+7(499)-938-42-58 Москва
8(800)-333-37-98 Горячая линия

Как провести сбор персональных данных и обеспечить безопасность

Содержание

5 шагов по организации учета и хранения персональных данных — статья

Как провести сбор персональных данных и обеспечить безопасность

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1583

С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 290 тысяч для всех, у кого есть сайт

Как провести сбор персональных данных и обеспечить безопасность

/ Блог / Просто о сложном / С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 290 тысяч для всех, у кого есть сайт

Большинство владельцев сайтов хоть краем уха, но слышали о нарушении законодательства в области персональных данных. Если ранее большое количество владельцев сайтов закон проигноировали, теперь с ним придется считаться.

7 февраля этого года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2021 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Исполнение закона поручено Роскомнадзору, который сейчас активно блокирует сайты в соответствии с другими законами, а значит и за исполнение этого примется.

Что это значит?

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

За отсутствие на сайте политики конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а ООО — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юридического лица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч.

Что нужно делать, чтобы не нарушать закон о персональных данных?

Что делать?Как?
получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данныхВо всех формах обратной связи на сайте поставить галочку по умолчанию: «Согласен на обработку персональных данных.». Без галочки форма не должна отправляться.
публиковать в открытом доступе информацию о работе с персональными данных клиентов и посетителейСоставить текст «Политики конфиденциальности» (или взять на другом сайте с аналогичными вашим целями и задачами по сбору данных, доработав под себя) и разместить на сайте.
запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почтеПроверить все формы и анкеты на сайте на предмет лишних данных. Удалить ненужные поля.
использовать данные только для тех целей, которые указаны в документах и о которых пользователя предупредили;Не передавать никому свои клиентские базы. Не использовать не по назначению.
сообщать по запросу пользователя, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавалиОрганизовать единую систему хранения данных внутри компании. Научить сотрудников, работающих с данными, ей пользоваться.
удалять по первому требованию данные любые персональные данные, которые у вас имеются о пользователе;В рассылках в обязательном порядке реализовать возможность отписаться от рассылки.
зарегистрироваться в Роскомнадзоре. Он внесет информацию об операторе в общий реестр и будет выдавать по запросу.Необходимо подать уведомление онлайн на сайте Роскомнадзора. Началом деятельности в качестве оператораперсональных данных, укажите дату регистрации компании.

Какие документы нужно подготовить и где их разместить, чтобы не получить штраф?

Четкого перечня документов Законодательством не предусмотрено, при этом их должно быть достаточно для выполнения обязанностей, предусмотренных Законом о персональных данных.

Ниже представлен перечень документов, которые могут потребовать контролеры из Роскомнадзора:

