Правовой статус оператора персональных данных

3. Какие обязанности существуют у оператора?

Действия оператора ПД делятся на: (1) меры, направленные на защиту ПД (ст. 18.1 №152-ФЗ «О персональных данных») и (2) меры по обеспечению безопасности данных при их обработке (ст. 19 №152-ФЗ «О персональных данных»).

Оператор самостоятельно определяет состав и перечень мер, «необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством». Почему так? Все организации разные, им требуется разное количество персональных данных, которые нужно обрабатывать.

https://www.youtube.com/watch?v=ytcreatorsru

Оператор обязан:

  • предоставить по запросу субъекта данных информацию о его данных;
  • хранить личные сведения граждан с использованием баз данных только на территории РФ;
  • самостоятельно определить состав и перечень мер, необходимых для соблюдения законодательства;
  • опубликовать или иным способом обеспечить доступ к документам, определяющим политику конфиденциальности организации (если сбор ПД осуществляется на сайте, политику конфиденциальности нужно разместить так, чтобы рядовой пользователь мог легко обнаружить документ);
  • по запросу Роскомнадзора предоставить документы, обеспечивающие обработку персональных данных.

Кто относится к операторам персональных данных

152-ФЗ: закон о персональных данных на сайте Консультанта

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

  • электронная почта;
  • телефон,
  • имя и фамилия;
  • дата рождения;
  • адрес;
  • ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

  • временные метки;
  • деперсонализированный идентификатор useid;
  • адреса страниц, к которым было обращение;
  • адреса, с которых был переход;
  • информацию о браузере и устройстве, с которого был запрос;
  • IP-адрес.

По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Судебное решение

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных.

5. Какие документы должен иметь оператор персональных данных?

Для соблюдения требований закона необходимо:

  • назначить ответственного или ответственных за обработку ПД (издать приказ);
  • разработать политику в отношении обработки ПД и необходимые локальные акты (ЛНА);
  • применять правовые, организационные и технические меры по обеспечению безопасности ПД: кроме издания локальных актов, сюда относится назначение ответственных лиц, установка антивирусных программ;
  • контролировать сотрудников и (или) проводить внутренний аудит обработки данных в редакции;
  • оценить вред, который может быть причинен субъектам ПД в случае нарушения законодательства: указать в специальном документе, какие ПД обрабатываются и в каких целях, какие задействованы компьютеры и программы, установлены ли пароли для защиты информационных систем и серверов;
  • ознакомить сотрудников, ответственных за обработку ПД, с положениями закона, если потребуется – обучить их. Законодательство не предъявляет конкретных требований к обучению сотрудников, поэтому в качестве такой меры можно зачесть курс вебинаров АНРИ по персональным данным. Главное – оформить это документально.

К локальным нормативным актам относятся инструкции, положения и отчеты. Все ЛНА и изменения к ним утверждаются руководителем организации и оформляются приказом. Работники должны быть ознакомлены с актами и изменениями (необходима физическая подпись в листах ознакомления).

Предлагаем ознакомиться:  Перечень НПА, регулирующих предпринимательскую деятельность

Приблизительный перечень необходимых ЛНА таков:

  • Положение об обработке персональных данных: определяет правила работы с личными данными, круг должностных лиц, имеющих к ним доступ, и устанавливает ответственность за нарушение этих правил.
  • Политика информационной безопасности информационных систем по обработке ПД (ИСПД): определяет цели и задачи, а также общую стратегию системы защиты ПД. Информационная система – это любой компьютер, в котором хранятся данные, стоит учетная программа или с которого можно зайти на сервер, где хранятся данные. Оператору данных необходимо иметь перечень информационных систем и стратегию их защиты (можно ориентироваться на раздел по обеспечению конфиденциальности информации вашей учетной программы).
  • Положение по хранению и уничтожению данных.
  • Правила рассмотрения обращений субъектов данных.
  • Инструкция пользователя ПД, инструкция администратора ПД.
  • Модели угроз безопасности ПД: документ за подписью руководителя, в котором описана структура ИСПД, состав и режим обработки ПД, классификация потенциальных нарушений, оценка исходного уровня защищенности, оценка вероятности возникновения угроз и их актуальности. Базовую модель угроз безопасности ПД можно найти на сайте ФСТЭК.
  • Руководство по работе с Интернетом.
  • Журналы (проверок, обращений граждан, учета съемных носителей).
  • Приказы (о введении режима обработки ПД, утверждения инструкций, журналов, положений политики).
  • Формы согласия на обработку ПД.

