14 августа

3176

#CNT# data-template-html-inactive=В избранное #CNT#>

В настоящее время весь комплекс операций с ПД реализуется в информационных системах и на бумажных носителях. Обработка данных без использования средств автоматизации — это регламентированные действия с ПД, осуществляемые только человеческими ресурсами. Правила обработки ПД в ИСПДн и на бумаге устанавливают нормативные документы.

На дистанционных курсах повышения квалификации мы подробно остановимся на нормативном регламентировании обработки ПД. Ознакомим вас со всеми изменениями законодательства, научим успешно проходить проверки Роскомнадзора без нарушений и штрафов.

Есть отдельный правовой акт, нормирующий обработку ПД, размещенных на бумажных носителях. Это Постановление Правительства No 687 от 15.09.2008. В нем определены условия обработки персональных данных, имеющихся в документе, без использования ИС. Постановление регламентирует применение типовых бланков, в которых предполагается наличие персданных и мероприятия для их сохранности

Если работодатель применяет типовые формы, у него должны быть разработаны инструкции по их заполнению.

Пример приказа о предоставлении отпуска Кроме информации, традиционно отражаемой в подобном распоряжении, постановление требует указать: Цель. Здесь ПД обрабатываются для реализации права работника на получение и оплату ежегодного отпуска. Это и есть цель обработки персональных данных, выполняемой без использования средств автоматизации.  Сведения об операторе и субъекте: ООО «Флай», Адрес: Киров, ул. Добролюбова, д. 9/14; Карпов Сергей Алексеевич, проживает: г. Киров, ул. Грина, д. 57. Источник и сроки. Личная карточка работника No Т-2. Длительность хранения ПД из настоящего документа — в течение установленного законом архивного срока хранения. Список операций. Импортирование данных в «1С», использование на бумажном носителе после вывода на печать, отражение в Личной карточке No Т-2, графике отпусков. Описание применяемых методов обработки. Сбор, запись, накопление, хранение, уточнение (обновления, изменения), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение— указывайте только то, что применяете.

Официальных рекомендаций по выполнению п.7 ПП No 687 нет. Вы можете поступить следующим образом:

• Указать требуемую информацию в ЛНА, разъясняющем правила заполнения типовых бланков:
  1. приказы или распоряжения о приеме на работу;
  2. -//- о предоставлении отпуска;
  3. -//- об увольнении;
  4. личный листок и другие.

 По каждой типовой форме, содержащей персональные данные, разрабатывайте отдельную инструкцию с указанием актуальных сведений.

• Включать требуемую информацию непосредственно в текст документа.

Скачай образец приказа с указанием всех обязательных данных в соответствии с Постановлением 687

Кадровики часто сталкиваются с проблемой обработки ПДн без использования средств автоматизации в анкетах соискателей. Возникают затруднения в определении характера собираемых ПД, их количестве и оформления в документах.

Совет Что касается количества сведений — придерживайтесь ст. 5, п.5 N 152 — ФЗ и запрашивайте только те личные сведения, которые вам действительно необходимы.

Если организация собирает ПД соискателей с помощью типовой формы анкеты, утвержденной работодателем, все указанные выше требования распространяются и на нее. Дополнительно к общим условиям данная анкета должна вмещать:

• информацию о сроке ее рассмотрения;
• решение об устройстве либо отказе в приеме на работу.

Важно! Порядок заполнения всех типовых форм документов персональных данных — бланков и форм, применяемых в организации, включая приказы, анкеты, график отпусков и прочие, отразите в отдельных разработанных и утвержденных инструкциях.

Проблемы возникают при использовании коллективных форм, включающих личную информацию сразу нескольких субъектов. Это обработка персональных данных без автоматизации в:

• графиках отпусков, приказах о премировании;
• приказах о предоставлении отпусков (Т-6а);
• графиках работ, сменности.

Каждый работник, чьи ПД указаны в бланке, вправе ознакомиться с тем, какие именно сведения о нем обрабатываются.

При этом он должен сделать это так, чтобы не нарушить права других субъектов, чьи данные также размещены в этой форме.