  1. Документы, подтверждающие исполнение оператором ПДн требований статьи 22 ФЗ №152:
  • Уведомления Роскомнадзора о намерении осуществлять обработку персональных данных.
  1. Положения, приказы и иные документы, регламентирующие обработку ПДн:
  • Перечень ПДн и иных объектов, подлежащих защите,
  • Политика в отношении обработки ПДн (общедоступная, на сайте),
  • Положение о коммерческой тайне,
  • Положение об обработке и защите персональных данных работников,
  • Положение об обработке и защите персональных данных клиентов,
  • Приказ о назначении уполномоченного сотрудника, ответственного за обеспечение информационной безопасности и защиту персональных данных,
  • Приказ о допуске сотрудников к обработке ПДн.
  1. Документы и приказы, регламентирующие вопросы проектирования системы защиты ПДн:
  • Положение о мерах по организации защиты информационных систем персональных данных (ИСПДн),
  • Модель угроз,
  • Акт определения уровня защищенности ПДн при их обработке в информационных системах персональных данных (ИСПДн),
  • План мероприятий по обеспечению безопасности ПДн,
  • Перечень ИСПДн,
  • Приказ о проведении анализа угроз безопасности ПДн.
  1. Положения, приказы и иные документы, регламентирующие вопросы обеспечения информационной безопасности (ИБ):
  • Положение об организации режима безопасности помещений, где осуществляется работа с ПДн (инструкция),
  • Положение об антивирусной защите,
  • Положение о парольной защите,
  • Инструкция по проведения антивирусного контроля в информационной системе персональных данных,
  • Регламент проведения мероприятий по контролю процессов обработки и системы защиты ПДн,
  • Положение о порядке хранения и уничтожения носителей ПДн,
  • Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных,
  • Регламент проведения инструктажа по информационной безопасности,
  • План внутренних проверок режима защиты персональных данных,
  1. Должностные инструкции и шаблоны форм документов, акты и договора, касающиеся обработки ПДн:
  • Должностные инструкции сотрудников, обрабатывающих ПДн
  • Должностные инструкции сотрудников, обеспечивающих ИБ
  • Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций
  • Соглашения о неразглашении работниками персональных данных
  • Шаблоны форм согласия субъекта ПДн данных на обработку его ПДн
  • Форма Акта об уничтожении информации, размещенной на электронных носителях и содержащей персональные данные
  • Типовая форма письменного согласия субъектов персональных данных на обработку его персональных данных
  • Типовая форма ответа Субъекту персональных данных на его запрос
  • Акты об уничтожении персональных данных субъекта(ов) персональных данных
  • Договора с третьими лицами, которым Вы передаете персональные данные на обработку, или договора с операторами ПДн, которые передают Вам, как третьему лицу,персональные данные для их обработки (например: договора транспортными компаниями, с банками, страховыми компаниями и т.п.). Такие договора должны содержать перечень операций с ПДн, которые будут совершаться третьим лицом, цели обработки, обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, требования к защите обрабатываемых персональных данных.
  • Документы, подтверждающие Ваше право обработки персональных данных. Например, согласие субъекта ПДн, договор с субъектом ПДн, договор с оператором ПДн, покоторому Вы являетесь третьим лицом, которому оператор ПДн поручает обработку ПДн.
  1. Журналы, обязательные к ведению в делопроизводстве, связанном с обработкой персональных данных:
  • Журнал инструктажа сотрудников по вопросам ИБ,
  • Журнал учета обращений и запросов субъектов ПДн, их законных представителей и государственных контролирующих органов,
  • Журнал учета носителей информации информационной системы персональных данных,
  • Журнал учета съемных и мобильных носителей информации,
  • Журнал учета мероприятий по контролю соблюдения режима защиты персональных данных в информационных системах,
  • Журнал учета применяемых технических средств защиты ИСПДн,
  • Журнал учета мероприятий по контролю обеспечения защиты персональных данных,
  • Электронный журнал обращений пользователей информационной системы к ПДн,
  • Журнал периодического тестирования средств защиты информации,
  • Журнал по учету мероприятий по контролю государственными и муниципальными органами.

Здесь вы можете скачать все необходимые документы: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/instrukcii/instrukcija_administratora_ispdn/ – если знаете точно, какие документы вам нужны.

Этот пакет документов необходимо хранить в распечатанном виде. Все инструкции и регламенты должны быть подписаны сотрудниками.

Докажите, что это мой сайт!

Достаточно распространенный вопрос – как будет установлено, что сайт принадлежит компании, если доменное имя и хостинг оформлены на частное лицо.

Если отсутствует договор, то напрямую данную информацию установить невозможно. Принадлежность сайта можно установить только по косвенным признакам. Например, по указанной на сайте информации, относящейся к вашей компании (адрес, телефонный номер и так далее). Сайт могут заблокировать на время проверки принадлежности компании.

Подготовьте все и спите спокойно)

Все перечисленное может вам и не пригодиться, Роскомнадзор может и не прийти к вам с проверкой. Но, если проверка будет организована, а у вас не окажется нужных документов это чревато штрафами и блокировкой сайта сроком до 90 дней. А это повлечет за собой очень серьезные последствия для вашего бизнеса.

В качестве иллюстрации к статье используется афиша к художественному фильму Snowden, 2021

x

Продолжить

Источник: https://opexu.com/personal-dannye/

Как собирать и обрабатывать персональные данные, не нарушая закон?

Как провести сбор персональных данных и обеспечить безопасность

С 1 июля 2021 года вступают в силу изменения в статью 13.11. КоАП РФ, устанавливающие новые санкции за нарушение законодательства в области персональных данных. Появилось 6 новых составов административных правонарушений в рамках данной статьи. Увеличены штрафы в десятки раз!

Например, при сборе персональных данных при отсутствии на сайте условий о конфиденциальности или порядка обработки данных о пользователях, индивидуального предпринимателя могут оштрафовать на 10000 рублей, а юридическое лицо – на 30000 рублей.

Если же заниматься обработкой персональных данных без письменного на то согласия, то штраф может достигать 75000 рублей! Должностному лицу, к которым относится как директор, так и индивидуальный предприниматель, придётся выложить 20000 рублей.

При наличии нескольких нарушений законодательства в области защиты персональных данных контролирующие органы могут наложить несколько штрафов.

В зоне риска прежде всего владельцы многочисленных сайтов, где предусмотрена регистрация, оформление заказов, прием заявок. Именно так чаще всего собираются персональные данные о человеке в Интернете.

