Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Закон отдельно упоминает комплекс задач, которые должен решать оператор для обеспечения защиты персональных данных. Они указаны в ст. 19 закона. Задачи относятся к нескольким группам – правовым, организационным, техническим. Их выполнение должно гарантировать защиту ПД от утечек, уничтожения, неправомерного доступа, разглашения.
Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.
В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.
Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.
Отдельные обязанности оператора ПД
Роскомнадзор отдельно разъяснил, что некоторые биометрические данные, если они не используются для установления личности гражданина, к охраняемым законом персональным сведениям не относятся. Это:
- ксерокопия паспорта, предоставляемая оператору при заключении договора с ним;
- фотографии в личном деле;
- рентгеновские и флюорографические снимки.
При этом, например, фотография на пропуск к биометрическим ПД относится. Существует судебная практика, на основании которой за использование фотографии без оформления согласия на обработку персональных данных оператора привлекали к ответственности. Также закон защищает сведения о размере зарплаты. Их разглашение станет основанием для увольнения виновного сотрудника и возмещения ущерба, причиненного гражданину, в судебном порядке.
Оформление согласия на обработку персональных данных – одна из первых обязанностей оператора, о которой часто забывают организации, имеющие дело с большим объемом персональной информации. Согласие на обработку должны предложить подписать гражданину не только МФЦ или банки, закон требует этого от медицинских и образовательных учреждений, организаций ЖКХ, интернет-магазинов.
Оформлять согласие не нужно только в следующих случаях:
- данные обрабатываются в целях, установленных законом или международным договором РФ;
- персональные данные требуются в судебном процессе или для исполнения судебного акта;
- данные необходимы госорганам для выполнения их задач;
- данные передаются в рамках договора, стороной по которому оказывается субъект ПД;
- сведения необходимы для защиты жизни или здоровья гражданина, а получение согласия на обработку в конкретной жизненной ситуации невозможно;
- данные нужны для профессиональной деятельности журналиста с учетом установленных законом ограничений;
- сведения раскрываются на основании требований закона.
Во всех остальных случаях получение согласия обязательно. Российская судебная практика знает ситуации, когда по закону преследовалось опубликование персональных данных умерших граждан. Даже размещение гражданином информации о себе в социальных сетях автоматически не превращает эти сведения в общедоступные, поэтому их распространение наказуемо. Так, Роскомнадзор выиграл дело против Бюро кредитных историй, которое собирало данные о заемщиках без их согласия.
Форма согласия предполагает создание письменного или электронного документа при условии его подписания электронной подписью. При помощи телефона, смс-сообщения или мессенджера оформить согласие невозможно. Его требуется оформлять при передаче данных на обработку оператору или третьему лицу. Известны случаи, когда операторов привлекали к ответственности за передачу данных соискателей вакантных должностей кадровому агентству. Если гражданин отзывает свое согласие, что он вправе сделать в любой момент, оператор обязан в течение 30 дней уничтожить данные. Это требование не распространяется на ситуации, когда сведения обрабатываются на основании закона.
Эксперты отмечают, что наиболее частым нарушением оператора становится неполучение согласия на:
- обработку данных;
- передачу персональных данных третьим лицам;
- трансграничную передачу данных.
По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.
Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:
Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.
Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.
Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.
Как уведомить Роскомнадзор о сборе персональных данных
Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде,
- в электронном виде с использованием усиленной квалифицированной электронной подписи,
- в электронном виде с использованием средств аутентификации ЕСИА.
Требования к оператору персональных данных:
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом 152-ФЗ. Перечень мер оператор определяет самостоятельно, если иное не установлено законом.
Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определены:
- уровни защищенности ПД при их обработке в ИСПДн в зависимости от угроз безопасности этих данных (выделяют 4 уровня);
- требования к защите ПД при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности персональных данных (в зависимости от требуемого уровня защищенности);
Закон 152-ФЗ — единственный документ, который устанавливает требования и правила обработки персональных данных граждан ко всем организациям, государственным и муниципальным структурам, частным компаниям, которые собирают, обрабатывают и хранят персональные сведения своих сотрудников и клиентов.
Но несмотря на это, с конца 2017 года 152-ФЗ не изменялся, в отличие от хакерских программ, Интернет-шпионов и иных вирусов.
Фантазия мошенников в реальной жизни также не стоит на месте, и они каждый день изобретают новые и новые способы обмана как граждан, так и организаций с помощью полученных персональных данных.
Важнейшей гарантией прав граждан является обязанность операторов и третьих лиц, получивших доступ к их данным, обеспечивать конфиденциальность и безопасность. На конституционном уровне гарантируется право россиян на защиту своих неимущественных прав, включая защиту личных сведений, в том числе с правом на возмещение убытков, причиненного ущерба или компенсацию морального вреда.
И, вопреки изложенному, а также ряду судебных прецедентов, ФЗ «О персональных данных» не дорабатывается и не совершенствуется. В 2020 году каких-либо принятых Госдумой изменений в текст закона вноситься не планируется.