Для обеспечения этого условия ПД других сотрудников скрываются, например, через употребление специальной формы с вырезанным окошком, через которое видны данные конкретного субъекта.

Если сотрудники разрешили сделать свои персданные, используемые в документах работодателя, общедоступными в согласии на обработку персональных данных, то ознакомление с коллективной формой производится открыто и свободно.

Важно! Это самый удобный и доступный вариант, не требующий особого раскрытия тайны, так как, например, в рамках одной организации, все знают ФИО своих коллег, их специальности, другие ПД.

Такие журналы заводят при пропускных режимах, когда субъекта ПД надо пропустить на территорию оператора. В них фиксируют ПД, требуемые для одного прохода. К таким типовым формам Постановление N 687 предъявляет следующие требования:

1. Иметь ЛНА, регламентирующий ведение журнала. В нем указываются цели обработки ПД, состав ПД, которые запрашиваются у субъекта, способы их фиксации.
2. Перечислить должности или ФИО ответственных лиц, допущенных к журналу, сроки обработки ПД.
3. Подробно расписывается механизм пропуска на территорию без подтверждения достоверности сведений, которые сообщает субъект.

Важно! Копирование из журналов при обработке ПД без использования средств автоматизации запрещено.

ПД субъектов вносятся в журнал в каждом случае пропуска не больше 1 раза.

Дистанционный курс по работе с ПД будет полезен и тем, кто применяет автоматизацию в своей деятельности, и тем, кто обрабатывает ПД вручную. Мы рассмотрим самые важные изменения в законодательстве и разъясним порядок применения нормативов.

 

Пусть меня научат. Обработка персональных данных без использования средств автоматизации

Персональные данные – это категория информации, принадлежащая гражданам страны. В связи с тем, что персональные сведения должны оставаться конфиденциальными, Закон налагает на операторов ПДн ряд обязательств, в том числе при обработке персональных данных осуществляемой без использования средств автоматизации. В материале мы дадим исчерпывающую характеристику обработке ПДн неавтоматизированного типа, поговорим об особенностях таких операций и предоставим пошаговую инструкцию реализации вышеуказанного процесса.

Скрыть содержание

Что такое?

Неавтоматизированные методы

Аппараты, устройства, используемые для работы со сведениями персонального характера с участием человека называются неавтоматизированными.

Они призваны обеспечить работу с информацией, ее хранение, уточнение, извлечение или уничтожение, при этом, не могут служить инструментами компьютеризации данных и не позволяют работать с большими массивами информации – операция со сведениями каждого субъекта ПД проводится отдельно и вручную оператором.

Учет личной информации такими способами

Определение обработки ПДн неавтоматизированного типа находим в Постановлении Правительства РФ от 15 сентября 2008 года № 678 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования инструментов автоматизации» (а о том, что такое автоматизированная обработка персональных данных, читайте тут). В документе указано, под ручной работой с ведомостями подразумевается один из процессов, например, использование, уточнение, распространение, обезличивание или уничтожение информации при непосредственном участии человека.

В этом же постановлении находим следующее уточнение: процесс не признается автоматизированным только на основании того, что сведения (ПДн) содержатся или извлекаются из информационной системы.

На практике у операторов ПД довольно часто возникают проблемы с тем, к какому виду отнести ту или иную операцию с информацией. Ведь компьютеры – авто-инструменты – используются практически постоянно, ими оснащены рабочие места.

При этом, использовать такую технику можно по разному – иногда человек контролирует каждую операцию, а иногда вычислительная аппаратура справляется сама.

Своеобразную точку в этом деле можно поставить, вернувшись к Постановлению правительства №678.

В документе уточняется, что проведение ручных операций с участием средств компьютеризации может применяться только при условии, что информация по каждому субъекту вносится или редактируется отдельно и под руководством человека.

Если оператор ПД берет папку с персональными сведениями и удаляет ее с компьютера – это автоматизированная обработка.

Если оператор заполняет с помощью клавиатуры формуляр для каждого клиента-субъекта ПДн – это неавтоматизированная работа.