Чтобы избежать ответственности за нарушения в области защиты персональных данных, мы расскажем об основных требованиях, предъявляемых государством к операторам персональных данных – всем тем, кто занимается получением, обработкой и хранением информации о гражданах РФ.

А также расскажем, что должно быть отражено в положении об обработке персональных данных.

Что такое персональные данные?

Источником информации для данной статьи послужил Федеральный закон “О персональных данных” от 27.07.2006г. №152. Далее по тексту, ссылаясь на закон, мы будем подразумевать именно его.

Законом дано определение понятия персональных данных. К ним относится любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Такое лицо является субъектом персональных данных. В тоже время законом не раскрывается конкретный перечень сведений, относящихся к персональным данным. Представляется, что к персональным данным можно отнести:

  1. Фамилию, имя, отчество;
  2. Адрес места жительства или проживания;
  3. Адрес электронной почты;
  4. Контактный телефон;
  5. Дата и место рождения;
  6. Паспортные данные;
  7. Сведения о воинской обязанности;
  8. Фотографии;
  9. Ссылки на аккаунты в соцсетях;
  10. Сведения об образовании, профессии, опыте работы;
  11. Сведения о финансовом состоянии;
  12. Сведения о семейном положении.

Указанный выше перечень достаточно условный и предусматривает наиболее часто собираемые данные. Они относятся к общим персональным данных.

Есть еще и специальные персональные данные, сбор, обработка и хранение которых не допускается, за исключением некоторых случаев. К таким данным относятся данные о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Также есть и биометрические персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Они могут собираться только при наличии письменного согласия.

Какую бы информацию о человеке вы не собирали, для ее получения всегда требуется согласие субъекта персональных данных.

Кто относится к операторам персональных данных?

Оператором персональных данных может быть любое лицо, осуществляющее обработку этих данных. Это могут быть как юридические, так и физические лица.

Если на вашем сайте можно зарегистрироваться, оставить заявку на обратный звонок, оформить заказ, приобрести какой-либо товар, подписаться на рассылку, заполнить анкету, пройти опрос, то вас можно смело отнести к оператором персональных данных.

Независимо от того, кто осуществляет администрирование сайта, ответственным лицом за нарушение законодательства о персональных данных будет признан непосредственно владелец сайта (юридическое или физическое лицо).

Кто осуществляет контроль в области защиты персональных данных?

В настоящее время уполномоченным органом на проведение проверок и составление протоколов об административных правонарушениях являются органы прокуратуры.

Однако с 1 июля 2021 года выписывать протоколы об административных правонарушениях будет Роскомнадзор. Передача функций этому органу позволит эффективнее и быстрее привлекать к ответственности нарушителей законодательства о персональных данных.

Почему быстрее? Сократится цепочка уполномоченных органов, задействованных в расследовании нарушений в этой сфере.

Раньше Роскомнадзор обращался в Прокуратуру, затем Прокуратура передавала материалы в суд. Сейчас Роскомнадзор будет передавать материалы по административным правонарушениям не в Прокуратуру, а напрямую в суд.

Ожидается, что Роскомнадзор поставит на поток привлечение владельцев сайтов к административной ответственности за нарушение законодательства в области обработки персональных данных.

Нарушителей будет выявляться больше, бюджет РФ будет систематически пополняться штрафами по ст. 13.11 КоАП РФ.

Что необходимо сделать для соблюдения законодательства о персональных данных?

Чтобы неукоснительно соблюдать требования законодательства, мы рекомендуем:

  1. Разместить на сайте в открытом доступе положение об обработке персональных данных, ознакомившись с которым пользователь сайта сможет выразить свое согласие на обработку персональных данных. Вы можете получить такое согласие, разместив флажок ознакомления с указанным положением, нажатие на который, приведет к автоматическому согласию с условиями использования его персональных данных.
  2. Запрашивать только те данные, которые необходимы для достижения ваших целей. Не следует для оформления простой подписки на рассылку по электронной почте запрашивать паспортные данные. Эта излишняя информация может стать основанием для привлечения вас к административной ответственности.
  3. Предоставлять субъекту персональных данных информацию о том, какие сведения о нём хранятся в ваших базах данных, для чего вы обрабатываете полученную информацию и кому вы её передавали.
  4. Удалить всю информацию о пользователе после получения соответствующего запроса.
  5. Осуществлять хранение персональных данных в защищённом месте, исключающем доступ третьих лиц.
  6. Разработать положение об обработке персональных данных и ознакомить с ним своих работников под роспись.
  7. Зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре.

