Организация обработки персональных данных в организации

Организация обработки персональных данных в организации

1 марта 2023 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

  • Ф. И. О. субъекта персональных данных;
  • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
  • наименование или Ф. И. О. и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
  • условия разрешения и запрета обработки персональных данных;
  • срок, в течение которого действует согласие;
  • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2023 г.

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2023 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.

Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.

Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.

Достаточно получить от работника согласие на обработку персональных данных его детей. Если дети не достигли 18-летнего возраста, работник будет выступать законным представителем своего ребенка, и этого документа будет достаточно, чтобы вручить подарки. Согласие оформляется в соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ.

  • общие положения (организационная структура компании; страна (страны), в которую передаются персональные данные; цель передачи и обработки персональных данных за границей);
  • правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основаникоторых осуществляется передача и обработка персональных данных);
  • описание объекта защиты;
  • характеристики передаваемых персональных данных (категории персональных данных, отправляемых за границу; категории субъектов персональных данных; способы обработки данных: автоматизированная, неавтоматизированная, смешанная);
  • регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание информационных систем персональных данных, из которых они передаются, а также ИСПДн, куда они передаются, перечисление каналов передачи данных, стандартов и протоколов передачи данных и т. д.). Описание мероприятий и средств обеспечения защиты передаваемых данных (организационные меры; технические средства защиты информации, в том числе криптографические);
  • состав законодательства иностранного государства, отражающего вопросы защиты персональных данных;
  • заключительные положения (обязательства зарубежного филиала соблюдать законодательство по обработке персональных данных страны, в которой он находится; обеспечивать соответствующую защиту полученных и обрабатываемых персональных данных, заверенные подписью ответственных лиц головной организации и зарубежного филиала).
Вас может заинтересовать :  Пособие до 3 лет в 2023 на третьего ребенка в екатеринбурге

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки.

Как начинающему бизнесу работать с персональными данными

Одно из правил — разработать и утвердить как минимум четыре документа, которые должны соответствовать закону и зачастую содержать технические сведения. Разработка каждого документа — кропотливая работа, и, скорее всего, обойтись без помощи юристов или специалистов в сфере информационной безопасности не получится.

В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.

Просто собирать информацию о клиентах в системе — даже сертифицированной и защищенной — не получится. Вам придется зарегистрироваться в качестве оператора персональных данных, а для этого нужно разработать документацию и отправить уведомление в Роскомнадзор.

  1. Кто будет собирать информацию и какую именно: имена, адреса, технические данные, номера телефонов.
  2. Для чего и каким образом собираются персональные данные. Например, «для организации деловых поездок» и «с помощью средств автоматизации». Средства автоматизации — это, к примеру, корпоративный компьютер или программы бухучета. В законе это называется средствами вычислительной техники.
  3. Где будете хранить персональные данные.
  4. Какие меры принимаете, чтобы их обезопасить. Например, вы назначили ответственного за обработку данных, разработали политику и модели угроз безопасности, обучили людей, которые будут работать с персональными данными.

Мы собираемся обрабатывать ФИО, телефоны, адреса доставки посылки и технические данные вроде IP-адреса , сведений об используемом браузере и cookies. Можем ли мы обойтись без документации и просто создать магазин на базе сертифицированной CMS или CRM? Нанять фирму, которая помогла бы соблюсти все требования закона о персональных данных, нам не по карману.

Документы по персональным данным необходимые в 2023 году

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список — какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2023 году, когда Федеральный закон от 07.02.2023 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Вас может заинтересовать :  Губернаторские Выплаты За Второго Ребенка В Красноярском Крае 2023год

Кроме того, работодатель должен получить от своего сотрудника согласие на обработку персональных данных в случаях, когда требуется передача данных третьим лицам. Например, когда бухгалтерский учет ведет сторонняя организация или банк запрашивает данные о факте трудоустройства сотрудника для выдачи кредита. В случаях, когда персональные данные сотрудника используются внутри организации, при оформлении доверенностей, в случаях сдачи отчетности по работнику в государственные структуры, при оформлении полиса ДМС и договоров, где субъект данных будет выгодоприобретателем, при обработке общедоступных персональных данных или сведений о соискателе разрешение на обработку персональных данных не требуется.