Споры возникает относительно хранения сведений в компьютере – ведущую роль здесь играет формат хранения – групповой, предусматривающий авто-операции, или индивидуальный – для обработки каждого документа отдельно от остальных.

Нюансы

Следует отметить, что особенности неавтоматической обработки указаны в Постановлении российского Правительства № 678.

Они охватывают нормативы, определяющие, как сведения должны храниться, использоваться и обрабатываться.

• Обособление. ПД необходимо хранить отдельно от иных ведомостей, это можно реализовать при помощи фиксации данных на отдельных материальных носителях, в специальных разделах. Если персональные сведения собирались с разными целями обработки и заведомо несовместимы, следует для каждой категории данных использовать свой материальный носитель.
• Информирование сотрудников. Лица, на которых возлагается функция работы с ПДн, должны быть проинформированы о том, с какой информацией они столкнулись (речь идет о категории информации, особенностях и правилах обработки, установленных государством или локальными актами).
• Оформление материального носителя. Допускается использование типовых форм, формуляров и бланков, однако при выполнении следующих условий:
  1. Указание сведений о цели обработки, наименования оператора, адреса компании, ФИО и адреса субъекта ПДн, источника получения ведомостей, сроках обработки. Кроме этого, форма должна содержать перечень действий, планируемых к осуществлению с данными и общее описание способов, используемых при работе с информацией.
  2. Наличие поля, предназначенного для отметки субъекта ПД о своем согласии на предоставление сведений конфиденциального характера оператору.
  3. Реализация возможности ознакомления субъекта ПД со своими персональными данными, при этом, важно, чтобы у такого субъекта не было доступа к ПДн других граждан.
  4. Отсутствие объединенных полей для данных, собранных с разными целями.
• Ведение журнала с ПД. Если оператору необходимо вести журнал ПДн для организации однократных пропусков субъектов на свою территорию, следует выполнять определенные условия:
  1. разработать акт, в котором указать цели, способы, сроки работы с ПДн и перечень людей, имеющих к нему доступ;
  2. заносить данные не более одного раза при оформлении одного пропуска;
  3. не копировать их.
• Использование части ПД на материальном носителе. Не допускается распространение материального носителя, если планируется использовать только часть сведений. В таком случае закон требует от оператора скопировать нужную часть, и обеспечить конфиденциальность другой половины ведомостей.

Пошаговая инструкция

Разработка нормативного акта, регулирующего процесс обработки ПД.

1. Назначение ответственных за работу с информацией лиц.
2. Информирование ответственных лиц о факте обработки ими конфиденциальной информации, их обязанностях, функциях и запрещенных действиях.
3. Разработка помещения для хранения конфиденциальных данных, журнала (при необходимости), бланков, специальных форм или материальных носителей.
4. Взятие у субъектов ПД разрешения на обработку информации.
5. Фиксация данных на материальном носителе (при этом, важно обеспечить выполнение норматив относительно хранения таких данных – чтобы конфиденциальные сведения хранились отдельно от информации, собранной с иными целями).
6. Обработка данных.
7. Уничтожение или обезличивание сведений после завершения работы с данными.

Особенности положения ПДн

Положение об обработке ПДн – это документ, в котором оператор определяет особенности процесса, меры обеспечения безопасности данных и другие особенности работы. Составлять его следует на основе одноименного документа, принятого правительством РФ.

В обязательном порядке в документ по ПД включаются следующие разделы:

1. Порядок обработки данных.
2. Особенности обеспечения безопасности.
3. Порядок предоставления доступа.
4. Обязанности специалистов, допущенных к работе с ПДн.

Как видите, для определения порядка обработки сведений конфиденциального характера вручную в России было принято специальное постановление правительства. В нем указано, в каких случаях обработку следует считать неавтоматизированной, и как работать с материальными носителями информации.

Перед началом обработки сведений необходимо разработать Нормативный акт, проконсультировать работников и позаботиться о том, чтобы материальный носитель отвечал основным требованиям, прописанным в современном законодательстве.

