Право

Кому оператор вправе поручить обработку персональных данных?

Как избежать штрафов и что нужно знать о новых поправках

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, Эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Кому оператор вправе поручить обработку персональных данных?

Максим Лагутин

Эксперт по защите персональных данных, основатель консалтинговой компании Б-152 Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий Штраф может составить до 295 000 рублей.Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей. Кому оператор вправе поручить обработку персональных данных?

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Кому оператор вправе поручить обработку персональных данных?

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Кому оператор вправе поручить обработку персональных данных?

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Кому оператор вправе поручить обработку персональных данных?

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Кому оператор вправе поручить обработку персональных данных?

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и Закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, Договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

Кому оператор вправе поручить обработку персональных данных?

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст.

 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

  • наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

Кому оператор вправе поручить обработку персональных данных?

На Тильде блок с предупреждением находится в категории «Другое» под номером Т657

Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам
  • обрабатываете персональные данные только на бумажных носителях.

Другие исключения, когда уведомление в Роскомнадзор можно не подавать, содержатся во втором пункте статьи 22 закона 152-ФЗ.

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это значит, вам нужно:

  1. Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
  2. Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете.
  3. Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам).
  4. Отвечать на запросы физических лиц по поводу обработки их персональных данных — не игнорировать, как часто делают.

Защитить персональные данные техническими и организационными мерами — антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Все это прописано в приказе ФСТЭК № 21. В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций — проверка технической защиты персональных данных, это делает ФСБ в малом количестве.

ФСТЭК

Федеральная служба по техническому и экспортному контролю

Основной риск представляет Роскомнадзор, проводящий тысячи проверок в год.

Если раньше сумма штрафов для юридических лиц не превышала 10 000 рублей, то с 1 июля она спокойно может доходить до 300 000 рублей. Если нарушений несколько, штрафов тоже будет несколько.

Например, если вам напишет пользователь и попросит уточнить или удалить его персональные данные с вашего сайта, а вы не предоставите эту информацию, то штраф для физических лиц будет до 2000 рублей, для ИП — до 20 000 рублей, для компаний — до 45 000 рублей. Все штрафы можно посмотреть в поправках к закону.

Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных. Хотя в случае с астраханскими сайтами, которых оштрафовали за форму обратной связи на сайте, проверку просто начали по алфавиту.

Пример «письма счастья»:

Еще Роскомнадзор может запросить большой список документов. Если проверка выявит нарушения, то Роскомнадзор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании. Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.

Максим ЛагутинИллюстрации, дизайн и верстка: Юлия Засс

Если материал вам понравился, расскажите о нем друзьям. Спасибо!

Правила обработки и защиты персональных данных в федеральном законе 152-ФЗ

16 октября

4715

#CNT# data-template-html-inactive=В избранное #CNT#>

Закон о персональных данных включил в обязанности Роскомнадзора наблюдение за защитой конфиденциальной информации.  В 2020 году ужесточилась ответственность за обработку ПД, введены новые требования и правила, определен  регламент проведения проверок.

Читайте также:  Адвокат по семейным вопросам - раздел имущества при расторжении брака

Чтобы не допустить ошибок и штрафов, необходимо знать законодательство в области обработки и защиты персональных данных.

Наш онлайн-курс сэкономит ваше время на изучении нормативных актов, поможет  грамотно организовать работу с личными сведениями работников. Учитывая последние требования No152 ФЗ «О персональных данных» с изменениями, вы успешно пройдете проверку Роскомнадзора.

Главные тезисы процесса обработки  по № 152- ФЗ «О персональных данных» — законность и справедливость. Регламент жестко требует    соответствия целей  характеру обрабатываемых данных:

  1. Заранее определите конечные задачи обработки ПДн, совпадающие с законодательными установками. Все действия с личными сведениями прекращаются по достижении намеченного результата. Если обработка персональной информации противоречит или не совпадает с целью сбора данных — она незаконна.
  2. Если обрабатываются разнородные массивы сведений с разными задачами, их интеграция недопустима.
  3. Непозволительно собирать чрезмерное количество персданных относительно задекларированной цели. Важно соблюдать соразмерность сути и объема ПД в сравнении с объявленным результатом.  