Что должно быть отражено в положении об обработке персональных данных?

Размещая на сайте положение об обработке персональных данных, не забудьте в нем указать:

  1. Исчерпывающий перечень запрашиваемой информации;
  2. Конкретные цели сбора этой информации;
  3. Порядок обработки персональных данных с указанием исчерпывающего перечня действий, которые могут осуществляться с персональными данными;
  4. Наименование и адрес организации, осуществляющей на обработку персональных данных;
  5. Срок, в течение которого действует согласие на обработку персональных данных, способ отзыва согласия.

Подробнее о регистрации в качестве оператора персональных данных в Роскомнадзоре

По закону оператор персональных данных должен уведомить Роскомнадзор о желании заниматься обработкой персональных данных до начала обработки. Уполномоченный орган внесёт информацию в реестр операторов персональных данных и будет выдавать любому лицу информацию об операторах при вводе наименования организации, ИНН или регистрационного номера.

Законом также предусмотрены случаи, когда Роскомнадзор уведомлять необязательно. Например, в случае обработки персональных данных:

  1. Работников в соответствии с Трудовым кодексом РФ.
  2. Стороны по договору, если персональные данные не распространяются, не передаются третьим лицам без письменного согласия и используются исключительно в целях исполнения договора.
  3. Членов общественных общественного объединения или религиозной организации, если персональные данные не распространяются, не передаются третьим лицам без согласия субъекта персональных данных, используются исключительно для достижения целей, предусмотренных учредительными документами.
  4. Сделанных субъектом персональных данных доступными широкому кругу лиц.
  5. Включающих только фамилии, имена и отчества субъектов персональных данных.
  6. Необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. Обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  9. Обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если вы не знаете подпадаете ли вы под указанный выше перечень, советуем подать в Роскомнадзор уведомление о включении в реестр операторов персональных данных.

Обязан ли я хранить персональные данные на российских серверах?

В Законе сказано, что при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Таким образом, собирать, обрабатывать и хранить базу персональных данных о российских гражданах можно только на серверах, размещённых в России.

Если у вас сайт находится на иностранном хостинге, и вы при этом осуществляете сбор и обработку данных о гражданах РФ, то ваш домен могут включить в Реестр нарушителей прав субъектов персональных данных. Ведением этого реестра занимается также Роскомнадзор. Попасть в него легко.

Достаточно нарушить требования законодательства в области защиты персональных данных, дождаться, когда на вас обратит внимание Роскомнадзор, а суд вынесет соответствующее решение.

В тоже время законодатель предусмотрел возможность трансграничной передачи персональных данных граждан РФ на территорию иностранных государств. Отдельного разрешения на такую передачу у Роскомнадзора запрашивать не требуется. Трансграничная передача данных допускается, если:

  1. Есть письменное согласие на такую передачу данных.
  2. Она предусмотрена международным договором или федеральными законами.
  3. Она необходима для исполнения договора, стороной которого является владелец данных, или требуется для защиты его жизни, здоровья и иных жизненно важных интересов, при невозможности получения согласия в письменной форме.

Но имейте ввиду, что передача данных о гражданах РФ на иностранные серверы должна отвечать конкретным и законным целям. Если даже вы получите письменное согласие, но обработка, сбор и хранение данных за рубежом будут признаны необоснованными, то можно оказаться в числе нарушителей Закона “О персональных данных” со всеми вытекающими последствиями.

Минкомсвязи России дало некоторые разъяснения по вопросу практического применения Закона “О персональных данных”, но они вряд ли чем помогут. Уж больно много в них противоречий. Если вы не можете сменить хостера, или без трансграничной передачи персональных данных никак не обойтись, советуем задать все интересующие вопросы напрямую в Минкомсвязь и (или) в Роскомнадзор.

Всё очень сложно? Вы не знаете как собирать и обрабатывать персональные данные правильно?

Для соблюдения требований законодательства в области защиты персональных данных без компетентного специалиста не обойтись.

Можно, конечно, использовать готовые положения о конфиденциальности, взяв их с различных сайтов. Но их использование не гарантирует, что вы не будете привлечены к административной ответственности.

Уж очень много в Законе специфичных требований и обязанностей операторов персональных данных.

Поэтому наши юристы готовы проконсультировать вас относительно действующего законодательства, составить положение об обработке персональных данных, о работе с персональных данными, другие локальные нормативные акты (если они у вас отсутствуют), а также проверить действующие положения об обработке персональных данных на соответствие законодательству. Обращайтесь – мы будем рады вам помочь!