Обработка персональных данных без использования средств автоматизации

В ходе своей многолетней деятельности по защите персональных данных мы столкнулись с одним важным парадоксом: когда речь идет о выполнении требований законодательства о персональных данных, большинство операторов считают, что речь идет только о тех персональных данных, которые обрабатываются в электронном виде.

Звучит сомнительно, но это так. Когда начинаешь проливать свет на это заблуждение, многие впадают в шок: «что, содержание личного дела в отделе кадров это тоже персональные данные?».

Особенно это интересно выглядит, когда нам говорят: «а у нас ответственным за организацию обработки персональных данных будет ай-ти-шник Валерий».

За нашим вопросом: «а хорошо ли он знаком с трудовым законодательством?» — следует немая сцена на несколько минут, и потом коронные: «Валерий, вы же сказали что закон о персональных данных – это только средства защиты на ПК поставить и все».

Итак, чтобы не возникало подобных вопросов, запоминаем основу статьи 1 Федерального закона «О персональных данных»: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации…, или без использования таких средств…».

До сих пор ведется полемика: обработка любого ли бумажного носителя подпадает под действие законодательства о персональных данных? Однозначного ответа нет. И попытка в нем разобраться это не цель данной статьи. Главное другое – именно за нарушения при обработке персональных данных без использования средств автоматизации Роскомнадзор РФ (орган по защите прав субъектов персональных данных) выписывает больше всего предписаний.

Одной из причин, почему обработке без использования средств автоматизации уделяется меньше внимания, является сложность в определении границ такой обработки. Многие операторы даже не задумываются, что может под нее подпадать. Если изучить судебную практику, можно выделить много интересных случаев.

Конечно деятельность отдела кадров и бухгалтерии это святая святых обработки без использования средств автоматизации, но еще можно выделить ряд типичных случаев, о которых забывают операторы. Например, архив. Часто операторы ссылаются на часть 2 статьи 1 Федерального закона «О персональных данных», что, мол, архив не подпадает под действие закона.

Однако, выясняется что никакой это не архив на предприятии, а просто склад с табличкой архив и архивное законодательство не соблюдается. Соответственно, этот склад в полной мере подпадает под действие закона и все что в нем хранится, должно обрабатываться в соответствии с установленными требованиями. Другой клад для проверяющих органов находится у секретаря.

Чего там только нет. И списки сотрудников со всеми контактными телефонами и адресами, и ксерокопии паспортов для покупки билетов, и даты дней рождений детей сотрудников, и анкеты соискателей, и конечно приказы, лежащие на подпись.

Все это материальные носители персональных данных, к которым, в соответствии с Постановлением Правительства № 687, должен ограничиваться несанкционированный доступ и должна обеспечиваться конфиденциальность и безопасность персональных данных, находящихся в них. Следующее интересное место, это служба безопасности. Сами понимаете, что там может быть.

В том числе анкеты, со сведениями о судимости, которые «обычный» оператор обрабатывать не имеет права. Так же часто забывают про проходную, заведующего гаражом, кабинет медицинской сестры, выпускающей водителей в рейс. Такие случаи можно перечислять очень долго и у всех они свои.

Самое главное понять, что именно с определения границ обработки персональных данных необходимо начинать работы по выполнению законодательных требований, то есть определить объем данных и все случаи их обработки.

Отдельно можно довольно долго говорить о законности обработки тех или иных материальных носителей (например, ксерокопии паспорта в личном деле работника), но в данной статье будем исходить из того, что ваши материальные носители персональных данных обрабатываются строго в соответствии с принципами, закрепленными статьей 5 Федерального закона «О персональных данных».

Вообще закон почти не разделяет требования для разных видов обработки персональных данных, кроме статьи 19, в которой почти в каждом пункте части 2 речь идет об обработке в информационных системах.

Главное, чтобы обработка персональных данных без использования средств автоматизации выполнялась с соблюдением принципов и в случаях, установленных законом.