Необходимо соблюдение точности — закон 152-ФЗ указывает, что количество сведений должно быть достаточным для работы. Требование актуальности ПДн относительно цели соблюдайте при необходимости.

Если по форме ПДн можно установить субъекта, закон требует хранить такие сведения не дольше, чем требуется для получения результата их обработки. Это условие устанавливается, если отдельным законом, договором, в котором владелец ПД  поручитель, выгодоприобретатель или сторона не определено другое время хранения.

Важно!
Когда результат обработки конфиденциальных сведений о субъекте достигнут или потребность в дальнейших операциях отпала, искомые сведения уничтожают или обезличивают.

Статья, устанавливающая принципы обработки — ст. 5 закона 152-ФЗ о персональных сведениях.

В федеральном законе они определены в ст. 10-11 — специальные или биометрические, перечисляются разновидности конфиденциальных сведений. Выделяют специальные категории, среди которых — затрагивающие расу, национальность, политические, религиозные, философские принципы, здоровье, интимную жизнь.

Закон устанавливает порядок защиты персональных данных, относящихся к специальным — их обработка запрещена.  Даны исключения — перечень ситуаций, позволяющих совершать установленные действия с этими ПДн. Он исчерпывающий, не подлежит расширению. По устранению причин, приведших к необходимости обработки спецданных, операции с ними надлежит оперативно прекратить.

В ст. 11 законодатель дает понятие биометрических сведений — совокупности физиологических и биологических признаках субъекта, позволяющих  его идентифицировать.  Право на обработку персональных данных этой категории оператор получает при имеющемся у него разрешении владельца ПД (согласие на обработку). Часть 2 статьи комментирует разрешение использования биометрии без позволения владельца.

Кому оператор вправе поручить обработку персональных данных?

Глава 3 Закона о персональных данных 152-ФЗ дает расширенное толкование прав субъекта.  В статьях 14 -17 рассматриваются права на:

  • беспрепятственный допуск к личной информации;
  • согласие субъекта на использование его личных сведений в рекламных и прочих целях;
  • защиту от принятия юридически важных для персоны решений, основанных на личной информации, прошедшей обработку в ИСПДН;
  • возможность воспрепятствования таким решениям;
  • обжалование в суде незаконных действий или бездействия оператора ПД.  

О том, какую информацию разрешено открыть  субъекту персональных данных,  закон 152-фз говорит далее:

  • подтверждение того, что оператор обрабатывает его ПД;
  • доказательства необходимости обработки (основания и цели);
  • методы, механизмы обработки; перечень работников, имеющих допуск к персданным субъекта;
  • полный список обрабатываемых ПДн, источники их получения;
  • сколько времени будут обрабатываться и храниться данные;
  • как субъект сможет реализовать свои права в области ПД;
  • о передаче личной информации за рубеж;
  • информация о лицах, которые проводят обработку по поручению оператора.
Важно!
Если окажется, что персональные данные неполные, некорректные или избыточные/полученные с нарушением закона, владелец вправе требовать их коррекции, блокировки или уничтожения.

Принятые при сборе информации о субъекте меры должны быть достаточны для реализации требований федерального закона о персональных данных. Закон разрешает оператору самостоятельно выбирать, устанавливать способы охраны персональных сведений. Оператор вправе:

  • назначать ответственных лиц;
  • разрабатывать, издавать специальные локальные акты;
  • применять механизмы (правовые, технические, организационные), обеспечивающие безопасность ПД;
  • проводить внутренние проверки на предмет соответствия порядка обработки конфиденциальных данных федеральному закону 152-ФЗ, другим нормативным (локальным) требованиям;
  • оценивать потенциальный вред при нарушениях, соотносить его с осуществляемыми мерами безопасности;
  • обучать (знакомить) своих сотрудников с нормами защиты и обработки персональных данных— федеральными, локальными, другими.