Источник: https://argumentplus.ru/blog/information_security/personal-data.html

Что нужно знать вебмастеру: изменения в законе о персональных данных

Как провести сбор персональных данных и обеспечить безопасность

Многие пользователи сейчас озабочены изменениями в законе, который касается обработки персональных данных. 1 июля 2021 года новые поправки вступят в силу, поэтому мы решили рассказать вам о том, что изменится, и какие действия можно предпринять для того, чтобы минимизировать вероятность неприятных последствий.

Изменения

Федеральный закон «О персональных данных» был принят летом 2006 года. Несмотря на то, что закон действует уже 11 лет, многие пользователи до недавнего времени о нем не слышали.

Всеобщий интерес к этому закону связан с увеличением штрафов за нарушение правил по обработке персональных данных: с 1 июля 2021 года они будут значительно увеличены, при этом за каждое нарушение полагается свой штраф. И если у вас несколько сайтов, то сумма штрафов может быть внушительной.

Если сейчас штраф за нарушение правил, касающихся персональных данных, составляет 10 тысяч рублей максимум, то уже с 1 июля 2021 года ситуация изменится, и максимальный штраф за обработку персональных данных не по правилам будет составлять 75 тысяч рублей. Законодатель утвердил семь составов правонарушений.

Также теперь изменился орган, который может привлекать к ответственности за правонарушения: до принятия поправок возбуждением административных дел занималась прокуратора, теперь ответственным органом станет сам регулятор, то есть Роскомнадзор, что может привести к увеличению количества выписываемых штрафов.

Ознакомиться с содержанием новых поправок вы можете на официальном интернет-портале правовой информации: в статье 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» перечислены все правонарушения и последующие штрафы.

При нарушении правил сбора, хранения или распространения персональных данных ответственность несет лицо, которое нарушило это правило, а именно оператор персональных данных.

Оператор персональных данных

Оператором персональных данных считается компания, ИП или даже физическое лицо, которое запрашивает у своих клиентов какие-либо личные данные, которые могут идентифицировать этого клиента: например, фамилию, имя, отчество (вместе и по отдельности), электронный адрес, телефон для связи, адрес проживания (при регистрации в интернет-магазине) и так далее. Персональными данными могут также считаться cookies, IP-адрес и местоположение (геолокация). После сбора данных оператор занимается их обработкой.

В первую очередь под это определение попадают все, кто использует персональные данные клиентов (частных лиц) для того, чтобы продвигать свои товары и услуги. То есть это интернет-магазины, финансовые сервисы, такси, приложения для мобильных телефонов и так далее.

Что необходимо сделать

Для того, чтобы максимально снизить или даже исключить шанс каких-либо санкций, вам необходимо учесть и сделать следующее:

  1. Если вы поняли, что вы или ваша компания являетесь оператором персональных данных, то вам необходимо проверить, должны ли вы уведомлять контролирующий орган (Роскомнадзор, сокращенно РКН) о своем статусе, так как в законе существует ряд исключений, когда уведомлять РКН не нужно. Прочитать о них вы можете в ч. 2 ст. 22 ФЗ «О персональных данных».
  2. Персональные данные клиента обрабатываются только с его согласия, поэтому вы должны определить, каким образом вы будете получать это согласие. Согласие должно быть конкретным, информированным и сознательным. Субъект обработки персональных данных (ваш клиент) может дать свое согласие в любой форме, которая позволит подтвердить факт его получения. Но помните, что клиент всегда вправе отозвать свое согласие, в результате чего вы должны незамедлительно прекратить обработку.
  3. Обратите внимание, что согласие на обработку персональных данных нужно получать и у своих работников. Ваша компания должна получить согласие на обработку персональных данных работника после того, как тот ознакомится с документами компании, устанавливающими порядок обработки персональных данных. Однако и в этом случае есть ряд исключений, прочитать которые вы можете в разъяснениях РКН от 14.12.2012 года.
  4. Помните о том, что вы должны обеспечить безопасность персональных данных. Меры безопасности зависят от способа обработки. Если вы обрабатываете данные автоматизированно

Источник: https://timeweb.com/ru/community/articles/chto-nuzhno-znat-vebmasteru-izmeneniya-v-zakone-o-personalnyh-dannyh-1

No related posts.

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

    ×
    Рекомендуем посмотреть
    Персональные данные в трудовых отношениях. Как организовать обработку и защиту информации
    Персональные данные в трудовых отношениях. Как организовать обработку и защиту информации
    Что нужно знать об уведомлении Роскомнадзора об обработке персональных данных
    Что нужно знать об уведомлении Роскомнадзора об обработке персональных данных