Но кроме закона, существует подзаконный акт, специально регулирующий обработку персональных данных без использования средств автоматизации – Постановление Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» № 687 от 15.09.2008 (далее по тексту — ПП 687). На нем и задержим ваше внимание. Разбирать все пункты ПП 687 не имеет смысла. Обратим внимание на «самые важные» и на те, несоблюдение которых чаще всего приводит к нарушениям.

Перейдем сразу к пункту 6. В нем говорится: «Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных,…, категориях обрабатываемых персональных данных,…, а так же об особенностях и правилах осуществления такой обработки…».

Данный пункт часто является поводом для наказания операторов. Он не так уж прост, как кажется.

На заре формирования практики выполнения законодательства о персональных данных существовало мнение, что все эти сведения – факт обработки персональных данных, категории персональных данных и правила осуществления обработки – должны быть в должностных инструкциях соответствующих лиц.

Но данная практика не показала своей дееспособности, так как должностные инструкции каждого работника менять не очень удобно (мягко сказано), тем более, что если, например, поменяются внутренние правила обработки, придется менять опять все должностные инструкции.

Более удобно создать общие документы, с которыми проще всех ознакомить под роспись и решить требования пункта 6 ПП 687. Разберем подробнее, с чем же именно нужно ознакомить работников и как это лучше сделать.

Проинформировать о факте обработки персональных данных и о категориях обрабатываемых данных можно, ознакомив работников с перечнем должностей, участвующих в обработке персональных данных, разделив этот перечень на обработку с использованием средств автоматизации и без использования средств автоматизации.

Этим мы убьем двух зайцев: И ПП 687 и Постановление Правительства РФ 1119 от 01.11.2012 г. содержат требование об определении работников, участвующих в определенном виде обработки.

Кроме того, ознакомив работников с перечнем персональных данных оператора, мы проинформируем его как о факте обработки, так и о категориях обрабатываемых данных. Соответственно, перечень персональных данных оператора лучше разделить по категориям персональных данных.

Закон «О персональных данных» прямо нигде не указывает, какие бывают категории. Но Постановление 1119 выделяет 4 их вида: общедоступные, специальные, биометрические и иные (то есть все, кроме первых трех).

Дальше, мы рекомендуем в локальный нормативный акт оператора, регулирующий порядок обработки персональных данных (Например,- положение), включить раздел: «Особенности и правила обработки персональных данных без использования средств автоматизации», описывающий подобную обработку у оператора и, так как работники должны быть ознакомлены с этим актом, автоматически знакомим их с тем, что требует от нас пункт 6.

Дальше переходим к пункту 7 ПП 687, который часто игнорируется операторами, так как не все понимают, что же такое типовая форма. Одни считают что это, например, карточка Т-2.

Но встает вопрос как выполнять подпункты «а» и «б» этого пункта? Вообще регуляторы не дают объяснений — что же это такое, но мы встречали случаи, когда оператора наказывали за несоблюдение требований к типовой форме документов.

Исходя из судебной практики и текста этого пункта, можно выделить следующие особенности, характеризующие типовые документы: 1) Чтобы типовой документ стал таковым, его форма должна быть утверждена приказом руководителя. 2) Типовой документ, в контексте ПП 687, заполняется самим субъектом персональных данных.

Отсюда и требования подпункта «б» о наличии поля для согласия. То есть, мы отметаем мысли о том, что карточка Т-2 это типовой документ оператора. Вообще, если решите создавать у себя типовые формы документов, — отнеситесь серьезно к этому пункту и ничего из него не забывайте.

Раздел III ПП 687 является не постоянным, но довольно частым гостем актов проверок Роскомнадзора.

Пункт 13 определяет наличие трех перечней: перечня персональных данных, перечня мест хранения носителей персональных данных и перечня лиц, осуществляющих обработку персональных данных (у нас есть образцы этих перечней с примерами заполнения).

Здесь часто операторы забывают, что места хранения нужно определить в отношении каждой категории персональных данных.