Отдельно стоит обратить внимание на необходимость в особых документах по персональным данным в случае использования в компании информационной системы и обработку персональных данных через персональный сайт компании.Это целый пакет файлов, требующих время на подготовку и обладание соответствующей квалификацией людей их подготавливающих. Именно такими качествами и обладает команда «ПД Мастера».

Персональные данные (ПД, ПДн) — сведения об определенном или определяемом физическом лице, которые прямо или косвенно имеют к нему отношение. Как видим, определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под персональные данные.

Сформированные документы по персональным данным утверждает руководитель компании. На каждом экземпляре визируется согласование на обработку персональных данных с заинтересованными лицами. Некоторые файлы из пакета представляются субъектам персональных данных для ознакомления под роспись.

Кроме того в список может попасть секретарь, в обязанности которого входит бронирование отелей и билетов для сотрудников. Уполномоченные на доступ к ПД работники должны подписать обязательство о неразглашении персональных данных. В некоторых случаях такая обязанность может быть заранее включена в условия трудового договора. При необходимости доступа лицам не из списка уполномоченных нужно завести журнал и фиксировать в нем каждое обращение к ПНд.

  • Федеральном законе от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». ФЗ № 149-ФЗ определяет право на доступ к информации, условия ограничения доступа, требования к защите информации, ответственность за разглашение информации ограниченного доступа.
  • ТК РФ, Глава 14 — применительно к защите персональных сведений работников организации.
  • Указе Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера».

    1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
      • сотрудников фирмы;
      • при заключении договоров;
      • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
    2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
    3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
    4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
    5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

    Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.

    • регламент обработки данных;
    • правила компании по подбору персонала;
    • введение пропускного режима;
    • перечень мест хранения данных;
    • регламент уточнения, уничтожения ПДн.
  • Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
  • Утвердить перечень сотрудников, которые допущены к работе с информацией.
    • дисциплинарная — за неправомерную обработку данных работником компании;
    • гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
    • административная — когда это предусмотрено Кодексом об административных правонарушениях;
    • уголовная — за причинение вреда наиболее охраняемым общественным интересам.

    Организация обработки персональных данных в организации

    1.2. Цель разработки Положения — определение порядка обработки персональных данных работников Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Организации, при обработке его персональных данных, в том числе защиты прпв на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

    — использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

    3.1.1. Все персональные данные работника Организации следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение [4] .

    4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

    4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.

    Политика оператора персональных данных

    относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

    В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи данных в адрес третьих лиц – например, наличие договора поручения на обработку персональных данных, в том числе находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

    К сведению: в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

    Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2023 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

    Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

    При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

    Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

    Вас может заинтересовать :  Поправки в статье 228 ч.2 в марте 2023

    Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

    Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2023). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

    Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

    • Описания ИСПДн, систем защиты, технологических процессов обработки ПДн и прочих индивидуальных вещей должны быть конкретными, отражающими реальную картину происходящего. Если это все будет описано слишком общими и абстрактными фразами, можно получить претензию от проверяющего.
    • Различные перечни (субъектов ПДн, самих ПДн) должны соответствовать действительности.
    • Документы должны быть актуальными. Если ответственным за организацию обработки персональных данных назначен давно уволившийся сотрудник, то это гарантированное предписание.
    • Журналы должны быть хотя бы минимально заполнены. Хотя бы те журналы, по которым не получится обосновать их абсолютную чистоту. Например, есть журнал учета обращений субъектов ПДн. На самом деле не такая уж и редкая ситуация когда к оператору никто никогда не обращался с подобными запросами. А есть журнал учета инструктажей по информационной безопасности. И вот уже если этот журнал чистый – могут быть вопросы.
    • Письменное согласие субъекта на обработку его персональных данных должно соответствовать статье 9 закона «О персональных данных». Так, например, многие забывают указать в согласии юридический адрес оператора, которому дается согласие. Также нужно помнить, что согласие должны быть сознательным и конкретным. Раньше многие любили добавлять фразу «даю свое согласие на передачу моих персональных данных третьим лицам». Сейчас такая практика пресекается, необходимо указать какие именно ПДн будут передаваться, кому именно и с какой целью.
    • Все причастные сотрудники к тому или иному документу должны быть ознакомлены с этим документом. Например, все допущенные к обработке персональных данных должны быть под роспись ознакомлены с приказом, утверждающим соответствующий список.