Определена обязанность оператора по открытости и доступности информации, о том, какие требования защиты конфиденциальности он выполняет, о проводимой им политики в области обработки ПД.

Важно!
Как оператор обеспечивает сохранность конфиденциальных сведений при их обработке по федеральному закону о персональных данных 152 ФЗ:

  • определяет угрозы безопасности ПД на основании методик, разработанных уполномоченными органами госвласти;
  • соблюдает регламентированные Правительством степени защиты персданных, для этого применяет меры различного характера, обеспечивающие сохранение ПД при обработке в ИС в соответствии с нормотребованиями;
  • применяет средства защиты, прошедшие процедуру соответствия;
  • оценивает эффективность методов обеспечения безопасности до введения в эксплуатацию ИСПДн;
  • ведет учет съемных / встроенных носителей ПД;
  • принимает незамедлительные меры при выявлении несанкционированного доступа к ПД;
  • восстанавливает испорченные после несанкционированного доступа данные;
  • вводит регистрацию и учет всех манипуляций с ПД в ИСПДн, разрабатывает, утверждает правила допуска к системе;
  • контролирует меры безопасности, степени защищенности систем персональных данных.

Федеральный закон 152 определяет порядок действий оператора  персональных данных в следующих ситуациях:

  • если субъект обращается к нему непосредственно, либо в виде запроса от владельца ПД / его представителя — ст.20;
  • в каких ситуациях производятся  уточнение  или блокирование (уничтожение) личных сведений, прекращение обработки и в какие сроки — ст.21.  

Ст. 22 формулирует права и обязанности оператора по извещению Роскомнадзора о начале обработки персональных данных для осуществления учета. Определяет порядок направления уведомления, содержание уведомления, а также случаи, при которых его не требуется направлять.

Обязанности ответственного за обработку ПД на предприятии, порядок его назначения оператором определен статьей 22.1.

Глава 5 Закона посвящена порядку госконтроля за обработкой персданных. В ней подробно перечислены права, обязанности и общая деятельность Роскомнадзора в сфере обработки и защиты персональных данных и их субъектов. Законом No152-ФЗ также регламентирована ответственность за его неисполнение или нарушения.

Уважаемые читатели! Мы постарались понятным языком донести до вас, что такое обработка ПДн по 152-ФЗ. Понимаем, что в рамках статьи не получится разъяснить все нюансы законодательства. Поэтому приглашаем вас записаться на онлайн-курс, в котором ведущие эксперты Валентина Митрофанова и Мария Финатова внятно и доходчиво расскажут, как правильно обрабатывать ПД, как избежать рисков при их обработке.

Дорогие коллеги! Поделитесь в х к статье опытом внедрения положений закона о персональных данных в своей организации.

 

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Что значит обработка персональных данных, важно понимать гражданам и организациям, которые собирают и используют любую личную информацию о людях (Ф.И.О., e-mail, адрес проживания, телефон и т. д.

), так как за нарушения в этой области могут налагаться административные штрафы.

Что закон подразумевает под обработкой персональной информации и что нужно учесть, чтобы вас не привлекли к ответственности, рассказываем далее.

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

  • Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
  • Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
  • Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
  • Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
  • Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.
Читайте также:  Застройщик обанкротился. Как оформить собственность?

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная Процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.

Права и обязанности оператора персональных данных при их обработке — ответственность за нарушения

К вопросу обеспечения защиты личной информации граждан российские власти относятся очень серьезно и для предупреждения несанкционированного их использования разработали специальную нормативно-правовую базу, основой которой является ФЗ-152.

В нем не только четко указано, кто является оператором персональных данных, но и какие обязанности на него возлагаются на разных этапах обработки, а также прописана ответственность за нарушения.

Досконально разобраться в юридических тонкостях неспециалисту проблематично, поэтому растет число ИП и юридических лиц, которые сотрудничают с компаниями-консультантами.

