Новости
31.07.2018
Что такое персональные данные в Российской Федерации?
31.07.2018

Что такое персональные данные в Российской Федерации?

Компания ищет работников, заключает трудовые договоры или у нее есть Интернет-сайт? Уже этого достаточно, чтобы ее затронула тематика персональных данных (ПД).

Из этого информационного бюллетеня Вы узнаете:

1. Как развивалось законодательство о ПД в России?

2. Что относится к ПД?

3. На кого распространяются обязанности в сфере ПД?

4. Какие существуют обязанности в сфере ПД?

5. Когда и как нужно уведомлять Роскомнадзор?

6. Когда и как нужно получать согласие субъекта ПД?

7. Как назначить лицо, ответственное за обработку ПД?

8. Какие внутренние локальные акты необходимо принять в компании?

9. Какие существуют требования к обработке ПД?

10. За какие нарушения в сфере ПД компания будет оштрафована?

Подробно об административной ответственности за нарушения в сфере защиты ПД читайте в нашем информационном бюллетене от 30.06.2017. О европейском регулировании в сфере защиты ПД (GDPR) мы расскажем в отдельном информационном бюллетене.

1. КАК РАЗВИВАЛОСЬ ЗАКОНОДАТЕЛЬСТВО О ПД В РОССИИ?

Развитие в России законодательства о ПД обусловлено общемировыми тенденциями. Впервые термин «персональные данные» появился ещё в 1995 г. в Федеральном законе от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации». А в 2002 г. порядок обработки ПД для целей трудовых отношений закрепил новый Трудовой кодекс.

Но специальное регулирование вопрос защиты ПД получил в России сравнительно недавно – только после ратификации в 2005 году Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. 27.07.2006 в России появился Федеральный закон № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

В дальнейшем в Закон № 152-ФЗ и иные, связанные с ним законы и нормативные правовые акты, неоднократно вносились изменения. Законодатель шёл по пути, с одной стороны, всё более детального регламентирования отношений по обработке ПД, а, с другой стороны, по ужесточению ответственности за нарушения в этой сфере. Самыми существенными этапами этого процесса стали:

  • июль 2011 года: обширная ревизия предписаний Закона № 152-ФЗ с целью их детализации и уточнения;
  • июль 2014 года: введение требования о локализации в России баз данных, содержащих ПД (требование вступило в силу 01.09.2015);
  • февраль 2017 года: ужесточение административной ответственности по КоАП РФ путём диверсификации составов нарушений и повышения штрафов по отдельным составам в 7.5 раз.

2. ЧТО ОТНОСИТСЯ К ПД?

В соответствии с Законом № 152-ФЗ персональные данные – это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Но конкретный перечень такой информации не закреплён. Практика судов и разъяснения Роскомнадзора однозначно относят к ПД следующую информацию:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация и т.п.;
  • контактная информация (адрес, номер телефона и т.п.);
  • семейное положение, наличие детей;
  • факты биографии;
  • финансовое положение, включая сведения о зарплате;
  • фотография и видеозапись, позволяющие установить личность человека.

Тем не менее, этот перечень остаётся открытым.

Перечень ПД не установлен и определяется на основании толкования судов и надзорных органов.

Законом № 152-ФЗ определены ПД, обработка которых частными лицами и компаниями фактически запрещена. Это данные о судимости: согласно Закону № 152-ФЗ обрабатывать их могут только государственные и муниципальные органы в пределах полномочий, предоставленных законодательством. Третьи лица могут их обрабатывать, только если это специально предусмотрено федеральным законом; но на практике это исключительные случаи.

3. НА КОГО РАСПРОСТРАНЯЮТСЯ ОБЯЗАННОСТИ В СФЕРЕ ПД?

Обязанности, предусмотренные Законом № 152-ФЗ, возложены на операторов персональных данных, под которыми понимаются частные лица (физические лица и компании), а также органы власти, осуществляющие обработку ПД.

При этом под обработкой персональных данных понимается действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Отдельно оговорено, что только в следующих случаях обработка ПД может осуществляться без соблюдения предписаний Закона № 152-ФЗ:

  • обработка для личных и семейных нужд;
  • обработка в соответствии с законодательством об архивном деле;
  • обработка ПД, составляющих государственную тайну.

