако комиссия не обязательна.

Второй. Составьте акт об уничтожении. Включите в него десять
обязательных пунктов (п. 3 приказа Роскомнадзора от 28.10.2022 № 179):

  • наименование и адрес ОПД;

  • наименование и адрес того, кто обрабатывает
    персональные данные по поручению ОПД, если есть такое поручение;

  • ФИО тех, чьи персональные данные уничтожаются;

  • ФИО, должности, подписи тех, кто уничтожил
    данные;

  • перечень уничтоженных данных;

  • наименование уничтоженного материального
    носителя и количество листов в нем, если данные были на бумаге;

  • наименование информационной системы, из которой
    были уничтожены данные;

  • способ уничтожения;

  • причина уничтожения;

  • дата уничтожения.

Третий. Сделайте выгрузку из журнала регистрации событий в
информационной системе, где хранились уничтоженные персональные данные. В
выгрузке должны быть пять пунктов (п. 5 приказа Роскомнадзора от 28.10.2022 №
179):

  • ФИО тех, чьи персональные данные уничтожаются;

  • перечень уничтоженных данных;

  • наименование информационной системы, из которой
    были уничтожены данные;

  • причина уничтожения;

  • дата уничтожения.

Если информация система не формирует выгрузку со всеми этими
параметрами – не страшно. Тогда они будут взяты из акта. Акт и выгрузку храните
три года с даты уничтожения данных (п. 6, 8 приказа Роскомнадзора от 28.10.2022
№ 179).

На что еще важно обратить внимание до сбора персональных данных?

  1. В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).
  2. Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
  3. При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.

А что мы хотим? Какая должна быть реакция?

Но тут как всегда нам задают вопрос — а что же вы хотите? Утечка уже произошла, ничего не поделаешь. Поэтому мы сели с коллективом и стали сочинять — а чего мы собственно хотим? К выводу, что штраф в 60 тысяч и мелкий промо-код — это явно не то, что мы хотим, мы пришли довольно быстро. 

Об этом мы писали еще в расследовании про покупку персональных данных у сотовых операторов — провинившегося сотрудника карают увольнением и мелким штрафом, что как правило даже близко не компенсируют проблемы и потери пострадавшего.

Вообще некоторые предпринятые меры нам даже нравится. Мы, например, считаем, что новая функция Яндекс.Еды, где пользователь может удалить данные о старых заказах, вполне разумная и симпатичная.

Хотя пользователю можно предложить опцию стирать данные через какое-то время. Есть ведь люди, которым не интересно, что именно они ели 5 марта 2018 года.

Идеальная реакция, а какая она?

  1. Признавать утечку, описать обстоятельства. С этим многие справляются, но не полностью. У нас все еще много вопросов, как там все в Яндексе устроено, если один человек имел доступ на копирование такой базы клиентов.

  2. Сформировать раздел на сайте, где пострадавшие, пресса и любопытные могут наблюдать за ходом расследования, принимаемыми мерами, а также обратиться за компенсацией если утечка имела для них негативные последствия — надо понимать что эти последствия могут возникнуть и сильно после утечки.

  3. Персонализация и обратная связь. Пострадавшие от утечки должны получить контакты сотрудника компании, а не робота-автореплая. А что же вы хотите, пострадавших много? Хочу, чтобы интересы пользователей ставились выше экономии средств компании. Нам кажется, что они уже на штрафе сэкономили.

  4. Предпринять меры и описать их, возможно, привлечь сторонних экспертов, инициировать обсуждение, поделиться практиками. 

И еще у нас есть предложение:

важное, но явно на перспективу, тут быстрого результата мы не ждем. Отношение к хранению данных у российских компаний настолько наплевательское, что разработчики даже пишут к ним обращения

И тем не менее уже сегодня вполне возможно

  • организовывать сбор только необходимой информации пользователя,

  • и применять такие технологии идентификации пользователей, которые даже при краже баз данных не позволяют воспользоваться злоумышленникам чужой личностью.

Про избыточность собираемых данных много говорят сейчас: вот для использования сервиса «Госуслуг»­ для подачи данных о расходе воды в доме (для расчета оплаты коммунальных услуг) требуется дать полный доступ ко всему массиву данных из профиля пользователя – паспорт, СНИЛС, ИНН, военный билет, пол и пр. Вот так. Уже помянутый «СДЭК» с удивительного масштаба утечками требует ­полные паспортные данные для получения посылок, в то время как прочие логистические операторы вполне справляются без этого. Практику полного доступа к профилю на «Госуслугах»­ недавно ввел крупнейший маркетплейс Wildberries, хотя до сих пор много лет неплохо справлялся с продажами и без этого. Все подобные устремления компаний к обладанию полным архивом информации о пользователе не просто вызывают недоумение, но и в таком масштабе просто пугают. Зачем данные военного билета при покупке трусов или при внесении показателей счетчиков?!  