    В конце раздела хотелось бы еще попросить не вестись на рассылки различных мошенников, которые предлагают «сертифицированный комплект документов по защите персональных данных». Зачастую такие мошенники пытаются выдать себя за госорганизацию и иногда делают это очень правдоподобно. Заплатив им деньги, вы в лучшем случае получите набор болванок хуже качеством, чем у представленных здесь бесплатно.

    Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:

    В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.

    Другое важное законодательное изменение это изменение статьи 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Эти изменения полностью преобразовали наказание за нарушение законодательства в сфере защиты персональных данных. Ранее статья 13.11 не разбивалась на части, и максимальный штраф был предусмотрен в размере 10 тысяч рублей для юридических лиц. Сейчас же здесь имеется 7 частей (да еще и планируется расширение), по одной из которых (нарушение правил обработки специальных категорий персональных данных) предусмотрен максимальный штраф для юридических лиц – 75 000 рублей. К тому же, при выявлении проверяющими разных нарушений – наказания по разным частям статьи КоАП теоретически могут складываться. Почему «теоретически»? Раньше на сайтах региональных управлений РКН в разделе «Новости» постоянно публиковались новости о том, что регулятор проверил условно 3 организации на выполнение законодательства о персональных данных, у организации №1 все хорошо, организацию №2 оштрафовали на 3 тысячи рублей, организацию №3 оштрафовали на 5 тысяч рублей. Можно было собрать такие новости в кучу за год и подбить некоторую статистику по штрафам. Сейчас же таких новостей нет. Если у кого-то имеются данные по штрафам за нарушение 152-ФЗ после изменений в 13.11 КоАП РФ, то можете поделиться такой информацией в комментариях.

    На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.

    Давайте определим что такое персональные данные. Персональные данные, согласно статье 3 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
    То есть, это данные, которые могут идентифицировать человека и позволить понять кто перед нами — Вася Петров или Иван Иванов.
    При этом законодатель не даёт чёткого разграничения что это такое, а определяет как некую совокупность информации. Есть, конечно Указ Президента РФ от 06.03.97 № 188 (https://zakonbase.ru/content/base/20358), где была дана некая конкретизация, но она в данном случае не очень помогает.
    Но мы-то с Вами сейчас найдём эту грань)

    Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору. Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

    Так вот, телефон, как было сказано мной выше в комментарии по мнению Роскомнадзора не является персональными данными и это он говорит даже в лице своих территориальных подразделений в ответах на вопросы (к примеру: http://26.rkn.gov.ru/p8926/p10713/ — 5 вопрос, https://57.rkn.gov.ru/p8924/p14069/p14070/), эти позиции применяются и судами, вот, к примеру, можно посмотреть здесь: апелляционное определение СК по гражданским делам Новосибирского областного суда от 04 февраля 2023 г. по делу N 33-774/2023 или апелляционное определение Московского городского суда от 24 июля 2023 г. N 33-28957/17.
    Письмо Минкомсвязи России от 07.07.2023 N П11-15054-ОГ «О разъяснении норм федерального законодательства» говорит, что: «абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу (абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных)».

    Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

    Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.