Политика оператора в отношении обработки ПД (политика конфиденциальности или пользовательское соглашение) и Положение об обработке ПД – это разные документы. Политика конфиденциальности компании – внешний общедоступный документ, положение – внутренний документ, в котором оператор определяет работу с данными внутри организации.

Данные из социальных сетей

152-ФЗ о персональных данных на сайте Консультанта

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Оферта Вконтакте с пользователями

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «Вконтакте» выиграл суд.

Судебное дело

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

До начала обработки персональных данных оператор обязан уведомить РКН о своем намерении. По сути, такое уведомление нужно подавать одновременно с созданием организации.

Уведомление требуется от организации, которая:

  • на постоянной основе обрабатывает персональные данные (в штате организации есть сотрудники, проводится подписная кампания, собираются объявления на размещение рекламы);
  • работает с внештатными сотрудниками;
  • регистрирует на своем сайте пользователей или просит заполнить онлайн-формы для различных целей (рассылка, отзывы, подача объявления, «перезвонить мне» и т.д.)

Уведомление можно подать в бумажном виде в территориальный отдел Роскомнадзора по месту регистрации редакции (с подписью уполномоченного лица), предварительно заполнив форму на сайте Роскомнадзора).

Правовой статус оператора персональных данных

Карточка компании попадает в реестр. Вот, например, так выглядит карточка ООО «Русская медиагруппа «Западная пресса».

Неподача уведомления, несвоевременная или некорректная подача являются административным правонарушением: должностные лица могут быть оштрафованы на сумму от 300 до 500 рублей, юридические – от 3 до 5 тысяч рублей (ст. 19.7 КоАП РФ). Срок давности привлечения к административной ответственности составляет три месяца с даты возникновения обязанности уведомления (ч. 1 ст. 4.5 КоАП РФ).

Предлагаем ознакомиться:  Как отказаться от коллективного страхования ВТБ: программы, отказ от договора || Отказ от страховки по коллективному договору

При внесении изменений в карточку организации необходимо уведомить Роскомнадзор в течение 10 рабочих дней в том же порядке, в каком подавалось и первоначальное уведомление.

В редких случаях ведомство можно не уведомлять (ч. 2 ст. 22 152-ФЗ «О персональных данных»). Из них к деятельности СМИ применимы следующие:

  • ПД обрабатываются исключительно в рамках трудовых отношений – если редакция работает с людьми, не запрашивая дополнительных ПД и не передавая их третьим лицам.
  • ПД необходимы для исполнения договора, стороной которого является субъект ПД, и при этом данные не передаются третьим лицам.
  • Субъект данных сам сделал их общедоступными.
  • Если собираемые ПД включают в себя только фамилии, имена и отчества.
  • Если ПД собираются лишь для того, чтобы однократно пропустить человека на территорию предприятия.
  • Если ПД обрабатываются без использования средств автоматизации (на бумаге).

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.
  • Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Правовой статус оператора персональных данных

Реестр операторов персональных данных на сайте Роскомнадзора

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

Проверка Роскомнадзора

Существуют случаи, когда работодатель может обрабатывать данные сотрудника без его согласия (разъяснения Роскомнадзора от 14 декабря 2012 года). Из них к работе СМИ применимы:

