Что нужно знать о новых правилах обработки персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что нужно знать о новых правилах обработки персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Что проверяет Роскомнадзор?

Предметом государственного контроля являются:

1. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
2. Проверка сведений, содержащихся в уведомлении об обработке ПДн:
   • договоры с внешними организациями,
   • проездные документы и бронирование гостиниц при организации командировок,
   • добровольное медицинское страхование,
   • обеспечение телефонной связью,
   • заработная плата сотрудникам,
   • изготовление визитных карточек.

   Что проверяет Роскомнадзор

   Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:

   • Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.

   • Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.

   • Соответствие формы согласия на обработку персональных данных.

   • Наличие разрешения на обработку специальных категорий персональных данных.

   • Соблюдение условий Положения о локализации хранения персональных данных.

   • Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.

   Уведомление оператора персональных данных

   Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

   • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
   • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
   • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

   В каких случаях потребуется уведомление Роскомнадзора

   С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

   • получаемых и обрабатываемых в рамках трудового законодательства;
   • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
   • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
   • разрешенных физлицом для распространения;
   • включающих в себя только фамилии, имена и отчества физлиц;
   • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

   Как уведомить Роскомнадзор о сборе персональных данных

   Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

   • наименование компании (ФИО ИП) и ее адрес;
   • цель обработки персональных данных (например, заключение трудовых договоров);
   • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
   • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
   • правовое основание обработки персональных данных;
   • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
   • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
   • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
   • предполагаемая дата начала обработки персональных данных;
   • срок или условие прекращения обработки персональных данных;
   • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
   • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
   • сведения об обеспечении безопасности персональных данных.

   Направить уведомление можно следующими способами:

   • в бумажном виде,
   • в электронном виде с использованием усиленной квалифицированной электронной подписи,
   • в электронном виде с использованием средств аутентификации ЕСИА.

   Подотчетным станет сбор персональных данных:

   • в ходе трудовых отношений,
   • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
   • уже упомянутых ФИО,
   • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
   • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

   Кто должен уведомлять Роскомнадзор об обработке персональных данных?

   Требование Закона об уведомлении Роскомнадзора касается всех организаций, которые имеют дело с обработкой персональных данных. Но есть исключения, которыми в принципе могут воспользоваться участники рынка туриндустрии. Одно из исключений — обработка персональных данных, полученных в связи с заключением договора. Такие конфиденциальные сведения могут предоставляться другим лицам с согласия субъекта персональных данных и использоваться только для исполнения договора (заключения новых договоров с субъектом персональных данных).

   В цепочке «турагент — туроператор — гостиница» передаваемые персональные данные клиентов, как правило, используются в целях выполнения принятых обязательств по договору о реализации туристского продукта или отдельных туристических услуг. Поэтому практически у всех участников цепочки есть основание обрабатывать персональные данные без уведомления Роскомнадзора . Однако на практике не все турфирмы уверены в том, что они смогут предотвратить использование персональных данных в иных целях, а их клиенты дадут согласие на передачу личных данных третьим лицам. Иногда возникают сложности с соблюдением условий указанного исключения и у гостиниц (отелей). Если они заключают договор на проживание непосредственно с постояльцем, то проблем нет, если же места выкуплены туроператором, турист не является стороной договорных отношений, а это обязывает гостиницу (отель) уведомлять Роскомнадзор в общем порядке.

   Этот факт не освобождает фирмы от необходимости соблюдать требования Закона к порядку обработки и хранения персональных данных.

   Таким образом, чтобы не повышать свои риски, туроператорам, турагентам, гостиницам и отелям следует уведомить Роскомнадзор об обработке персональных данных. До окончания формирования реестра операторов персональных данных осталось около трех месяцев, после чего те организации, которые не направили уведомления и не попали под исключение, могут быть привлечены к ответственности за нарушение Закона о персональных данных. Пока уполномоченный орган не спешит наказывать нарушителей — у них еще есть время подать уведомление и попасть в реестр операторов, осуществляющих обработку персональных данных. При этом Роскомнадзор может проверить любую организацию, вне зависимости от того, подавала она уведомление или нет. Не стоит обольщаться тем, что, подав уведомление, компания освобождается от контроля со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Хотя сам факт подачи уведомления позволяет организации освободиться от рисков, связанных с решением спорного для турфирм и гостиниц вопроса о возможности обрабатывать персональные данные своих клиентов (туристов и постояльцев) без уведомления Роскомнадзора.