Порядок хранения и использования персональных данных работников
Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:
1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах. 4. Хранить базы с персональными данными на территории Российской Федерации.
Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.
При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.
Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.
Здесь
вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.
Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.
Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.
После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.
Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.
Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора
- Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Поводом для принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами Евросоюза. Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. Для сравнения, в Норвегии и Франции подобные законы были введены еще в конце девятнадцатого столетия. Осенью 2005 года Государственная дума ратифицировала конвенцию Совета Европы «О защите личности в связи с автоматической обработкой персональных данных».
По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.
Минкомсвязь России подготовила в мае 2017 года поправки в закон «О персональных данных», которые предполагают ограничение передачи персональных данных на зарубежные сервера российских компаний.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
Нужно ли согласие абонента на обработку его персональных данных?
Главным условием обработки персональных данных является согласие лица, индивидуальная информация которого попадает к компании. Письменное согласие клиента на обработку его персональных данных должно содержать следующее:
- его фамилию, имя, отчество, адрес, данные документа, удостоверяющего личность (номер, сведения о дате выдачи и выдавшем его органе);
- наименование и адрес оператора, получающего согласие субъекта данных;
- цель обработки персональных данных с указанием их полного перечня;
- список действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Как и в любом правиле, в рассмотренной норме есть ряд исключений, делающих ее более гибкой и применимой на практике. Одно из первых исключений гласит, что обработка персональных данных может производиться без согласия клиента, если это предусмотрено федеральным законом. В сфере связи и массовых коммуникаций такое исключение не предусмотрено. В Законе о связи нет нормы, позволяющей операторам получать и обрабатывать сведения об абонентах без их согласия. Между тем сведения об абоненте в объеме, необходимом для оказания услуг связи, являются одним из существенных условий договора о реализации таких услуг, заключаемого между оператором и абонентом (пп. «д» п. 53 Правил оказания услуг связи ). Таким образом, можно утверждать, что оператор собирает персональные сведения об абоненте в целях исполнения условий заключенного договора. Это имеет отношение к следующему исключению, когда на обработку персональных данных не требуется согласия субъекта.
Правила оказания услуг местной, внутризоновой, междугородной и международной связи, утв. Постановлением Правительства РФ от 18.05.2005 N 310.
Обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект таких данных, допускается без согласия стороны договора (субъекта данных) (пп. 2 п. 2 ст. 6 Закона о персональных данных). Формулировка достаточно обтекаемая, она позволяет в одностороннем порядке обрабатывать данные клиента в целях исполнения заключенного с ним договора. Есть только одно серьезное «но». Это правило Закона с правовых позиций носит общий характер, перед которым имеет приоритет специальная норма, прописанная в пп. «и» п. 53 Правил оказания услуг связи. А именно — в заключаемом договоре указывается согласие (отказ) абонента:
- на доступ к внутризоновой, междугородной и международной телефонной связи;
- на представление сведений о нем другим операторам связи для оказания таких услуг (для договоров оказания услуг местной телефонной связи).
Таким образом, независимо от того что оператор связи использует данные абонента в целях исполнения заключенного договора, он должен получить его согласие на передачу сведений третьим лицам. Вывод подтверждается Постановлением ФАС ВСО от 28.05.2008 N А78-4877/07-С1-4/220-Ф02-2114/08.
В заключение — о штрафных санкциях
Согласно ст. 24 Закона о персональных данных на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. При этом способ реагирования на выявленное правонарушение определяет соответствующий контролирующий орган самостоятельно в пределах имеющихся у него полномочий. За нарушение установленного порядка сбора, хранения и использования персональных данных граждан ст. 13.11 КоАП РФ предусматривает административную ответственность. Штраф для должностных лиц составляет от 500 до 1000 руб., для юридических — от 5000 до 10 000 руб. Пока судебных решений по привлечению к ответственности по указанной статье немного, надеемся, материал поможет операторам постоять за себя и дать достойный ответ ретивым ревизорам и абонентам, предъявляющим претензии по соблюдению Закона о персональных данных.
Срок хранения личных дел работодателем
Организация заводит на каждого работника по трудовому договору личную карточку и личное дело. Личная карточка – обязательный документ. Дело же работодатель заводит по собственному желанию (кроме гос.органов и учреждений). В то же время личное дело – более информативно. Ведь здесь работодатель хранит копии документов – паспорта РФ, приказа о приеме на работу, трудовой договор и т.п.
Сразу после увольнения работника работодатель должен изъять из личного дела копии паспорта, СНИЛС, документов об образовании и всех иных, которые содержат персональные данные. Однако в силу ст. 17 и 22.1 Закона об архивном деле работодатель обязан хранить документы, подтверждающие факт работы, документы о заработной плате, об отчислениях в ПФР и т.п. Хранит организация и невостребованные документы. И только спустя 75 лет их считают невостребованными.
Как избежать возможных штрафов за хранение персональных данных работника после его увольнения? Мы рекомендуем прописать сроки хранения в Положении о персональных данных организации, а также от каждого работника получать согласие на обработку данных.