  • Случаи, предусмотренные коллективным договором, в том числе правилами внутреннего трудового распорядка, а также локальными актами работодателя.
  • При обработке ПД близких родственников работника в объеме, предусмотренном формой №Т-2 и в некоторых случаях (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
  • При передаче данных работника третьим лицам в случаях, когда это необходимо для предупреждения угрозы жизни и здоровью работника, и в других случаях, предусмотренных российским законодательством (например, передача сведений о работниках в ФНС, ФСС И ПФР, военкомат и профсоюзы, при командировании в гостиницы).
  • При получении мотивированных запросов от прокуратуры, полиции, ФСБ, трудовых инспекторов.
  • При передаче персональных данных работника кредитным организациям для начисления зарплаты в следующих случаях:

    а) договор на выпуск банковской карты заключался с работником напрямую, и в нем предусмотрена передача ПД;

    б) наличие у работодателя доверенности на представление интересов работника при заключении договора с финансовой организацией;

    в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

  • При оформлении пропуска, если это предусмотрено коллективным договором или ЛНА.

Если редакция передает бухгалтерский и кадровый учет на аутсорсинг, ей необходимо заручиться у своих сотрудников отдельным согласием на передачу ПД третьему лицу. В договоре с аутсорсинговой организацией нужно предусмотреть ее обязанность по обеспечению защиты данных сотрудников.

Согласие должно позволять сделать однозначный вывод о целях, способах обработки ПД с указанием действий и объеме собираемых данных (ч. 4 ст. 9 №152-ФЗ «О персональных данных»).

Предлагаем ознакомиться:  Гражданско правовой договор с физическим лицом

Согласие сотрудника может быть оформлено отдельно или включено в трудовой договор, Роскомнадзор предлагает оформлять его таким образом.

Вот примеры согласия на обработку данных посетителей сайта СМИ от Ревда-инфо.ру и ИД «Информ-Полис».

Согласие на обработку ПД подписчиков газеты может выглядеть так.

Аналогичным образом оформляется согласие на обработку ПД рекламодателей и других контрагентов.

Работодатель имеет право обрабатывать данные уволенного работника в случаях и в сроки, предусмотренные законом, согласия бывших сотрудников при этом не требуется (п. 2 ч. 1 ст. 6 ФЗ «О персональных данных»):

  • четыре года хранить документы, необходимые для исчисления, удержания или перечисления налога (подп. 5. п. 3. ст. 24 Налогового кодекса РФ);
  • хранить бухгалтерскую документацию в течение срока, установленного Госархивом, но не менее пяти лет (ст. 17 ФЗ «О бухгалтерском учете»).

По истечении установленных законом сроков личные дела работников и иные документы сдаются в архив.

13. Как журналисту обрабатывать данные героев публикации, источников информации, адресные базы и прочее?

Резюме не обходится без персональных данных, поэтому работодатель должен получить предварительное согласие соискателя на обработку его сведений до найма/отказа, кроме случаев, когда:

  • от имени соискателя действует кадровое агентство (согласие дано агенту);
  • соискатель самостоятельно разместил резюме в Интернете.

Если кандидат выслал резюме по электронной почте, работодатель может получить его согласие на обработку ПД во время личной встречи. Если о встрече не договорились, резюме уничтожается. В случае отказа в приеме на работу данные кандидата уничтожаются в течение 30 дней.

Работодатель также должен заручиться согласием соискателя, если хочет проверить его прежние рабочие места, кроме случаев, когда:

  • речь идет о приеме на работу бывшего государственного или муниципального служащего (ст. 64.1 ТК РФ);
  • речь идет о замещении вакантных должностей государственной гражданской службы (перечень документов определен ФЗ «О государственной гражданской службе»).

Журналист может свободно обрабатывать ПД на основании п. 8 ст. 6 №152-ФЗ «О персональных данных», когда такая обработка необходима для осуществления его профессиональной деятельности и не нарушает права и свободы субъекта. Подробнее об этом {amp}gt;{amp}gt;

Правовой статус оператора персональных данных

Однако когда ПД собираются в адресные базы (источников информации, например), нужно либо получить согласие субъекта данных, либо записать только те данные, по которым человека нельзя идентифицировать.

https://www.youtube.com/watch?v=ytdevru

При этом согласие можно получить и в любой форме – устной или в порядке рабочей переписки: главное, чтобы его наличие можно было подтвердить.

Ссылка на основную публикацию
Adblock detector