Но даже при делегировании полномочий заказчику важно понимать, чего от него требует Федеральный закон, чтобы правильно организовать работу информационных систем, подобрать оптимальные меры защиты и разработать соответствующую локальную документацию.

Основные права и обязанности оператора персональных данных

В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн.

Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации.

Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает Гражданин, и соответствующем уведомлении в РКН. Речь может идти о:

  • сборе и накоплении;
  • анализе и систематизации;
  • уточнении (коррекции либо дополнении);
  • извлечении и использовании;
  • передаче третьим лицам;
  • блокировке и обезличивании;
  • уничтожении и удалении.

Список того, что оператор персональных данных обязан делать, гораздо обширнее и занимает целую главу в законе, поэтому заслуживает более детального изучения.

Регистрация в Реестре РКН

Законными считаются только те действия с личными сведениями физических лиц, о которых организация заблаговременно сообщила в Роскомнадзор.

Процедура предельно простая — нужно составить и подать уведомление в орган надзора в письменном или электронном (во втором случае нужна будет ЭЦП) виде, после чего дождаться внесения в единую базу.

При недостаточно полной информации может потребоваться уточнение тех или иных пунктов, а ошибки и неточности в заполнении полей могут привести к штрафам и судебным разбирательствам.

Желательно привлечь на данном этапе профессионалов, которые не только проследят за правильностью составления документа (либо сами заполнят необходимые поля), но и проконсультируют относительно внедрения СЗИ и подготовки внутренних документов, регулирующих операции с ПДн.

Главное, что должно быть указано в уведомлении:

  • сведения об операторе — наименование либо Ф.И.О., адрес (юридический и фактический, телефон, ИНН или ОГРН);
  • список запланированных действий и цели сбора и использования ПДн;
  • нормативно-правовая база деятельности и категории данных, подлежащих сбору, хранению, анализу и т.д.;
  • применяемые средства защиты и тип ИСПДн;
  • сведения о центре обработки данных;
  • сведения о трансграничной передаче;
  • сведения об ответственном лице;
  • сведения о филиалах;
  • условия прекращения обработки;
  • дата и подпись (обычная или электронная).

Начинать обработку информации в автоматизированных, неавтоматизированных или смешанных системах запрещено до направления уведомления в РКН.

Но существуют определенные исключения, например, нет необходимости уведомлять контролирующий орган об использовании сведений о сотрудниках или обработке только Ф.И.О.

Кроме этого, избежать отправки документа можно, если субъект сделал сведения о себе общедоступными либо подписал с вами договор, в рамках которого предусмотрены те или иные действия с персональными данными.

Кроме уведомления для легального осуществления действий с ПДн оператор обязан подготовить политику, регулирующую обработку личной информации, и ряд других внутренних документов, среди которых:

  • форма согласия, которую нужно будет подписывать субъектам;
  • приказ о назначении определенного сотрудника лицом ответственным за организацию обработки персональных данных;
  • правила внутреннего контроля и/или аудита;
  • инструкции по работе с персональными данными в информационных системах;
  • модель угроз для каждой ИСПДн;
  • поручение (при передаче полномочий сторонней организации).

Обязанности на этапе сбора ПДн

Во время получения персональных данных организация должна позаботиться о следующих моментах:

  • сообщить субъекту о факте обработки, целях и методах совершения операций;
  • получить добровольное согласие на использование сведений;
  • при необходимости разъяснить последствия отказа от предоставления ПДн;
  • обеспечить хранение, извлечение, обновление и другие действия с данными на серверах, расположенных в пределах РФ.

Проводить информационную работу с владельцами ПДн нет необходимости, если они уже предварительно уведомлены, есть подписанный договор, предусматривающий совершение операций с персональными данными либо сведения являются общедоступными.

Обеспечение конфиденциальности сведений

Особенно детально в ФЗ-152 прописана необходимость профилактики несанкционированного доступа и распространения ПДн. Для этого требуется:

  • сообщать сведения третьей стороне только при получении дополнительного согласия от субъекта в письменной форме;
  • предупреждать сотрудников, допущенных к персональным данным, о том, что обработка ведется исключительно в заранее установленных целях;
  • осуществлять периодический контроль исполнения требований законодательства и локальных актов;
  • не допускать получения доступа лицами без соответствующих полномочий;
  • запрашивать только тот объем персональной информации, который необходим для выполнения поставленных задач.

