С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных «по умолчанию». А с 27 марта в два раза увеличиваются штрафы.
Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.
Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.
В этой статье рассмотрим следующие вопросы:
- Что изменилось в обработке персональных данных с 1 марта
- Как прекратить передачу данных, разрешенных для распространения
- Требования к обработке персональных данных
- За что и на какие суммы штрафуют в 2021 году
- Что делать владельцу сайта, чтобы избежать штрафов
- Случаи, когда уведомление Роскомнадзора не требуется
- Конфиденциальность персональных данных: когда ее не нужно обеспечивать
- Когда не нужно получать согласие на обработку персональных данных
- Что такое портал персональных данных
- Как еще планируют ужесточить обработку персональных данных
- Персональные данные: как хранить, обрабатывать и защищать по закону
- Обработка персональных данных: пошаговая инструкция для компаний
- 📽️ Видео
Видео:Изменения в обработке персональных данных с 01 марта 2023 годаСкачать
Что изменилось в обработке персональных данных с 1 марта
- Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
- Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
- В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.
Как прекратить передачу данных, разрешенных для распространения
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
- ФИО;
- контактные данные;
- перечень персональных данных, обработку которых нужно прекратить.
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Видео:БЕРЕГИТЕ СВОИ ПД 🔥 СОГЛАСИЯ НА ОБРАБОТКУ НИКОМУ НЕ ДАВАТЬ👊Скачать
Требования к обработке персональных данных
На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
- организующие и (или) осуществляющие обработку ПД;
- определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
- ФИО
- дата рождения
- адрес
- телефон
- электронный адрес
- фотография
- ссылка на персональный сайт
- ссылка на профиль в социальных сетях
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
Видео:Отзыв согласия на обработку персональных данных // как избавиться от спама и мошенников?Скачать
За что и на какие суммы штрафуют в 2021 году
27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.
Обратите внимание на следующие нововведения:
1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.
2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.
Основание | Размер штрафа |
---|---|
Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД |
При повторном нарушении
|
Обработка ПД без письменного согласия субъекта |
При повторном нарушении
|
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД |
|
Непредоставление субъекту ПД информации по их обработке |
|
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) |
При повторном нарушении
|
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования |
|
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД |
|
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.
В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?
Видео:Новые требования к обработке персональных данныхСкачать
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
- ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
- цель обработки ПД;
- перечень ПД, на обработку которых субъект дает согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
- подпись субъекта ПД.
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
- относятся к субъектам, которых связывают с оператором трудовые отношения;
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными;
- включают только ФИО субъектов ПД;
- нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Видео:Персональные данные 2023. Обработка, учет, ведение документов по требованиям Роскомнадзора и ФЗ 152Скачать
Конфиденциальность персональных данных: когда ее не нужно обеспечивать
В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
- в случае обезличивания ПД;
- в отношении общедоступных ПД;
- если данные включают только ФИО субъектов ПД;
- для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
- если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
- если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.
Видео:Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022Скачать
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
- осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
- осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
- осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
- необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
- осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.
Видео:Отказ принять запрет на обработку персональных данных Еламед Рязань. Нарушен152-ФЗ "О персон. данн."Скачать
Что такое портал персональных данных
Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.
Видео:Работа с персональными данными в 2023 году: новые требования и оборотные штрафыСкачать
Как еще планируют ужесточить обработку персональных данных
Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.
Министерство предлагает запретить операторам:
- использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
- помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
- деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.
Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Видео:Дать или не дать? – о согласии на обработку персональных данных // «Право на защиту» 11.06.2021Скачать
Персональные данные: как хранить, обрабатывать и защищать по закону
Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.
Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это всё сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.
Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:
«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»
Телефон, email, фотография, ФИО — всё это может считаться ПДн.
Также к ПДн можно отнести:
- национальность;
- политические, философские и религиозные взгляды;
- место регистрации;
- информацию о здоровье, отпечатки пальцев и образцы голоса;
- информация о судимостях;
- номер телефона и электронная почта;
- СНИЛС, ИНН и паспортные данные;
- ссылки на личные страницы и cookies.
Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.
Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.
Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.
Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.
Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.
Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.
Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.
Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.
Постановление правительства №1119 делит ПДН на 4 категории для информационных систем:
- общедоступные;
- специальные;
- биометрические;
- иные.
Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются.
Определенные ПДн входят в категорию специальных, а именно информация о:
- расе, национальности и религии;
- политических и философских взглядах;
- здоровье;
- подробностях личной жизни;
- судимостях.
