Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что нужно знать о новых правилах обработки персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что изменилось для работодателей
О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.
С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ), и норма стала строже. Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.
От подачи уведомления компания освобождается только в таких ситуациях:
-
если персональные данные включены в государственные защищенные информсистемы;
-
если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);
-
если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.
Государственный контроль
С того момента, как компания приступает к обработке ПД и уведомляет об этом в Роскомнадзор, она попадает в сферу интересов государственных ведомств, призванных контролировать соблюдение законодательства. Защита персональных данных – в национальном законодательстве, сформировалась как направление защиты прав на сохранность информации о личной жизни.
В рамках этой концепции оператор персональных данных – юридическое лицо или индивидуальный предприниматель, который начал обрабатывать личную информацию лиц, не являющихся его сотрудниками, например, клиентов банков, абонентов мобильной связи, покупателей в интернет-магазинах.
На него возлагается ответственность за:
- сохранность данных, исключение их утечки или разглашения;
- соответствие правил работы с ПДн заявленным целям этой процедуры.
Оператор отвечает за действия сотрудников и третьих лиц, которым он передает данные для обработки.
Нормы ответственности в общем виде изложены в ст. 90 ТК РФ. Они разделяются на:
- дисциплинарную. На сотрудника, допустившего утечку или иное неосторожное обращение с персональными данными, например, уничтожение, могут быть наложены взыскание, замечание или выговор. В ряде случаев разглашение ПД становится поводом для увольнения;
- гражданско-правовую. Если действиями организации или сотрудника правообладателю был причинен ущерб, его компенсация будет возложена на виновника;
- административную. Привлечение к ответственности в рамках норм АПК РФ происходит по результатам проверок. Помимо штрафа, мерой ответственностью иногда является приостановление деятельности, связанной с использованием ПД;
- уголовную. УК РФ предусматривает ответственность за намеренное разглашение ПД, связанное с причинением существенного ущерба.
Административная ответственность предусмотрена ст. 13.11 КоАП РФ. На оператора персональных данных могут быть наложены штрафы за правонарушения в области работы с данными:
- за работу с персональными данными в целях, не предусмотренных законом, или в противоречии с ранее заявленными целями;
- за работу с данными без получения согласия правообладателя;
- за отказ от разработки или публикации в открытом доступе политики по работе с данными;
- за непредоставление правообладателю информации, касающейся судьбы его данных;
- за отказ от уточнения, блокировки или уничтожения данных по требованию субъектов;
- за невыполнение требований ФСТЭК РФ, касающихся использования сертифицированного программного обеспечения для защиты информации;
- за отказ от хранения персональных данных на серверах, находящихся на территории РФ.
Подготовиться к проверке можно, возложив обязанности по контролю за соответствием обработки персональных данных законодательству на службу внутреннего контроля. Указав в положении о службе функции по проверке, можно рассчитывать, что она будет проводиться в постоянном режиме и компания окажется готовой к визиту ревизоров.
Если таких полномочий у службы внутреннего аудита нет, проверка проводится специально созданной комиссией, при необходимости в ее состав включаются внешние эксперты. Это особенно актуально, если компании предстоит проверка ФСТЭК.
Дополнительно к общим принципам проведения проверки защиты прав субъектов персональных данных в ее объем должны войти:
- контроль используемого программного обеспечения с точки зрения наличия сертификатов ФСТЭК РФ и сроков их действия, легитимности приобретения, наличия документов об оплате;
- наличие работающей системы разграничения прав доступа пользователей к информационным массивам, содержащим персональные данные;
- ведение журнала учета действий пользователей.
В каких случаях потребуется уведомление Роскомнадзора
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- получаемых и обрабатываемых в рамках трудового законодательства;
- получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
- относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
- разрешенных физлицом для распространения;
- включающих в себя только фамилии, имена и отчества физлиц;
- необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:
- Назначить работника, ответственного за обработку ПД
- Разработать и утвердить локальный нормативный акт о защите ПД
- Ознакомьте всех работников с документами по работе с ПД.
- Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
- Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
- Постоянно отслеживать изменения в законодательстве РФ по ПД
- Регулярно проводить внутренний аудит документов, содержащих ПД
- Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)
Кого проверяет Роскомнадзор
В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.
Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.
В состав персональной информации включаются:
- паспортные данные;
- ИНН;
- место проживания;
- информация о составе семьи;
- данные о фактическом местонахождении;
- банковские реквизиты;
- личная информация из автобиографии.
Таким образом, Роскомнадзор вправе проверить:
- любого работодателя, который консолидирует личную информацию о сотрудниках;
- компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
- фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).
Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.
Виды проверок соблюдения законодательства о персональных данных
Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:
- Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
- деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
- результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
- Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).
Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).
- Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).
Что работодатель должен и не должен знать о работнике
В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.
Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.
Что у компании должно быть
Итак, при приеме на работу работодатель получает персональные данные работника, а именно:
- Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
- трудовой стаж и предыдущие места работы (из трудовой книжки);
- регистрация в органах ПФР (из карточки СНИЛС);
- отношение работника к воинскому учету (из документов воинского учета);
- образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
- судимость (из справки о ее наличии или отсутствии);
- употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).
Компания вправе по запросу адвоката выдать копию трудовой книжки супругу
Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.
Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.
Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.
Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.
Однако суд решил, что адвокат является именно уполномоченным лицом.
Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.
Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.
Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).
Таким образом, нормы права не были нарушены.
В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:
- выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
- нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
- поручение органов власти, Президента;
- требование прокурора;
- резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.
Важно!
Уведомление Роскомнадзора о начале внеплановой проверки обработки персональных данных вручается оператору не позднее, чем за 24 часа до ее начала. В качестве уведомления направляется копия приказа любым доступным способом. В приказе указываются должностные лица, которые уполномочены проводить инспектирование. Внеплановые проверки только выездные. |
Наблюдение за оператором
Проводится тайно. Не предупреждая оператора, инспекторы смотрят, какую информацию компания/человек публикует в интернете и СМИ, какие документы предоставляет в Роскомнадзор. Например, сотрудники ведомства могут изучить пользовательское соглашение или форму подписки на вашем сайте.
Работники ведомства имеют право проводить наблюдение только по заданию.
Основанием могут стать следующие события:
- Президент, правительство или руководитель федерального РКН поручили наблюдать за оператором.
- Граждане (пользователи, сотрудники) обратились с жалобой в РКН.
- В СМИ появилась информация, что оператор нарушает закон о защите персональных данных.
Если при наблюдении проверяющий выявил нарушения, то докладывает о них руководству отделения Роскомнадзора. После этого могут назначить проверку вне графика или просто сразу попросить устранить нарушения, уточнить, заблокировать или удалить недостоверные или неправомерно полученные данные. Как правило, на это дается 10 дней. Если оператор не выполнит требования, его оштрафуют.