Соответственно, если вы медицинское учреждение, то в перечне мест хранения нужно определить где лежат те или иные материальные носители определенной категории: карточки Т-2- в отделе кадров, договоры с платными пациентами – в регистратуре, медицинские карты пациентов в ординаторских, или же все это хранится в архиве. Тогда так и пишем: архив – персональные данные и специальные категории персональных данных.

14 пункт обязывает нас обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

Часто на семинарах люди задают вопрос – а что значит раздельное хранение? Для ответа на этот вопрос, сначала, необходимо определить цели обработки тех или иных материальных носителей. Например, цели обработки карточек Т-2 и договоров с клиентами будут разные.

Соответственно, исходя из требований 14 пункта, нам необходимо обеспечить раздельное их хранение. И здесь этот пункт тесно пересекается с 13 и 15. Здесь вступают в бой те самые, очень не простые, организационные и режимные меры.

Пункт 15 обязывает нас соблюсти условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Что это значит? Возьмем грубый пример – в одном помещении сидят: специалист по работе с кадрами, по работе с клиентами и медсестра организации.

У них у всех будут свои персональные данные, своих категорий и отдельных субъектов. С точки зрения правильной организации хранения носителей, обеспечивающего защиту от несанкционированного доступа, каждый работник должен иметь свой запирающийся шкаф, где хранит свои документы. Это и будет раздельное хранение, обеспечивающее сохранность и исключающее несанкционированный доступ.

В законодательстве не указано, как должны храниться материальные носители персональных данных. Нигде не указано, что это должны быть сейфы или железные шкафы. Нигде не говорится про пожарную или охранную сигнализацию.

Вы должны понимать: пункт 15 построен так, что если из бронированного, несгораемого сейфа с четырьмя кодовыми замками украли материальные носители персональных данных и вы не сможете режимными мерами обеспечить доказательства, что это был электрик Владимир, то наказание будет неминуемо.

Поэтому, при организации хранения материальных носителей персональных данных исходите из принципа ценности этой информации. Сейчас, при проведении проверочных мероприятий, Роскомнадзор будет удовлетворен, даже если у вас будут шкафы со стеклянными дверями и с элементарными замочками. Замочки должны быть обязательно.

Понятно, что это не обеспечит 100%-ую защиту, но доказать, что вы не выполнили требования законодательства будет невозможно.

Существуют альтернативные варианты обеспечения защиты от несанкционированного доступа. Приведу два примера. В муниципальных медицинских учреждениях общая проблема – катастрофическая нехватка места для хранения документов.

Одной из больниц мы помогали готовиться к проверке и столкнулись с такой проблемой. В маленькой комнате отдела кадров устроились четыре сотрудника и несколько тысяч личных дел. И ни одного шкафа. Ставить шкафы негде. Переселять людей некуда.

В кабинете постоянно толкутся посторонние люди. В итоге решили закрыть дверь на засов и в двери сделать окно выдачи документов. Самое дешевое и простое решение проблемы. Несанкционированный доступ устранен? Да. В комнате находятся только те, кто допущен приказом.

Больше ничего не надо. Получился большой шкаф с людьми и материальными носителями.

В другом случае мы помогали организовать работу с персональными данными в коллекторском агентстве. У них отдел по работе с должниками завален десятками тысяч дел на стеллажах. Хранить в шкафах в их условиях было невозможно. Решение было простое. На дверь в кабинет поставили электронный замок. Пароли раздали сотрудникам под роспись.

Прописали приказами необходимые сведения, в том числе невозможность проникновения посторонних лиц, и все: несколько тысяч рублей решили проблему защиты от несанкционированного доступа для огромного массива документов. Шкафы бы вышли намного дороже, да и проверка прошла без замечаний.

Главное, вы должны понимать, что комплекс режимных мер, основа которых – перечень должностей, перечень информации, перечень мест хранения, назначение ответственных, контроль и разграничение доступа – это не бесполезные фантазии, а очень важный элемент защиты информации, который, при грамотном построении, может сэкономить вам кучу денег и нервов. Но это большая тема для отдельного разговора.