Такое регулирование Закона 152-ФЗ имеет своим следствием то, что фактически любая компания, имеющая хотя бы одного работника, является оператором ПД.

Фактически любая компания является оператором ПД и несёт обязанности по Закону № 152-ФЗ.

В настоящем обзоре мы сосредоточимся на правилах и обязанностях, которые лежат именно на частных лицах, в первую очередь компаниях (далее – операторы).

4. КАКИЕ СУЩЕСТВУЮТ ОБЯЗАННОСТИ В СФЕРЕ ПД?

Закон № 152-ФЗ и принятый на его основании массив подзаконных нормативных правовых актов устанавливает существенное количество обязанностей для операторов. 

Все эти обязанности можно условно разделить на две группы:

формальные обязанности:

  • подача уведомления об обработке ПД в Роскомнадзор;
  • получение согласия субъекта ПД на обработку его ПД;
  • назначение лица, ответственного за обработку ПД;
  • издание политики в отношении обработки ПД и иных локальных нормативных правовых актов и ознакомление работников с ними, а также опубликование политики в отношении обработки ПД.

содержательные обязанности: соблюдение правил обработки ПД, предписаний и запретов по совершению отдельных действий с ПД.

5. КОГДА И КАК НУЖНО УВЕДОМЛЯТЬ РОСКОМНАДЗОР?

Данную обязанность несут все операторы, если только они не подпадают под одно из следующих исключений:

  • обработка только в рамках трудового законодательства;
  • обработка без использования средств автоматизации (средств вычислительной техники);
  • обработка в связи с заключением с субъектом ПД договора и исполнением такого договора, если при этом ПД не распространяются и не передаются третьим лицам;
  • обработка в рамках общественного объединения или религиозной организации с соблюдением их уставных целей, если при этом ПД не распространяются и не передаются третьим лицам;
  • обработка ПД, сделанных субъектом ПД общедоступными;
  • обработка только фамилии, имени и отчества;
  • обработка только в целях однократного пропуска субъекта ПД на территорию оператора.

Таким образом, если компания для сбора ПД использует Интернет-сайт (через необходимость регистрации, при заполнении формы обратной связи и т.д.) и при этом получает информацию не только о фамилии, имени и отчестве, но также и контактные данные, например, адрес электронной почты, то ей необходимо до начала работы соответствующей формы регистрации или обратной связи на Интернет-сайте направить уведомление в Роскомнадзор. Уведомление может быть подано в письменной форме или в электронной форме.

6. КОГДА И КАК НУЖНО ПОЛУЧАТЬ СОГЛАСИЕ СУБЪЕКТА ПД?

По общему правилу, во всех случаях, когда происходит сбор ПД в целях их дальнейшей обработки, необходимо получить согласие субъекта ПД. 

Если обработка ПД осуществляется в рамках трудовых отношений, в том числе на стадии подбора персонала, требуется получать согласие субъекта ПД.

Закон № 152-ФЗ предусматривает только несколько случаев, когда согласие для обработки ПД компанией не требуется:

  • обработка необходима оператору для исполнения возложенных на него законом функций;
  • обработка необходима для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения такого договора по инициативе субъекта ПД;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, когда получение согласия невозможно;
  • обработка необходима для осуществления прав и законных интересов оператора или третьих лиц (например, при взыскании уступленной задолженности);
  • обработка осуществляется в статистических или исследовательских целях при условии обезличивания ПД;
  • обработка ПД, сделанных субъектом ПД общедоступными;
  • обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с законом;
  • обработка ПД в качестве обработчика на основании договора, заключённого с третьим лицом – оператором, получившим согласие субъекта на обработку ПД с правом передать обработку конкретному стороннему обработчику.

Согласие может быть дано в любой позволяющей подтвердить факт получения форме, в частности, путём проставления «галочки» в соответствующей форме на Интернет-сайте.