   Что такое персональные данные

   Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

   Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

   Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

   Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:

   1. Назначить работника, ответственного за обработку ПД
   2. Разработать и утвердить локальный нормативный акт о защите ПД
   3. Ознакомьте всех работников с документами по работе с ПД.
   4. Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
   5. Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
   6. Постоянно отслеживать изменения в законодательстве РФ по ПД
   7. Регулярно проводить внутренний аудит документов, содержащих ПД
   8. Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)

   Зависимость частоты и подробности проверок от категории риска

   Как и в случае с иными типами проверок по Закону № 248-ФЗ, предусмотрены высокий, значительный, средний, умеренный и низкий риски. В Приложении к Положению приведены критерии отнесения предприятий к той или иной категории риска. В числе ключевых критериев — соответствие вида деятельности фирмы одной из групп тяжести потенциального нарушения требований — А, Б, В или Г, а также группе вероятности нарушения требований — 1, 2, 3 или 4.

   Как следует из Приложения, самые строгие проверки будут проводиться в отношении фирм с группой тяжестью А и вероятностью 1, наименее строгие — к фирмам с тяжестью Г и вероятностью 4. Профилактическое мероприятие в виде обязательного профилактического визита проводится с учетом положений ст. 52 Закона № 248-ФЗ в отношении объектов контроля с высоким и значительным риском (п. 30 Положения).

   Частота плановых контрольно-надзорных мероприятий в зависимости от категории риска определена положениями п. 12 Положения по постановлению № 1046. Например, по высокому риску частота инспекционного визита или выездной проверки — 1 раз в 2 года. По умеренному возможны документарная или выездная проверка с частотой 1 раз в 6 лет. При низком риске плановые мероприятия не проводятся. Чуть позже мы рассмотрим подробнее сроки проведения каждого типа контрольно-надзорных и профилактических мероприятий.

   Плановые мероприятия, предусматривающие взаимодействие Роскомнадзора и проверяемого лица, согласуются с Прокуратурой (п. 38 Положения). Есть также мероприятия без взаимодействия — если они плановые, то с Прокуратурой их согласовывать не нужно. О них также чуть позже.

   В отношении, в свою очередь, внеплановых проверок предусмотрены специальные индикаторы риска, установленные приказом Минцифры России от 15.11.2021 № 1187. Они используются при принятии решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия (ч. 9, 10 ст. 23 Закона № 248-ФЗ). Соответствующих индикаторов два:

   • установление Роскомнадзором в течение года 10 и более фактов несоответствия сведений, предоставленных фирмой по запросу в ведомство;
   • установление Роскомнадзором в течение года 10 и более актов предоставления неограниченному кругу лиц доступа к базам ПД или распространения таких баз данных через интернет.

   Регламент проведения проверок обращения с персданными

   Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

   Объект проверки

   Проверять будут юрлиц и ИП, являющихся операторами персданных.

   Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

   Виды проверок

   Ревизии могут проходить в виде:

   1. плановых проверок – выездных и документарных;
   2. внеплановых проверок – выездных;
   3. мероприятий без взаимодействия инспекторов с операторами.

   Плановые проверки

   Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

   Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

   В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

   Внеплановые проверки

   Проводятся на основании:

   • обращений граждан;
   • по требованию прокурора;
   • в случае неисполнения оператором предписания.

   Уведомление компании

   Роскомнадзор должен уведомить фирму:

   • о проведении плановой проверки – не позднее чем за 3 рабочих дня:
   • о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

   Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

   • заказным письмом с уведомлением о вручении;
   • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

   Что будут проверять

   Инспекторы проверят:

   • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
   • обработку персданных на предмет ее соответствия установленным требованиям;
   • информационные системы персданных.
   

   Персональные данные из социальных сетей просто так брать нельзя

   Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в социальных сетях «ВКонтакте», «Одноклассниках», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

   По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

   Роскомнадзор решил, что компания ошибается, и суд с ним согласился.

   В соответствии с ч. 1 ст. 8 закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

   Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

   Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 закона о персданных компания обрабатывала их, не получив у граждан согласия.

   Компания вправе по запросу адвоката выдать копию трудовой книжки супругу

   Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.

   Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.

   Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.

   Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.

   Однако суд решил, что адвокат является именно уполномоченным лицом.

   Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.

   Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.

   Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).

   Таким образом, нормы права не были нарушены.

   В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.

   Разновидности проверок

   Роскомнадзор осуществляет следующие формы проверок:

   • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
   • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
   • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
   • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

   Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

   Провеки Государственной инспекции труда

   В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.

   Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.

   
   

   Похожие записи:

   • Продление трудового патента в 2024 году
   • Семьи разные — пособие одно. Как будет работать новая выплата на детей
   • В ХМАО увеличили размеры пособий для жителей в 2023 году