Дальше пункт 15 подложил свинью для многих операторов, которые пострадали при проверках. Он содержит требование определить: перечень мер, порядок их принятия, перечень лиц ответственных за их реализацию.

Если перечень мер и порядок их реализации можно косвенно выискать в положениях и инструкциях, то ответственных за их реализацию назначают редко.

Мы встречались с такими формулировками в актах проверок: «не назначено лицо, ответственное за обеспечение сохранности персональных данных и исключение несанкционированного к ним доступа». Таким образом, это уже будет третий ответственный, указанный в законодательстве, которого вы должны не забыть назначить.

Как видите, обработка персональных данных без использования средств автоматизации имеет свои секреты и нюансы. В этой статье освещены не все, но наиболее интересные. Надеюсь, что данная статья поможет вам реализовать законодательные требования в своих организациях.

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

Мисник Николай Анатольевич
Директор ООО «РЭАЦ «Эксперт»

Как ужесточились требования к работе с персональными данными в 2021 году

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

В этой статье рассмотрим следующие вопросы:

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.  
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта. 

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию: 

• ФИО; 
• контактные данные;
• перечень персональных данных, обработку которых нужно прекратить. 

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.

2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП.

Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

• организующие и (или) осуществляющие обработку ПД;
• определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. 

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

• ФИО 
• дата рождения
• адрес
• телефон
• электронный адрес
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1.   За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая Санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить Штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Основание Размер штрафа

Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД	Для физлиц: предупреждение или штраф — от 2 000 до 6 000 руб. Для должностных лиц: предупреждение или штраф — от 10 000 до 20 000 руб. Для юрлиц: предупреждение или штраф — от 60 000 до 100 000 руб. При повторном нарушении Для физлиц: от 4 000 до 12 000 руб.; Для должностных лиц: от 20 000 до 50 000 руб.; Для ИП: от 50 000 до 100 000 руб.; Для юрлиц: от 100 000 до 300 000 руб.
Обработка ПД без письменного согласия субъекта	Для физлиц: от 6 000 до 10 000 руб. Для должностных лиц: от 20 000 до 40 000 руб. Для юрлиц: от 30 000 до 150 000 руб. При повторном нарушении Для граждан: от 10 000 до 20 000 руб.; Для должностных лиц: от 40 000 до 100 000 руб.; Для ИП: от 100 000 до 300 000 руб.; Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД	Для физлиц: 1 500 до 3 000 руб. Для должностных лиц: от 6 000 до 12 000 руб. Для юрлиц: от 30 000 до 60 000 руб. Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту ПД информации по их обработке	Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб. Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб.
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб. Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб. При повторном нарушении Для граждан: от 20 000 до 30 000 руб. Для должностных лиц: от 30 000 до 50 000 руб. Для ИП: от 50 000 до 100 000 руб. Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования	Для физлиц: от 1 500 до 4 000 руб. Для должностных лиц: от 8 000 до 20 000 руб. Для юрлиц: от 50 000 до 100 000 руб. Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД	Для должностных лиц: предупреждение или наложение административного штрафа — от 6 000 до 12 000 руб.

Такое Правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?  

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и Договор, политика конфиденциальности, часть оферты — название не столь принципиально. 

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности.

Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.   

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

• ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
• срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе. 

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда. 

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД. 

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

• относятся к субъектам, которых связывают с оператором трудовые отношения;

• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными;
• включают только ФИО субъектов ПД;
• нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;  
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда не нужно получать согласие на обработку персональных данных

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

• осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
• осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
• осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
• необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
• необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные Услуги, а также для рассмотрения претензий пользователей услугами связи;
• осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
• осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Что такое портал персональных данных

Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор. 

Как еще планируют ужесточить обработку персональных данных 

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам: 

• использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
• помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
• деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

• Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
• Более детальная информация об обработке персональных данных — в материалах наших экспертов:
• Пять базовых принципов закона о персональных данных, о которых нужно знать
• Как подготовиться к плановой проверке ФСБ по персональным данным?
• Проверка Роскомнадзора: как подготовиться и избежать штрафов