Тем не менее, Закон № 152-ФЗ предусматривает ряд случаев, когда обработка ПД может осуществляться только при наличии согласия, оформленного в письменной форме на бумажном носителе (либо аналога письменной формы – электронного документа, подписанного ЭЦП):

  • обработка специальных категорий ПД, т. е. данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • обработка биометрических ПД, т. е. сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности человека;
  • включение ПД в общедоступные источники (справочники, адресные книги);
  • обработка ПД, включающая трансграничную передачу данных на территории иностранных государств, не обеспечивающих адекватную защиту данных;
  • принятие решений, порождающих юридические последствия, на основании исключительно автоматизированной обработки ПД.

Общие требования к содержанию согласия на обработку ПД предусматривают, что согласие вне зависимости от формы его получения должно быть конкретным, информированным и сознательным. Содержание согласия, получаемого в письменной форме на бумажном носителе (или в форме электронного документа с ЭЦП), более формализовано. В нём должны содержаться:

  • фамилия, имя, отчество, паспортные или аналогичные паспортным данные;
  • наименование и адрес оператора ПД;
  • цель обработки ПД;
  • перечень обрабатываемых ПД;
  • наименование и адрес обработчика ПД;
  • перечень действий и описание способов обработки ПД;
  • срок действия согласия и способ отзыва согласия;
  • подпись.

7. КАК НАЗНАЧИТЬ ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОБРАБОТКУ ПД?

Назначение ответственного лица осуществляется приказом руководителя оператора. Данный приказ входит в перечень обязательных документов, которые должен издать оператор обработки ПД.

Основные функции, которые должно выполнять данное лицо, включают:

  • внутренний контроль за соблюдением работниками оператора законодательства о ПД;
  • информирование работников оператора о положениях законов и иных нормативных актов в сфере ПД;
  • обработка обращений и запросов субъектов ПД.

8. КАКИЕ ВНУТРЕННИЕ ЛОКАЛЬНЫЕ АКТЫ НЕОБХОДИМО ПРИНЯТЬ В КОМПАНИИ?

Перечень локальных нормативных актов по обработке ПД, предусмотренный Законом № 152-ФЗ, обозначен не чётко и не является закрытым. В качестве обязательного минимума предусмотрено издание следующих актов:

  • Политика в отношении обработки ПД;
  • Приказ о назначении лица, ответственного за обработку ПД;
  • Акт определения угроз безопасности ПД при обработке в информационных системах ПД;
  • Акт по процедурам, направленным на предотвращение и выявление нарушений законодательства, устранение последствий нарушений;
  • Правила доступа к ПД, обрабатываемым в информационной системе ПД.

Оператор обязан опубликовать политику в отношении обработки ПД или иным образом обеспечить неограниченный доступ к ней. А в случае, если сбор ПД осуществляется через Интернет, то политика должна быть размещена и сделана доступной в сети Интернет.

Политика в отношении обработки ПД должна быть опубликована на Интернет-сайте.

С политикой в отношении обработки ПД и иными локальными нормативными актами в данной сфере должны быть ознакомлены работники оператора, что должно быть зафиксировано письменно.

9. КАКИЕ СУЩЕСТВУЮТ ТРЕБОВАНИЯ К ОБРАБОТКЕ ПД?

Закон № 152-ФЗ предусматривает огромный массив организационных, правовых и технических правил, предписаний и запретов, соблюдать которые обязан каждый оператор при обработке ПД. При этом на основании Закона № 152-ФЗ приняты подзаконные нормативные правовые акты, в первую очередь акты Правительства РФ, детально регламентирующие тот или иной процесс или процедуру.

Основные предусмотренные Законом № 152-ФЗ обязанности включают:

  • соблюдение принципов обработки ПД: принципов справедливости и законности;
  • соблюдение целей обработки ПД:
  • - осуществление обработки ПД только для достижения конкретных, заранее определённых и законных целей;

    - запрет обработки ПД, несовместимой с целями сбора ПД;

    - осуществление обработки только тех ПД, с тем содержанием и в том объёме, которые отвечают целям обработки ПД, запрет обработки избыточных ПД;

    - запрет объединения разных баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;

    - хранение необезличенных ПД не дольше, чем этого требуют цели обработки ПД, удаление или обезличивание ПД после достижения целей их обработки или утраты необходимости достижения этих целей в течение 30 дней с даты достижения цели;