Принятие мер безопасности

Точный спектр мероприятий, направленных на защиту ПДн, операторы вправе устанавливать сами, исходя из особенностей своей деятельности, но есть ряд требований, которые нужно исполнять в любом случае. К ним относятся:

  1. Определение потенциальных угроз и разработка способов противодействия.
  2. Применение сертифицированных средств защиты информации.
  3. Оценка эффективности внедренных мер защиты.
  4. Учет материальных носителей ПДн.
  5. Регулярная проверка системы на отсутствие признаков взлома.
  6. Установление правил доступа, учет и регистрация совершаемых с ПДн действий.
  7. Выявление и устранение незаконных изменений, восстановление удаленной информации и принятие мер противодействия НСД в будущем.

Устранение нарушений

В случае выявления незаконных операций с ПДн оператор должен:

  • заблокировать данные, с которыми совершались неправомерные действия;
  • обеспечить прекращение операций, нарушающих права гражданина;
  • прекратить обработку ПДн при достижении целей, которые были установлены при сборе.

Назначение ответственных лиц

Среди обязанностей оператора при обработке персональных данных (если он является юридическим лицом или ИП с работниками) одной из основных является определение работников, которые согласно полученным от руководства указаниям и локальным документам (инструкциям, правилам, приказам) будут осуществлять организацию и контроль за обработкой ПДн. В список выполняемых им задач входит:

  • проведение внутренних проверок за соблюдением нормативов ФЗ-152 на предприятии с составлением и подачей оператору отчетов;
  • информирование персонала о правилах сбора, хранения, копирования, изменения, блокировки ПДн и необходимости соблюдения мер безопасности;
  • организация приема и реагирования на запросы от субъектов ПДн и их законных представителей.

Ответственность оператора персональных данных за невыполнение обязанностей

Несоблюдение требований относительно обработки ПДн предполагает привлечение к различным видам ответственности, причем наказать могут как уполномоченного за безопасность информации сотрудника, так и все предприятие.

Мера ответственности и способ наказания определяются в зависимости от серьезности нарушения согласно ФЗ-152, а также отдельных статей Трудового, Гражданского, Административного и Уголовного Кодексов Российской Федерации.

Это может быть:

  • возмещение имущественного и морального вреда;
  • увольнение, замечание либо выговор;
  • лишение права занимать определенные должности сроком от 2 до 5 лет и более;
  • принудительные или исправительные работы;
  • арест и лишение свободы;
  • штрафные санкции.

Своевременное инвестирование в оптимизацию деятельности согласно ФЗ-152 и подзаконных актов позволит не переживать во время проверок Роскомнадзора и стать в восприятии партнеров, клиентов и сотрудников представителем социально ответственного бизнеса.

Меры, принимаемые оператором персональных данных

Меры, принимаемые оператором для защиты своих прав и интересов при поручении обработки персональных данных субъектов на основании договора

На сегодняшний день один из самых проблематичных и актуальных вопросов в работе многих учреждений и организаций – обеспечение надлежащей защиты персональных данных субъектов во исполнение требований Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (далее по тексту – Закон). Защите персональных данных субъектов, обрабатываемых операторами, посвящено множество статей.

Закон достаточно подробно касается вопросов обработки самим оператором полученных персональных данных субъектов в силу различных оснований.

Читайте также:  Жалоба на МТС (образец): как составить и подать жалобу или претензию

Однако, все чаще операторы поручают обработку персональных данных субъектов другим лицам, что составляет так называемое «поручение оператора» (ч.3 ст. 6 Закона). Назовем такое лицо «субоператор».

Это может быть, например, поручение туроператора турагентству привлекать и заключать от его имени договоры на продажу туристского продукта.

