01.09.2022 из Закона о персональных данных исключили большинство случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные. В результате указанных изменений большинство компаний теперь обязаны предпринимать широкий перечень мер, направленных на защиту персональных данных.
Рассматривая вопрос защиты персональных данных следует начать с вопроса их обработки. Так, обработкой персональных данных считаются любые действия или операции, которые вы проводите с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.
Таким образом, даже если вы, например, всего лишь получаете паспортные данные своих клиентов или создали базу данных их телефонных номеров, вы обрабатываете персональные данные и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке персональных данных. Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, принимать меры по защите персональных данных.
Вы можете обрабатывать данные с использованием или без использования средств автоматизации (п. 3 ст. 3 Закона о персональных данных).
Автоматизированной считается обработка данных с помощью средств вычислительной техники. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются при непосредственном участии человека (п. 4 ст. 3 Закона о персональных данных, п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687).
Обратите внимание, что оператор обязан использовать базы данных, находящиеся в России, для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если у вас не предусмотрены способы определения гражданства (например, нет поля "гражданство" в форме регистрации), то рекомендуем использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.
Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам ст. 12 Закона о персональных данных.
Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона о персональных данных). То есть все ваши действия с персональными данными должны быть связаны с той целью, с которой вы их получили.
За обработку персональных данных, не совместимую с целями их сбора, вас могут привлечь к ответственности.
Цель должна быть:
1)законной;
2)заранее определенной. Еще до начала обработки вы должны определиться с целью, которую вы преследуете, и довести ее до гражданина, чьи данные получаете. Для этого укажите цель в согласии на обработку персональных данных. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных (Рекомендации Роскомнадзора). Лучше, если цель обработки будет соответствовать той деятельности, которую вы фактически осуществляете и которая предусмотрена вашими учредительными документами;
3)конкретной. Чтобы у контролирующих органов не было повода придраться к вам, рекомендуем не использовать абстрактные формулировки, а указать цель максимально конкретно. Например, если вы хотите повысить продажи путем СМС-рассылки, в качестве цели должно быть указано не "повышение продаж", а "осуществление рекламной СМС-рассылки".
Чтобы обработка данных была целевой, удостоверьтесь в том, что (ч. 3 - 7 ст. 5 Закона о персональных данных):
1)содержание и объем данных соответствуют целям их обработки, то есть вы не обрабатываете избыточные данные. Избыточным может быть признано получение данных, никак не связанных с оказываемыми услугами. Например, если салон красоты просит клиентов сообщить их имущественное положение или образование;
2)у вас созданы раздельные базы для персональных данных, обработка которых осуществляется в целях, не совместимых между собой. В частности, рекомендуем иметь раздельные базы для сотрудников и клиентов;
3)вы обеспечиваете точность и достаточность, а при необходимости и актуальность данных по отношению к целям их обработки. Например, время от времени актуализируете базу телефонных номеров клиентов, обновляете полученные ранее копии документов. В противном случае вы рискуете нарушить закон. Например, это произойдет, если сменился владелец телефонного номера, а вы продолжаете отправлять на него рекламные сообщения, хотя новый владелец своего согласия на это не давал.
Также вы должны обеспечить удаление или уточнение неполных или неточных данных;
4)вы уничтожаете либо обезличиваете данные, если цели обработки достигнуты или утрачена необходимость в их достижении (если законом не предусмотрено иное). В частности, не рекомендуем хранить документы, содержащие персональные данные, дольше, чем это необходимо в целях бухгалтерского и налогового учета.
У оператора при сборе персональных данных возникают следующие основные обязанности (ч. 1, 2 ст. 18 Закона о персональных данных):
1)предоставить информацию гражданину, если он об этом просит. Речь идет о сведениях, указанных в ч. 7 ст. 14 Закона о персональных данных. В частности, вы должны сообщить, кто, на каком основании, с какой целью и какими способами будет обрабатывать его данные;
2)разъяснить последствия отказа предоставить данные, если их предоставление является обязательным в соответствии с федеральным законом. Например, если при покупке SIM-карты гражданин отказывается предоставить свои паспортные данные, то последствие, как правило, выражается в отказе предоставить услугу. Факт разъяснения рекомендуем оформить документально, например, получить с гражданина расписку о том, что он его получил.
Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в п. п 7-11 ч. 1 ст. 6 Закона о персональных данных. В частности, согласие не нужно, если обработка необходима:
1)для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у вас помещение, и вы указываете в договоре его паспортные данные;
2)исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является гражданин. Например, если вы запрашиваете адрес гражданина для доставки ему товара;
3)осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если вы получаете у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Разъяснения Минкомсвязи России);
4)осуществления прав и законных интересов (ваших или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если вы в целях обеспечения безопасности записываете Ф.И.О. и паспортные данные посетителей.
В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона о персональных данных). Например, придется получить согласие, если вы собираете данные граждан для маркетингового исследования или уступаете требование к должнику - физическому лицу.
Также, в рамках действующего законодательства необходимо разработать перечень локальных актов.
Для защиты персональных данных работников создайте комплект следующих основных документов:
1)приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных).
Ответственного за обработку персональных данных назначьте приказом. Им может быть любой работник вашей организации, например, специалист отдела по управлению персоналом. Главное, чтобы он смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.
Например, он должен доводить до сведения работников положения законодательства о персональных данных, а также ваших локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных);
2)положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);
3)приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.
Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных.
Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета персональных данных, их выдачи и передачи другим лицам, представителям сторонних организаций и государственным органам.
Если речь идет о защите информации ограниченного доступа, не составляющей гостайну, объекты информатизации (например, государственные информационные системы персональных данных) подлежат аттестации на соответствие требованиям по защите такой информации. Состав и содержание работ по аттестации, а также требования к форме и содержанию разрабатываемых при организации и проведении таких работ документов определены Порядком, утвержденным Приказом ФСТЭК России от 29.04.2021 N 77.
В случае хранения персональных данных в электронном виде, перечень мер по их защите существенно отличается.
Организовать защиту персональных данных, которые хранятся в информационных системах, непросто. Основное требование закона - вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).
Но есть множество уточнений, с которыми сложно разобраться неспециалисту. Вы можете удостовериться в этом, изучив организационные и технические меры, которые утверждены Приказом ФСТЭК России от 18.02.2013 N 21 и Приказом ФСБ России от 10.07.2014 N 378.
Поэтому, как правило, привлекают специализированную организацию или ИП, у которых есть лицензия на деятельность по технической защите конфиденциальной информации (п. 2 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных).
В частности, для защиты персональных данных потребуется:
1)определить, какой у вас тип угрозы безопасности персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах) (в моем понимании, если у вас отсутствует специальное образование, определить уровень угрозы не представляется возможным) (Меры обеспечения безопасности персональных данных в приложении к настоящей инструкции)
2)подобрать один из четырех уровней защищенности персональных данных, исходя из вашего типа угрозы, в соответствии с п. п. 8 - 16 Требований к защите персональных данных при их обработке в информационных системах.
Именно от этого и будет зависеть комплекс мер.
Например, если по итогам определения типа угрозы специалист предложит вам обеспечить минимальный (четвертый) уровень защищенности персональных данных работников, вам потребуется (п. 13 Требований к защите персональных данных при их обработке в информационных системах):
- обезопасить помещения, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа;
- обеспечить сохранность носителей персональных данных;
- утвердить перечень лиц, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе;
- защитить информацию с помощью средств, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз).
Чернышев Е.А.,
юрист ООО «Юридический центр «Лидер»