    - прекращение обработки ПД и в случае, если это не противоречит целям обработки;

  • обеспечение точности, достаточности, актуальности ПД путём принятия мер по удалению или уточнению неполных или неточных ПД;
  • соблюдение конфиденциальности ПД (запрет передавать и распространять ПД без согласия субъекта ПД);
  • локализация в России баз данных, содержащих ПД, при сборе ПД, в том числе посредством сети Интернет;
  • ограничения трансграничной передачи ПД на территории стран, не обеспечивающих адекватную защиту прав субъектов ПД;
  • информирование субъекта ПД и взаимодействие с ним:
  • - информирование субъекта об обработке его ПД в течение 30 дней с даты запроса;

    - по требованию субъекта ПД уточнение или уничтожение ПД, являющихся неполными, устаревшими, неточными, незаконно полученными или не являющимися необходимыми для заявленной цели обработки в течение 7 рабочих дней с даты соответствующего запроса, блокирование таких данных на период проверки с момента получения запроса;

    - уничтожение ПД в течение 30 дней с даты отзыва согласия на обработку субъектом ПД;

    - прекращение использования ПД в целях продвижения товаров, работ, услуг путём прямых контактов по требованию субъекта ПД;

    - информирование субъекта ПД о последствиях отказа предоставить ПД, если предоставление ПД является обязательным в соответствии с законом;

    - информирование субъекта ПД о получении его ПД от третьего лица с раскрытием информации об этом лице;

  • блокирование ПД при выявлении случаев неправомерности обработки в течение 3 рабочих дней на срок 6 месяцев с момента возникновения обязанности по уничтожению;
  • прекращение обработки или уничтожение ПД при выявлении случаев неправомерности обработки в течение 10 рабочих дней с даты выявления неправомерности обработки, при условии что правомерность обработки их невозможно обеспечить;
  • запрет без согласия субъекта ПД в письменной форме принимать решения, порождающие юридические последствия, на основании исключительно автоматизированной обработки;
  • внутриорганизационные меры:
  • - осуществление внутреннего контроля (аудита) обработки ПД;

    - оценка вреда от нарушения принципов и правил обработки ПД;

    - организация специального обучения работников, непосредственно осуществляющих обработку ПД;

  • осуществление комплекса организационных и технических мер по защите ПД, предусмотренных ст. 19 Закона № 152-ФЗ и принятых на основании данной статьи актов Правительства РФ.

10. ЗА КАКИЕ НАРУШЕНИЯ В СФЕРЕ ПД КОМПАНИЯ БУДЕТ ОШТРАФОВАНА?

С 1 июля 2017 года ответственность за нарушения в сфере ПД была существенно ужесточена. В ст. 13.11 КоАП РФ были внесены значительные изменения: вместо одного общего состава правонарушения, были определён целый ряд различных составов, при этом максимально возможный размер штрафа за правонарушения в сфере обработки ПД возрос в 7,5 раз – до 75 000 рублей.

В настоящее время операторы могут быть привлечены к ответственности за следующие правонарушения:

  • за неуведомление Роскомнадзора об обработке ПД;
  • за незаконную обработку ПД;
  • за обработку ПД без письменного согласия;
  • за неопубликование политики в отношении обработки ПД;
  • за невыполнение обязанности по предоставлению информации по обработке ПД конкретного лица;
  • за невыполнение требования лица об изменении или уничтожении его ПД;
  • за нарушение условий сохранности ПД;
  • за невыполнение обязанности по обезличиванию ПД.

Поскольку привлечение к ответственности за каждый состав осуществляется отдельно, суммарный размер штрафа по результатам проверки Роскомнадзора может быть значительным.

Более подробную информацию о размерах штрафов см. в нашем информационном бюллетене от 30.06.2017.


Все информационные материалы Мозго и партнеры на нашем сайте и странице в LinkedIn.

Настоящий материал не является юридической консультацией, подготовлен исключительно в ознакомительных и информационных целях. «Mosgo & Partners» не несет ответственности за возможные последствия использования содержащихся в настоящем материале сведений без обращения к профессиональным консультантам.


© Mosgo & Partners. Москва, 2018.



Назад к списку новостей