В настоящей статье мы решили затронуть наиболее важные вопросы, возникающие при поручении обработки персональных данных субоператору при заключении договора.

Как обеспечить надлежащую защиту персональных данных субъектов в данном случае? Как реально оператору обезопасить себя, предотвратить риск наступления неблагоприятных последствий при перепоручении определенных действий с персональными данными, ведь передавая сведения по договору субоператору, оператор не может фактически контролировать их соблюдение?

В силу ч. 5 ст. 6 Закона ответственность перед субъектом персональных данных за действия субоператора несет оператор. В свою очередь, субоператор несет ответственность перед оператором.

Исходя из возможностей, предоставленных действующим законодательством, предполагается, что оператору в данном случае необходимо предпринять ряд мер, направленных на защиту своих интересов.

Остановимся на них поподробнее.

Закон касается данного вопроса в ст. 6 ч.

3, путем установления требований о наличии в поручении оператора в соответствии с которым передаются персональные данные субъектов, условия об обязанности обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке, перечня действий (операций) с передаваемыми персональными данными, которые будут совершаться субоператором, целей обработки, а также требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона.

Закон не устанавливает требования к форме такого поручения, поэтому данные требования считаем возможным изложить как в поручении оператора в виде отдельного документа, так и зафиксировать в договоре.

Первая задача, которую нужно решить оператору при заключении договора на основании которого будет производиться обработка персональных данных, это определить предмет данного договора, т. е. цель его заключения, на основании которой уже будут сформированы цели обработки предоставляемых персональных данных.

При этом необходимо учитывать принципы обработки персональных данных, установленные в ч. 1, 2 ст. 5 Закона, которые гласят, что обработка персональных данных должна осуществляться на законной и справедливой основе, также должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Далее, исходя из заданных целей, необходимо определиться с перечнем допустимых действий (операций), которые будут совершаться с персональными данными субоператором.

К таковым можно отнести: хранение, использование, передача, предоставление, накопление, уточнение и т.п.

В случае выхода за рамки предоставленных действий оператору будет проще отследить какое из них не было предусмотрено договором.

Изначально, чтобы правомерно поручить обработку персональных данных субъекта субоператору, необходимо получить согласие субъекта на данное действие. Эта обязанность прямо установлена в п. 1 ч. 1, ч. 3 ст. 6 Закона. Такого согласия не потребуется в случаях, установленных пп. 2-11 ч.1 ст. 6 Закона.

Данное согласие можно включить в текст договора или получить в виде отдельного документа. Первый вариант представляется наиболее оптимальным для тех, кто желает избежать излишнего документооборота. При разработке согласия необходимо помнить о том, что согласно ч.1 ст.

9 Закона, оно должно быть конкретным, информированным, сознательным и может быть выражено в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Здесь важно не забыть, что в силу п. 3 ст. 9 Закона бремя доказывания наличия согласия субъекта персональных данных на обработку лежит на операторе.

Вторым шагом при передаче персональных данных по договору необходимо определить содержание и объем передаваемых персональных данных, которые можно зафиксировать в договоре и подтвердить факт их приема- передачи путем составления соответствующего Акта.

Содержание и объем сведений определяются исходя из конкретных целей такого поручения. Здесь важно соблюсти ряд принципов, провозглашенных Законом. Речь идет о следующих принципах:

  • соответствия содержания и объема обрабатываемых персональных данных целям обработки, недопустимости их избыточности по отношению к заявленным целям обработки (ч. 5 ст. 5 Закона),
  • точности, достаточности, в необходимых случаях актуальности персональных данных по отношению к целям обработки (ч.6 ст. 5 Закона);
  • обработки только тех персональных данных, которые отвечают целям их обработки (ч.4 ст. 5 Закона).

Поэтому, при выборе контрагента не помешает лишний раз убедиться в его правоспособности, наличии необходимых лицензий и т.д.

Следующим обязательным условием в договоре по которому поручается обработка персональных данных субъекта является обязанность соблюдения субоператором конфиденциальности и безопасности персональных данных субъектов при их обработке.