Правда, тут отметим, что с 1 сентября в России вступили в силу поправки к закону «О персональных данных»­, которые как раз и призваны в том числе пресечь практику избыточного сбора данных. Но как он заработает – пока совсем непонятно. Формулировка очень мягкая: продавцам, исполнителям и маркетплейсам нельзя отказать пользователю в оказании услуги, если он отказался предоставлять персональные данные, но есть исключения. И, кажется, нововведение никого не смущает – подготовки изменений в работе каких-либо сервисов мы не заметили. 

Что же касается технологий шифрования данных пользователя, то вот прекрасный кейс известного менеджера паролей LastPass: несмотря на то, что его взломали, никакой чувствительной информацией о пользователях злоумышленники поживиться не смогли, поскольку компания использует архитектуру Zero Knowledge. Последние годы много говориться о перспективах использования blockchein технологий для хранения данных. В общем, мы видим, что решения есть, и  надеемся, что они будут применяться в сфере защиты персональных данных еще при нашей жизни. Тем более, она всячески на это намекает.

Если утечки данных имели для вас персональные неприятные последствия — делитесь своими историями!

Как отправить Уведомление в Роскомнадзор

Уведомление передайте в РКН любым из способов:

  • отправьте письмом в адрес территориального отделения Роскомнадзора по месту регистрации компании или ИП (или привезите лично);
  • в электронном виде через сайт РКН, используя УКЭП;
  • через ЛК на портале Госуслуг с использованием средств аутентификации ЕСИА.

Кстати, Роскомнадзор планирует поменять форму уведомления и уже разработал три новых бланка:

  • о намерении осуществлять обработку персональных данных;
  • о внесении изменений в ранее представленные сведения;
  • о прекращении обработки персональных данных.

Проект приказа об утверждении этих форм опубликован на федеральном портале НПА ().

Подписывайтесь на наши YouTube
и Telegram чтобы не
пропустить важные изменения 1С и законодательства

Как происходит подготовка документов?

Поставщик услуг по защите ПД, взаимодействуя с оператором ПД по вопросам подготовки документации для обеспечения требований законодательства, осуществляет следующие основные процедуры:

  1. Проведение первичной консультации с заказчиком.

На данном этапе определяются перечни документов, которые необходимо внедрить в документооборот заказчика в целях обеспечения законности оборота ПД. Также выявляются значимые детали сотрудничества (стоимость услуг, сроки их оказания, порядок подписания договора, согласования работ по внедрению документации). По итогам рассмотрения исходных данных заключается договор на внедрение документации.

  1. Получение и анализ исходной информации со стороны заказчика.

Соответствующая информация берется за основу при составлении документов по перечням, определенным на первом этапе

Важное внимание уделяется актуальности и точности такой информации

  1. Практическая подготовка документов по защите ПД в пределах срока, установленного договором.

С учетом фактического объема и сложности составляемой документации различные ее части могут оформляться одновременно или постепенно. Сроки — согласовываться с заказчиком.

  1. Передачу заказчику готовой документации.

Также предоставляются необходимые инструкции, рекомендации и консультации по практическому применению документов, а также алгоритмы их интеграции в систему документооборота организации-заказчика.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных». 

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

  • на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
  • на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие ().

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

Как связаны Закон «О персональных данных» и сайты

Пóмните эти назойливые всплывающие окна на сайтах про cookie, политику
конфиденциальности и прочие штуки? Вот пример того, о чем говорим.

Владельцы сайтов вставляют их не от нечего делать. Так они исполняют
закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее Закон № 152-ФЗ). Его
цель – защитить личную информацию человека.

Применительно к интернету это означает, что владелец сайта:

  • собирает о посетителе лишь нужные для своей
    работы сведения;

  • рассказывает посетителю, что именно собирает и
    зачем;

  • не передает личную информацию о посетителе не известно
    кому;

  • по первой же просьбе уничтожает собранные
    персональные данные.

А еще это значит, что «хозяину» сайта добавляется куча дополнительной
работы. Например, нужно:

  • завить о себе в Роскомнадзор (РКН) как об
    операторе персональных данных;

  • сообщить в РКН об утечке персональных данных, если
    такое случилось;

  • составить с десяток политик, положений,
    регламентов, инструкций по работе с персональными данными.

Если не сделать такого, прилетят штрафы. Поэтому давайте
разбираться, как исполнить Закон № 152-ФЗ и не схлопотать санкций от РКН.
Начнем с того, что относится к персональным данным.

Заключение

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Похожие записи:

  1. Аутсорсинг: оптимизация расходов на персонал и производство
  2. Российские депутаты выступили против урезания своих зарплат на время кризиса
  3. Взаимоувязка форм бухгалтерской отчетности
  4. Учет расходов на такси в 2024
0
Понравилась статья? Поделиться с друзьями:
Сервер Бухгалтерии

Похожие записи:

  1. Аутсорсинг: оптимизация расходов на персонал и производство
  2. Российские депутаты выступили против урезания своих зарплат на время кризиса
  3. Взаимоувязка форм бухгалтерской отчетности
  4. Учет расходов на такси в 2024
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.