Это информация о физиологических и биологических особенностях человека:
- отпечатки пальцев;
- генетическая информация;
- рисунок радужной оболочки глаз;
- образцы голоса;
- фотографии.
Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:
Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.
Сюда входят ПДн, что не относятся ко всем предыдущим. Например:
- электронная почта или геолокация;
- информация о принадлежности к определенной социальной группе;
- стаж работы;
- и т.д.
В законе есть две сущности: субъект и оператор ПДн.
Субъектом персональных данных считается человек, чьи персональные данные использует оператор ПДн, например, собирает.
Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя, поэтому теперь он субъект ПДн, а магазин — оператор.
Оператор — это физическое лицо или организация (государственная или частная), которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.
Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.
Рассмотрим, как оператору собирать, хранить, обрабатывать и защищать ПДн.
Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 14 статье 152-ФЗ сказано, что собирать персональные данные можно только с разрешения пользователей. Для этого оператор обязан получить письменное согласие того, чьи данные собирает. Но в интернете письменную форму согласия заменяют на электронную.
В электронной форме сбора ПДн должна быть «Политика конфиденциальности», где описана причина сбора, что будет происходить с данными, кто будет хранить, обрабатывать и как долго. Также там должно быть указано, как субъекту отозвать разрешение на обработку.
Под каждой формой необходимо добавить чекбокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.
Для сбора cookies тоже понадобится разрешение на сбор ПДн.
Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом. Но эта информация также должна быть продублирована в документе «Последствия отказа предоставить персональные данные».
Исключения. Согласие на сбор ПДн нужно не всегда. Полный список исключений указан во втором пункте 22 статьи 152-ФЗ, но если кратко, то разрешение не обязательно для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения ТК. При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.
Примечание. Когда оператор передает ПДн в облако, у оператора должно быть согласие субъекта, а также обязательно нужно удостовериться, что ЦОД соответствует 152-ФЗ и имеет все необходимые лицензии (о них ниже). Это гарантия спокойной работы и отсутствия в дальнейшем проблем с Роскомнадзором. Например, облако на базе VMware в Selectel соответствует 152-ФЗ и требованиям Роскомнадзора, имеет лицензии ФСТЭК и ФСБ, и может хранить данные любых категорий.
Видео:Условия обработки персональных данных.Скачать
Обработка персональных данных: пошаговая инструкция для компаний
Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.
Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.
Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.
Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».
Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору. Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.
Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.
Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.
Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.
Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.
Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.
Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.
При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» — всегда =)
- Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
- Вы собираете данные клиентов для заключения договоров/выполнения заказов.
- На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.
Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.
Шаг 1. Инвентаризация
Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.
Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.
Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.
Шаг 2. Модель угроз и классификация информационных систем
Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.
Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.
Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.
Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.
Требования к защите персональных данных при их обработке в информационных системах содержатся в Приказе ФСТЭК России № 21.
За основу разработки модели угроз можно взять Базовую модель угроз ФСТЭК России.
Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).
Шаг 3. Меры защиты персональных данных
После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.
- Антивирусная защита
- Модули разграничения доступа на уровне прикладных систем или сети.
- Назначаем ответственного за защиту персональных данных
- Утверждаем перечень обрабатываемых и защищаемых данных.
- Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.
На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.
Согласие на обработку.
- Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях. Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.
- Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется. Подробнее о таких случаях — тут.
- Электронное согласие. В остальных случаях, достаточно электронного согласия.
Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.
Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.
Шаг 4. Отправка уведомления в Роскомнадзор
Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.
Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.
Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?
Разберем самые распространенные нарушения:
- Обработка персданных в непредусмотренных законодательством случаях или несовместимая с целями сбора персданных.
- Обработка персданных без письменного согласия их субъекта.
- Не опубликованы или недоступны Политика по обработке персданных или сведения по защите персданных.
- Не предоставлено Уведомление в Роскомнадзор.
- Нарушение требований о защите персональных данных, установленных ФЗ-152 и подзаконными актами (за исключением информации, составляющей государственную тайну).
Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.
Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.
Сразу вопрос который возникнет у большинства владельцев сайтов и тп. При регистрации на сайте (не инет магазин), если человек указывает свои ФИО и телефон. Обязан ли я выполнять требования Роскомнадзора?
Да, на сайте, где есть форма обратной связи с ФИО и телефоном и (или) электронкой — надо получать согласие на обработку персональных данных и надо опубликовать политику обработки персональных данных.
Потому что через те данные, которые Вы собираете — можно однозначно идентифицировать человека, соответственно, они относятся к персональным данным.
Николай,
решение зависит от состава обрабатываемых данных. В статье мы приводим примеры, что РКН считает персданными, что нет. Но есть и неприятное решение суда в тамбовской области, где за форму обратной связи оштрафовали: http://sudact.ru/regular/doc/TRz3NsNQuVWy/ решений таких не много, но это тревожный звонок. в таком случае, к сожалению да, придется озаботиться выполнением требований фз-152 на сайте.
если все же остались вопросы, опишите пожалуйста конкретную ситуацию.
ох чую скоро придется окунуться)
пока у меня только форма обратной связи — там имя(не полное фио) и телефон — это уже попадос на всю эту историю?) а если +email?(ну тут походу да)
Телефон — нет, не попадос.
Имя + телефон — нет, не попадос.
ФИО + телефон — попадос.
ФИО + е-mail — попадос.
Имя + телефон + e-mail — попадос.
Для номера телефона есть даже разъяснение Роскомнадзора:
«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».
Никита, Вы можете какую-то практику предоставить или это Ваше личное мнение? Просьба по возможности прикладывать ссылки или говорить, что это Ваше мнение
Павел, я рад, что Вы стараетесь изучать правовые вопросы о персональных данных детально!
Что же, поехали! Надеюсь, что некоторые законные акты Вы сможете погуглить.
Давайте определим что такое персональные данные. Персональные данные, согласно статье 3 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть, это данные, которые могут идентифицировать человека и позволить понять кто перед нами — Вася Петров или Иван Иванов.
При этом законодатель не даёт чёткого разграничения что это такое, а определяет как некую совокупность информации. Есть, конечно Указ Президента РФ от 06.03.97 № 188 (https://zakonbase.ru/content/base/20358), где была дана некая конкретизация, но она в данном случае не очень помогает.
Но мы-то с Вами сейчас найдём эту грань)
Так вот, телефон, как было сказано мной выше в комментарии по мнению Роскомнадзора не является персональными данными и это он говорит даже в лице своих территориальных подразделений в ответах на вопросы (к примеру: http://26.rkn.gov.ru/p8926/p10713/ — 5 вопрос, https://57.rkn.gov.ru/p8924/p14069/p14070/), эти позиции применяются и судами, вот, к примеру, можно посмотреть здесь: апелляционное определение СК по гражданским делам Новосибирского областного суда от 04 февраля 2016 г. по делу N 33-774/2016 или апелляционное определение Московского городского суда от 24 июля 2017 г. N 33-28957/17.
Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ «О разъяснении норм федерального законодательства» говорит, что: «абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу (абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных)».
То есть, если берём номер телефона или электронную почту — всё окей, нет никаких персональных данных.
Переходим к имени. Имя не идентифицирует субъекта персональных данных. Вообще никак. Таким образом, персональными данными не является. Или просто фамилия — тоже не подлежит защите как персональные данные (Постановление Восемнадцатого арбитражного апелляционного суда от 24 сентября 2014 г. N 18АП-10690/14; Определение СК по гражданским делам Приморского краевого суда от 09 сентября 2013 г. по делу N 33-7063 (тут суд даже сказал, что «в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума»); обзор обращений граждан за II квартал 2012 года Управление Роскомнадзора по Республике Карелия рассмотрело вопрос, являются ли фамилия и инициалы гражданина персональными данными).
Телефон + имя — не позволят определить Вам однозначно и безошибочно (что является критерием персональных данных) человека.
А вот, если добавить к телефону или электронке немного больше данных, к примеру, ФИО — всё, персональные данные готовы и подлежат защите.
Так что, да, это моё личное мнение, основанное на правоприменительной практике и требованиях законодательства 😉
📽️ Видео
Закон о персональных данных 152-ФЗ по полочкамСкачать
Изменения с 01.07.2017 и форма согласия на обработку персональных данных- Елена А. ПономареваСкачать
ПЕРСОНАЛЬНЫЕ ДАННЫЕ. Зачем собирают и что делатьСкачать
Согласие собственников в МКД на обработку и передачу персональных данныхСкачать
152-фз что делать для защиты персональных данных и что такое обработка персональных данных на сайтеСкачать
Персональные ДАННЫЕ гражданских служащих | Защита, обработка и согласие в законе | 7 Глава 79 ФЗСкачать
Как сделать запрет обработки ПЕРСОНАЛЬНЫХ ДАННЫХ...Скачать
Почему нужно отозвать согласие на обработку персональных данныхСкачать
Персональные данные работников: что меняется в обработке в 2023 годуСкачать