Кроме того, в нем должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 18, 19 Закона. Понятие конфиденциальности раскрывается в ст. 7 Закона. Изначально, необходимо ознакомиться с локальными актами, принятыми в организации и регламентирующими данные вопросы и процессы.

Таковыми могут быть Положение о порядке обработки персональных данных, Перечень лиц, имеющих допуск к персональным данным, приказ о назначении ответственных за обеспечение безопасности персональных данных, документы, содержащие данные о технических средствах защиты информации и т.д.

Главная цель – убедиться, что у субоператора установлены права, полномочия, обязанности сотрудников, имеющих доступ к персональным данным, и они ознакомлены под роспись с данными документами.

Чтобы реально контролировать соблюдение установленных правил и условий в договоре можно установить обязанность субоператора предоставлять оператору ежемесячно отчет о состоянии системы защиты персональных данных, фактах, имеющих значение.

Следовательно, лучше всего определить условия, методы, режим, средства охраны конфиденциальности и безопасности контрагентом переданных ему персональных данных. Такая детальная проработка условий не кажется излишней, т.к. позволит четко регламентировать процесс обработки персональных данных и своевременно выявить его нарушения.

Исходя из принципов обработки персональных данных субъектов, установленных Законом (ч. 7 ст. 5 Закона), персональные данные субъекта подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Причем в ч. 4 ст.

21 Закона установлен конкретный срок в течение которого оператор обязан обеспечить прекращение обработки персональных данных субоператором и их уничтожение.

Он не должен превышать 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено в договоре, ином соглашении между оператором и субъектом персональных данных либо, если оператор не вправе осуществлять такую обработку без согласия субъекта на основаниях, предусмотренных федеральными законами.

Чтобы обеспечить выполнение данной нормы Закона можно включить в договор положение об обязанности вторичного оператора прекратить обработку и уничтожить определенным порядком персональные данные субъекта в течение установленного срока, либо совершить иное действие и предоставить доказательства такого уничтожения (иного оговоренного действия), напр. Акт, справку и т.п.

Следующий вопрос, который вытекает из смысла гражданского законодательства, как возместить ущерб, причиненный субоператором, при нарушении условий договора.

Считаем, необходимым прописать в договоре ответственность субоператора за нарушение взятых на себя по договору обязательств, а также обязанность контрагента возмещения убытков, понесенных оператором, вследствие данного нарушения (ст. 15 ГК РФ, ч. 5 ст.6 Закона).

Убытки оператору будут возмещаться в регрессном порядке (ст. 1081 ГК РФ). Это означает, что оператор после удовлетворения требований субъекта персональных данных взыщет понесенные убытки с субоператора.

Но, как известно, лучше принять предупредительные меры, нежели при их отсутствии претерпеть серьезные последствия их игнорирования. Поэтому, другая не мало важная задача — минимизация размера возможных убытков.

В данных целях можно предусмотреть в договоре положение о том, что субоператор обязуется в случае установления факта разглашения, угрозы разглашения, нарушения условий о конфиденциальности и безопасности персональных данных, незаконном получении (в т.ч.

попытках), использовании, немедленно уведомить об этом оператора и всех известных обстоятельствах. Это поможет своевременно предпринять необходимые меры для предотвращения либо устранения последствий нарушения.

Итак, мы рассмотрели наиболее важные аспекты отношений, возникающих при поручении обработки персональных данных субъекта по договору третьему лицу. Как видим данные отношения регулировать очень непросто.

Поэтому, в заключении можно сделать вывод о том, что необходимо серьезно и качественно подойти к разработке условий договора при поручении обработки персональных данных по договору третьему лицу.

Только проработав все нюансы, обозначив наиболее важные моменты в договоре, учитывая специфику деятельности контрагента, можно предупредить риск наступления неблагоприятных последствий, а также максимально защитить свои права.

Каплина А.В., 
Юрисконсульт юридического отдела 

ООО «РЭАЦ «Эксперт»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector