Что включает в себя обработка персональных данных

 

В статье рассказано про разные персональные данные, что к ним относится, какие есть у гражданина и у юридического лица, виды сведений, которые не являются такой информацией и что попадает в эту категорию при определенных условиях. Узнайте об обработке персональных данных: что это значит, какие этапы включает в себя? Рассказано с примерами, как осуществляется сбор сведений работодателем, финансово-кредитными организациями или иными субъектами. Даны рекомендации для компаний.

Сбор и архивирование

Процесс систематизации, хранения и использования сведений включает в себя обособление данных от другой информации, в частности путем фиксации на материальных носителях, в спецразделах или на полях форм (бланков), если речь идет об неавтоматизированной обработке. Либо сведения могут быть обработаны в автоматизированных системах (на компьютере, например). Для обработки различных категорий нужно использовать отдельные носители.

Для каких целей?

Обработка данных — это определенный набор действий для их использования (сбор, накопление, хранение и пр.). Еще до начала сбора информации должна быть сформирована цель, ради, которой собираются данные. Например, идентификация клиента среди других либо учет сведений обо всех партнерах и потребителях компании. Обработка должна ограничиваться достижением этих целей.

Требования к обработке информации:

  1. Осуществляется с согласия владельца.
  2. Без согласия, но при этом:
    • в целях судопроизводства, в том числе исполнительного;
    • для выполнения журналистской работы;
    • в статистических или иных исследовательских целях.

Обрабатываемые данные подлежат уничтожению либо обезличиванию, когда договор закончился или обязательства выполнены. Сведения, которая передаются, должны быть в любое время исключены из общедоступных источников, если человек не согласен с таким обнародованием либо если есть соответствующее решение суда.

О том, каковы цели обработки ПД, мы более подробно рассказываем тут.

Начало процедуры

Обычно дата начала использования сведений соответствует дате создания компании. Операторы, которые осуществляли сбор данных до 2006 года, обязаны направить в Роскомнадзор уведомление об этом. Уведомление заполняется в электронном виде После заполнения электронной формы Уведомления необходимо распечатать его на бланке организации, подписать и направить в местное Управление Роскомнадзора.
Датой начала обработки в уведомлении должна быть указана дата начала совершения действий с ними. Она может совпадать с датой регистрации или постановки организации на учет в налоговом органе.

  • Скачать бланк уведомления в Роскомнадзор об обработке персональных данных
  • Скачать образец уведомления в Роскомнадзор об обработке персональных данных

С чего начать и как организовать процесс обработки ПД мы рассказываем в отдельной статье.

Какие сведения являются такой информацией?

Какие сведения являются такой информацией?

Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

  • фамилия, имя, отчество;
  • место жительства или регистрация;
  • дата и место рождения;
  • семейное, социальное или имущественное положение;
  • сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

  1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
  2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
  3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
  4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

  • фамилия, имя и отчество;
  • дата рождения;
  • идентификационный номер;
  • место рождения;
  • гражданство;
  • информация о регистрации по месту жительства или месту проживания;
  • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
  • сведения о семейном положении (о супруге, детях и родителях);
  • информация об образовании;
  • информация о роде занятий;
  • о пенсии;
  • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности.

У юридических лиц?

  • Наименование юридического лица.
  • Организационно-правовая форма.
  • Ююридический адрес.
  • Адрес местонахождения юридического лица.
  • ОГРН (основной государственный регистрационный номер).
  • ИНН (идентификационный номер).
  • КПП (код причины постановки на учет).
  • Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Возможности обрабатывающих систем

Фото 2

Все системы, с помощью которых обрабатываются данные, подразделяются на типовые и специальные. К первым относятся системы, в которых требуется обеспечить только свойство конфиденциальности. Все остальные системы относятся к специальным.

Типовым системам могут быть присвоены четыре класса, в зависимости от масштаба негативных последствий для владельца конфиденциальной информации. Необходимо будет присвоить информационной системе соответствующий класс и его документально оформить.

Существует два вида обработки: автоматизированный и неавтоматизированный (делается человеком).

  1. Автоматизированная включает операции, осуществляемые полностью или частично с помощью автоматизированных средств:

    • хранение данных;
    • осуществление логических, арифметических операций;
    • изменение, уничтожение, поиск или распространение данных.

    Для хранения и систематизации используется компьютер, электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства.

  2. Для неавтоматизированного хранения и использования также могут быть использованы различные материальные носители, но при условии, что данные не будут сохранены в памяти, или скопированы.

О том, как происходит автоматизированная обработка ПД, мы рассказываем в специальной статье, а про обработку без использования средств автоматизации читайте здесь.

Требования к обработке персональных данных

Процедура обработки начинается с получения личных сведений о гражданине. Согласно 86 статье ТК РФ и 6 статье ФЗ № 152, собрать и использовать персональные данные о человеке можно лишь после получения от него письменного разрешения.

В противном случае любые операции, производимые с подобной информацией, считают незаконными. Ниже представлены основные требования, предъявляемые к процедуре обработки:

  • любые действия, совершаемые с личной информацией о человеке, могут осуществляться лишь на законных основаниях и без нанесения ущерба для гражданина;
  • организации и физические лица, занимающиеся обработкой персональных данных, обязаны соблюдать положения Конституции и других нормативно-правовых актов;
  • информация о человеке первоначально получается у него самого (если подобное невозможно, допустимо запросить нужные сведения у других лиц при предварительном уведомлении гражданина и получении его разрешения);
  • обработке не подлежат религиозные и политические взгляды человека, его личная жизнь, участие в общественных объединениях;
  • работодатель сотрудника обязан обеспечить сохранность персональной информации от стороннего использования, разглашения или утраты;
  • граждане, о которых собирается личная информация, должны быть ознакомлены с порядком её последующей обработки под роспись.

Данные правила зафиксированы в 86 статье ТК РФ и направлены на защиту личной жизни гражданина.


Как осуществляется эта работа в организации?

Рассмотрим, как проходит процесс сбора и обработки на примере создания интернет-магазина.

Для хранения и использования сведений о покупателях, компании или ИП, которые владеют интернет-магазином, нужно зарегистрироваться в качестве оператора на сайте Роскомнадзора.

До этого нужно будет разработать регламенты и форму пользовательского соглашения. В них обычно пишется, что если пользователь зарегистрируется на сайте или заполнит заявку — эти действия будут считаться согласием на обработку его данных.

Покупатели обычно передают на сайт:

  • Ф.И.О;
  • дата рождения;
  • реквизиты платежной карты;
  • контактный телефон;
  • личные фотографии (иногда);
  • личный адрес.
Внимание! Если магазин собирается передавать данные покупателей третьим лицам, то это можно делать только в целях исполнения пользовательского соглашения (например, раскрывать сведения службе доставки, которая будет заниматься перевозом купленного товара).

Если же цели иные, то на это требуется отдельное согласие пользователя.

Владельцу сайта нужно разработать Политику в отношении обработки данных и опубликовать ее. Необходимо также указать электронный адрес, куда стоит обращаться с тем, чтобы его сведения были удалены. Придется также заключить соглашение об обеспечении безопасности, в котором будет указано, что будет обрабатываться и в каких целях.

  • Скачать бланк Соглашения на обработку персональных данных
  • Скачать образец Соглашения на обработку персональных данных

Какие сведения собираются?

Фото 3

Персональные сведения — это данные о физическом лице:

  • фамилия, имя, отчество;
  • место и дата рождения;
  • адрес;
  • семейный и социальный статус;
  • доходы и активы;
  • образование;
  • медицинский диагноз;
  • сведения и заключения о состоянии здоровья;
  • полис ОМС;
  • оказанные медицинские услуги.
Внимание! Обработка персональных сведений осуществляется только с согласия в письменной форме либо подачи документа, подписанного электронной подписью. Оператор вправе поручить обработку другой компании (с согласия субъекта личной информации).

Доверенность на обработку персональных данных

Как рассчитать трудовой стаж —

Списание и ликвидация трудовых книжек —

Можно работать по двум трудовым книжкам —

Получить сведения о конкретном человеке можно не только от него самого, но и от его законного представителя. При этом важно в тексте заявления о согласии на совершение данной операции указать ФИО и паспортные данные этого лица.

Стоит отметить, что без оформления нотариальной доверенности на обработку персональных данных, с образцом которой возможно ознакомиться на сайте, не обойтись.

Правовые основания

Вопрос использования личной информации о потребителе регулируется законом «О персональных данных», а также целым рядом подзаконных актов (Перечнем персональных данных, Положением об особенностях обработки, должностными инструкциями) и другими документами.

Сами компании разрабатывают целый пакет документов, регулирующих вопросы получения и защиты, полученных от клиента сведений. Например, Политику в отношении обработки.

  • Скачать бланк должностной инструкции ответственного за обработку персональных данных
  • Скачать образец должностной инструкции ответственного за обработку персональных данных

О правовом обеспечении обработки ПД читайте здесь.

Что включают в себя персональные данные?

Вся информация, касающаяся определённого гражданина, является его персональными данными. Получение, хранение, накопление и реализация этих сведений осуществляется исключительно после получения письменного разрешения этого человека.

Согласно положениям ФЗ № 152 от года, к подобной информации относятся:

  • ФИО определённого лица;
  • его дата и место рождения;
  • адрес официальной регистрации либо фактического проживания;
  • семейное положение;
  • наличие либо отсутствие детей;
  • возраст;
  • полученное образование;
  • место трудоустройства и должность;
  • уровень получаемых доходов;
  • социальное и имущественное положение;
  • и т. п.

Данная информация может содержаться в международном или гражданском паспорте гражданина, его свидетельстве о рождении, ИНН, СНИЛС, документах о полученном образовании, медицинских справках и заключениях, водительских правах и т. п.

Обработка перечисленной выше информации должна производиться только в целях соблюдения законодательства (к примеру, при оказании гражданину помощи в трудоустройстве).
Обычно нужные данные получаются у самого человека, однако в некоторых случаях должностное лицо вправе запросить их предоставление у третьей стороны (к примеру, у прежнего руководителя).

Что значит ЦОД?

Центр обработки данных (ЦОД) — это структура, обеспечивающая автоматизацию бизнес-процессов и гарантирующая безотказную работу информационной системы. Центры позволяют работать с большим объемом данных, организовывать их хранение и обеспечивать связь между центрами и пользователями.

При выходе из строя ЦОД могут заблокировать доступ к информации, поэтому их защищают на случай отключения света, аварий, пожаров, взлома хакерами, кражи данных.

Больше информации о том, что такое ЦОД, найдете в этой статье.

Общая информация

Работать с предоставляемыми персональными данными в большинстве случаев имеют право исключительно и уполномоченные работники, чаще всего с такой обработкой сталкиваются при трудоустройстве и передают свои персональные информационные показатели представителям кадровых кадровых служб и HR-подразделений.

Вне зависимости от ситуации предварительно необходимо обязательно получить письменное согласие от того, кто передает свои персональные данные.

Дальнейшее использование подобной информации также возможно только после получения официального разрешения.

Закон подробно перечисляет порядок информации, которая входит в этот список:

  • дата рождения;
  • имя, отчество и фамилия;
  • профессия и образование;
  • данные об уровне доходов и другое.
Есть перечень разделов персональных данных, любая потенциальная обработка которых допускается исключительно в уникальных случаях. В этот список входит: наличие судимостей, членство в профсоюзе, состояние здоровья.

Что не входит в ПД?

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
 
Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92. Это быстро и бесплатно!

Фото 3

Порядок обработки персональных данных работников

Процедура обработки начинается с получения необходимой информации у самого сотрудника. Перед сбором нужных руководителю сведений работник должен быть ознакомлен с порядком обработки персональных данных.

Крайне важно получить письменное согласие гражданина, иначе сбор и использование сведений о человеке будут считаться незаконными.

Если узнать информацию личного характера от самого сотрудника невозможно, руководитель может обратиться к другим лицам (например, в организацию, в которой гражданин был трудоустроен ранее). Однако и в этом случае без получения разрешения сотрудника не обойтись.

Он должен быть уведомлён:

  • о характере информации, необходимой руководителю;
  • об источниках её получения;
  • о целях использования;
  • о последствиях отказа от предоставления данных сведений.

Как указывалось выше, некоторая информация находится под запретом. Например, речь идёт о политических убеждениях или религиозных взглядах сотрудника. Сведения о состоянии здоровья работника также невозможно получить без наличия для этого весомой причины и разрешения самого гражданина.

Заявление о согласии сотрудника на обработку персональных данных обязательно должно содержать список сведений, подлежащих получению, сроки действия разрешения, сведения о работодателе, лице, о котором собирается информация, и его представителе. В последнем случае дополнительно необходимо подготовить доверенность, заверенную в нотариальной конторе.

Сам бланк заявления не имеет стандартной формы, поэтому может составляться в свободном виде. При этом важно включить в текст документа основные сведения, зафиксированные в 9 статье ФЗ № 152.

Что скрывается за понятиями «использование» и «обработка» персональных данных?

Казалось бы, зачем больницам, учебным заведениям, ЖЭКам, работодателям стало необходимо предоставлять такую полную информацию о себе, своей семье, материальном положении, если совсем недавно еще не было этой надобности? Такой жестких сбор всех личных данных начался с принятием Федерального закона № 210 «Об организации предоставления государственных и муниципальных услуг», после чего во всю и заработали ранее принятый закон «О персональных данных».

Кому это нужно? Безусловно, не социальным и коммерческим структурам – они только инструмент для сбора информации. Все данные будут фиксироваться непосредственно у главного оператора – ОАО «УЭК», который планирует в скором времени обеспечить всех граждан электронными документами и запустить активную тщательную обработку каждого человека.

А что подразумевается под словом «обработка» и «использование»? Граждане понимает под этим понятием банальный сбор и хранение информации. А на что на самом деле соглашается человек?

В п. 3 ч. 1 ст. 3 ФЗ № 152 это обозначено следующим образом:

«Обработка» включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), ОБЕЗЛИЧИВАНИЕ, БЛОКИРОВАНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.»

Таким образом, люди добровольно передают в чужие руки разрешение распоряжаться своей личной жизнью. Теперь главный оператор, в будущем обеспечив вас электронным биометрическим документом, будет обладать всей полной информацией, касающейся вашего здоровья, наличия родственников, социальных выплат, совершенных сделок, налогах, хозяйственных покупок и даже передвижения! И, если вы, как обладатель универсальной электронной карты, будете не согласны с некоторыми действиями оператора, тогда все ваши данные он может просто заблокировать или вовсе уничтожить, как полноправный хозяин вашей персональной информации. Вы ведь заранее согласились на возможность применения к себе подобных мер!

Фото 4

Субъекты процедуры

Наиболее часто мы передаем данные при обращении в банк, интернет-магазин либо в страховую компанию. Например, если мы заказываем страховой полис на сайте страховщика, то всегда даем согласие на использование данных еще до регистрации и получения доступа в свой личный кабинет. Для этого просто ставится галочка о согласии на передачу сведений в конце заполненной онлайн формы заявления о страховании.

Для покупки ОСАГО придется передать не только паспортные данные, но и полную информацию о своем водительском стаже, марке машины, классе страхования. Эту информацию страховщик обрабатывает (сохраняет, использует для оповещения клиента, передает курьерской службе, для запроса дополнительной информации о страхователе в базе РСА).

В целях обеспечения безопасности страховые компании применяют специальные технические меры. Канал, по которому передается информация шифруется. Доступ в свой личный кабинет получают исключительно авторизированные пользователи.

Собирают информацию о клиенте и банки. Например, при оформлении кредита заемщик передает по требованию кредитора сведения о своем доходе от работодателя, других полученных кредитах, семейном положении, адресе не только своем, но и своих поручителей и пр. Эти сведения хранятся в автоматизированной системе банка и защищаются спецсредствами. Если клиент использует систему интернет-банкинга, то используются дополнительные меры для защиты от хакерского взлома и незаконного использования счетов.

Ответственные лица

Обработку сведений осуществляет оператор. Для этого он назначает ответственного специалиста, который обязан осуществлять контроль за соблюдением требований закона о защите данных. Это может быть, например, сотрудник технического или юридического отдела, бухгалтерии или отдела кадров. Эти функции должны быть обозначены в его должностной инструкции или трудовом контракте.

Функции ответственного:

  • подготовка организационно-распорядительной документации;
  • информировать руководство обо всех попытках несанкционированного доступа к охраняемым сведениям;
  • следить за своевременным проведением необходимых регламентных работ по обеспечению безопасности;
  • контролировать работы по выбору, закупке и приемке нового программного обеспечения, средств защиты информации, технического оснащения;
  • прием и обработка обращений и запросов владельцев данных.
Важно! Ответственный обязан хранить в тайне сведения ограниченного распространения, полученные им во время работы и пресекать действия других лиц, которые могут привести к разглашению такой информации.

В случае увольнения ответственный обязан вернуть все документы и материалы, относящиеся к своей деятельности.

Пошаговую инструкцию по назначению лица, ответственного за организацию обработки ПД, мы привели в отдельной статье.

Необходимая документация и защита ПО

Прежде чем начать принимать и обрабатывать информацию о клиентах, нужно позаботиться о подготовке документации в соответствии с рекомендациями Роскомнадзора, а также принять технические меры по обеспечению защиты (например, установить соответствующее программное обеспечение, антивирусы, меры защиты от несанкционированного доступа, средства криптографической защиты).

При обработке необходимо:

  1. Четко сформулировать цель.
  2. Определить, данные каких категорий будут использоваться.
  3. Разработать Политику в отношении обработки и если требуется уведомить Роскомнадзор (что из себя представляет такое уведомление узнаете тут).
  4. Позаботиться о защитных средствах.
  5. Определить структуру информационной системы.
  6. Выяснить режим обработки данных и разграничения прав доступа пользователей информационной системы.
  7. Идентифицировать местонахождение технических средств системы.
Справка! Оператор может передавать полученную информацию исключительно своим сотрудникам, а также подрядчикам, но исключительно в пределах цели обработки. Согласие на использование персональных данных действует бессрочно с момента его предоставления.

Что представляют собой персональные данные человека и кому они нужны?

Итак, понятие «персональные данные человека» включает в себя не только его имя, отчество, фамилию и адрес регистрации, как мы привыкли понимать. Это полностью вся информация, которая прямо или косвенно касается конкретного физического лица: биометрические данные, сведения о состоянии здоровья и физиологические особенности, национальность, вероисповедание, состав семьи, наличие судимости, информация о сфере занятости, финансовые доходы и прочее.

В 2005 году Россия утвердила Конвенцию Совета Европы «О защите физических лиц при автоматической обработке персональных данных». После чего был принят Федеральный закон (ФЗ-№152) «О персональных данных», основные положения которого повторяет вышеуказанный международный акт. Большая часть людей думает, что закон предусматривает защиту личных данных человека. Но так ли это на самом деле?

Особенно настораживает в документе такое понятие как «автоматическая обработка данных», которое предусматривает как накопление и хранение данных личности, так и передачу их третьим лицам и использование в различных целях. Право выполнять эти действия принадлежит так называемому оператору, выступать в роли которого могут юридические или физические лица, государственные структуры, коммерческие организации.

Но главным нашим оператором является коммерческая структура ОАО «Универсальная электронная карта». Именно она обладает правом определять состав персональных данных, цели их обработки и совершать над ними любые действия.

Вопросы и ответы

Планируем собирать на сайте от пользователей следующие данные:

ФИО, телефон, email

По акцепту оферты, данные становятся общедоступными

Являемся ли мы оператором обработки ПДн? Нужно ли регистрироваться в роскомнадзоре? Можно ли этого избежать (например, исключив ФИО из собираемых данных)?

Эксперт:

Безусловно, оператором персональных данным (ПДн) Вы являетесь, т.к. обрабатываете ПДн (в т.ч. храните их и накапливаете).

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных»:

Статья 6. Условия обработки персональных данных
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

Т.е. только в том, случае если ПДн берутся в целях заключения договора либо делаются общедоступными таким субъектом или по его просьбе, то согласие субъекат ПДн не требуется, как и уведомление Роскомнадзора (пункты 2 и 4 части 2 статьи 22 указанного федерального закона).

Конечно, если данные не забираются в связи с исполнением договора (из вопроса не ясна цели, для которых нужно предоставить ПДн), то единственная ссылка возможна только на общеизвестность, т.е. субъект ПДн должен явно выразить согласие на то, что его данные будут общеизвестны. В этом случае, если все верно понимаю, Вы будете подпадать под статью 8 «Общедоступные источники персональных данных», т.е. по требованию субъекта такие данные должны быть удалены. Основной риск для Вас в этом случае в том, что тот, кто предоставит Вам данные, на самом деле этим лицом являться не будет, т.е. когда «придет» реальный субъект ПДн, то возможен конфликт с ним.

Если ФИО исключается из данных, то как таковыми, такие данные уже не будут персональными (персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), т.е. они выпадают из действия закона.


Эксперт:


Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. 
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы. 

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.  

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте. 

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children's Online Privacy Protection Act (COPPA).  

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. 

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. 
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. 

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.

Источники

Использованные источники информации.

  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/chto-otnositsya
  • https://urmozg.ru/trudovoe-pravo/obrabotka-personalnyh-dannyh-rabotnikov/
  • https://naim.guru/trudovoe-pravo/sistema/personalnye-dannye/obrabotka/procedura.html
  • http://megapoisk.com/obrabotka-personalnyh-dannyh-grazhdan-rossii-pochemu-nuzhno-otkazatsja
0 из 5. Оценок: 0.

Комментарии (0)

Поделитесь своим мнением о статье.

Ещё никто не оставил комментария, вы будете первым.


Написать комментарий