Объявляю вас оператором персональных данных

Общее содержание

В целом уведомление РКН о проводимой обработке персональных данных и их сборе, не отличается сложным форматом, но должно содержать информацию о том, какие именно сведения собираются, с какой целью, и что используется как для сбора, так и обработки данных.

Таким образом, при подаче соответствующего уведомления, следует указать следующую информацию:

Прочая информация в уведомлении о проведении обработки личных данных оговариваться в обязательном порядке не должна. Но если компания желает, или имеет основания для добавления, то она может это сделать.

“Письмо счастья” от Роскомнадзора

Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.

Уведомление Роскомнадзора о необходимости включения в реестр операторов персональных данных

В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма. 

РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.

Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.

В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства. 

За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.

*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2019 г. № 146).

Основные определения

В законопроекте были даны следующие определения:

• Большие данные – «совокупность неперсонифицированных данных, классифицируемая по групповым признакам, в том числе информационные и статистические сообщения, сведения о местоположении движимых и недвижимых объектов, количественные и качественные характеристики видов деятельности, поведенческие аспекты движимых и недвижимых объектов, полученных от различных владельцев данных либо из различных структурированных или неструктурированных источников данных, посредством сбора с использованием технологий, методов обработки данных, технических средств, обеспечивающих объединение указанной совокупности данных, ее повторное использование, систематическое обновление, форма представления которых не предполагает их отнесение к конкретному физическому лицу».

• Оператор больших данных – «государственный орган, муниципальный орган, юридическое или физическое лицо, саморегулируемая организация или иное общественное объединение, не являющееся юридическим лицом, индивидуальный предприниматель самостоятельно или совместно с другими лицами организующие или осуществляющие обработку больших данных, а также определяющие цели обработки больших данных, состав больших данных, подлежащих обработке, алгоритм действий, совершаемых с большими данными».

• Обработка больших данных – «действие (операции) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с большими данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использованием, передачу (распространение, предоставление, доступ), удаление, уничтожение, а также анализ обрабатываемых больших данных».

Согласно документу, правительство РФ должно будет установить права и обязанности операторов больших данных, принципы и правовые основания работы с большими данными. А создать реестр операторов больших данных и контролировать их оборот и обработку должен будет Роскомнадзор.

Напомним, что вопрос регулирования больших данных в последнее время поднимается все чаще. При обсуждении поправок к Конституции Наталья Касперская предложила передать в ведение государства информационные технологии и оборот данных граждан России. Владимир Путин выразил свое согласие с инициативой.

Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта  и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или  кукис, то в совокупности эта информация является персональными данными.

Фотографии и видеозаписи в контексте персональных данных 

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Профилирование и оценка личностных качеств

Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных

Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.

Как проверить, есть ли на портале сведения об организации?

Для того чтобы проверить, есть ли запись в реестре операторов, осуществляющих обработку ПДн персональных данных, необходимо выполнить следующие действия:

1. Зайти на портал персональных данных уполномоченного органа по защите прав субъектов персональных данных.
2. Заполнить поисковую форму и указать ИНН организации.
3. Если не знаете ИНН – произвести поиск по названию, при этом достаточно указать только оригинальную часть наименования, без спецсимволов и сокращений.
4. Подождать результат поиска.

Для быстрого поиска лучше избегать часто встречающихся слов в названиях, таких как: «Федеральный», «Общество», «Российский» и т.п.

Кто должен быть внесен в реестр?

Если компания или физическое лицо, а также государственный или муниципальный орган, проводят сбор, хранение или обработку личной информации, и являются оператором персональных данных, то наличие регистрации в реестре Роскомнадзора является обязательным условием для их деятельности.

Важно. В настоящее время позиция Роскомнадзора такова, что уведомление о регистрации нужно подавать практически всем юридическим лицам, так как во многих организациях ведётся кадровый учёт со сбором личных данных сотрудников, а зачастую и их близких родственников

Физические лица и ИП также должны быть внесены в реестр. Оказывая услуги или занимаясь продажей, многие предприниматели, как правило, предлагают заполнить анкеты с личными данными для получения бонусных карт или акционных рассылок. Интернет-порталы не являются исключением, если на них существует форма подписки или обратной связи, где нужно оставить свою персональную информацию. О защите персональных данных в интернете мы рассказывали тут.

Кому можно не регистрироваться?

Согласно п. 2 ст. 22 № 152-ФЗ, существует ряд условий, при котором оператор вправе осуществлять обработку без уведомления в Роскомнадзор. Исключением когда нет необходимости о регистрации в реестре является:

1. Публичность либо общедоступность сведений.
2. Трудовые отношения, относится только к тем сведениям, которые необходимы при составлении трудового и коллективного договора в рамках трудового законодательства.
3. Сбор информации, которая содержит в себе только фамилию, имя, отчество.
4. Получение данных для однократного использования.
5. Обработка информации только на бумажном носителе, без использования автоматизированных средств (компьютеров).
6. Оформление организацией потребительского договора, одной из сторон которого является сам субъект ПДн, при условии, что данные будут использоваться только для выполнения условий договора, и не будут распространены широкому кругу.
7. Приём сведений участников общественных объединений и религиозных общин, если данные не будут обнародованы без согласия в письменном виде лиц, чья информация собиралась.
8. Получение информации организациями, которые сотрудничают с транспортным комплексом для обеспечения безопасности в транспортной сфере.

Важно. Для уточнения, существует ли необходимость в регистрации, можно обратиться в компетентный территориальный орган за разъяснениями

Кто имеет на нее право?

Буква закона определяет «оператора» как любой орган власти, юридическое лицо любой формы собственности и даже физическое лицо, которые собирают и обрабатывают персональные данные граждан, имеют определенные цели этой деятельности и выбранный состав информации, необходимой для обработки (подробнее о том, что такое персональные данные и кто является их оператором, читайте тут).

Исключения законодатель оставил для использования персональных данных в личных и семейных целей, архивной работы, информации о деятельности судов и работы с гостайной. Кроме того, не подпадают под действие закона правовые отношения, наступающие в случаях, перечисленных в части 2 статьи 22 закона «О персональных данных». Все остальные лица и структуры регистрироваться в Роскомнадзоре обязаны.

Положение о порядке обработки персональных данных необходимо

Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

Апелляционное Определение Московского городского суда от 06.05.2014 № 33-15735/14

Кто такие операторы ПДн и чем они занимаются?

Справка. Оператор персональных данных (далее Оператор) – это физическое или юридическое лицо, которое занимается обработкой личной информации, полученной от действующих или потенциальных сотрудников или клиентов.

Форма собственности и род деятельности при этом никакого значения не имеют. То есть любой, кто запрашивает персональные данные, является оператором, начиная от сайтов с заполнением личных данных и заканчивая банками и другими учреждениями.

Персональные данные (ПДн) – любая информация, которая относится к физическому лицу, при помощи которой он может быть идентифицирован.

Кто такой оператор персональных данных

Закон под понятием оператора персональных данных понимает государственный орган или иное лицо, юридическое или физическое, которое:

• собирает или получает персональные данные граждан;
• определяет цели получения этой информации;
• самостоятельно определяет ее состав;
• вправе осуществлять с информацией какие-либо действия (обработку).

На практике к операторам относятся не только образовательные или медицинские учреждения, социальные сети, мобильные операторы, банки, которые получают персональные данные тысяч лиц, но иногда ими становятся и обычные компании, которые эти сведения получают в процессе заполнения анкеты для устройства на работу и копирования трудовой книжки. Закон ставит перед такими организациями задачу обеспечить сохранность этих сведений от утечек и иных угроз, возникающих в процессе обработки персональных данных.

При этом закон не уточняет, какие именно сведения относятся к персональным данным, предполагая, что это все категории информации, связанные с конкретным физическим лицом: от даты выдачи паспорта до номера автомобиля. Попадая в руки злоумышленников, такие данные могут помочь им обнаружить имущество конкретного лица, причинить вред ему или его семье, поэтому сведения подлежат строгой охране. При том, что на теневом рынке сбыта информации спрос на большие объемы персональных данных велик, степень их защиты и качество применяемых для этого информационных технологий должны быть максимально возможными для каждого конкретного оператора.

Кто такие операторы персональных данных и чем они занимаются

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Обязанности оператора при обработке персональных данных

Субъектам государственного и частного сектора, в чьи обязанности входит систематизация и оптимизация личностных сведений физических лиц, надлежит руководствоваться Федеральным законом № 152-ФЗ. Согласно ему, операторы обязаны:

1. Вести разъяснительные беседы с гражданами и доходчиво им объяснять, для чего ПД будут использованы.
2. Получать от физических лиц письменное согласие на обработку и использование личностных сведений.
3. Опубликовывать правила использования и обработки ПД отдельно взятым оператором.
4. Защищать личные сведения граждан от посягательств третьих лиц, а также запрещать использование и распространение информации другими субъектами.
5. Уничтожать ПД по заявлению владельца, если они были обработаны с нарушениями, по мнению гражданина.

Это лишь краткий перечень обязанностей тех, кто входит в реестр операторов, осуществляющих обработку персональных данных.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Что это за процедура?

Регистрация – это добровольное предоставление сведений физическим или юридическим лицом, которое планирует заниматься обработкой персональных данных. Те компании и учреждения, что вели подобную деятельность до выхода соответствующего закона, регистрируются по факту.

Закон отводит Роскомнадзору до месяца на рассмотрение информации, представленной в уведомлении оператора. Права на отказ у ведомства нет, но оно имеет право запросить дополнительные данные, если указанные в уведомлении покажутся сотрудникам неполными или недостоверными.

Если у зарегистрированного оператора происходит изменение каких-либо данных, опубликованных в реестре (получение новой или лишение лицензии, внесение изменений в устав и прочее), он обязан уведомить надзорный орган в течение 10 рабочих дней.

Камни преткновения

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Смотреть весь список

Свернуть

Перечень информации, предоставляемой из Единого реестра

Стадия
В случае принятия Уполномоченным органом решения о внесении в Реестр указателя страницы сайта
В случае принятия Уполномоченным органом решения о внесении в Реестр доменного имени

Включение в реестр
В реестр включается только конкретная страница сайта, без внесения доменного имени.
В реестр включается только доменное имя, без внесения конкретных страниц сайта.

Уведомление провайдеру хостинга
В уведомлении провайдеру хостинга указывается только конкретная страница сайта, доменное имя не указывается.
В уведомлении провайдеру хостинга указывается только доменное имя, конкретные страницы сайта не указываются.

Запрос информации через систему поиска на сайте (до включения в Реестр сетевого адреса)
При поиске по конкретной странице сайта предоставляется информация о решении, которым данная конкретная страница включена в Реестр.
При поиске по конкретной странице сайта, доменное имя которого включено в Реестр именно как доменное имя (пусть даже ни одна из конкретных страниц не включена в Реестр отдельно) – предоставляется информация о решении, которым в реестр включено доменное имя. При этом указывается, что решение принято в отношении именно доменного имени.

 
При запросе по доменному имени информация не предоставляется.
При поиске по доменному имени предоставляется информация о решении. При этом указывается, что решение принято в отношении именно доменного имени.

Запрос информации через систему поиска на сайте (после включения в Реестр сетевого адреса)
При поиске по конкретной странице сайта предоставляется информация о решении, которым данная конкретная страница включена в Реестр.
При поиске по конкретной странице сайта, доменное имя которого включено в Реестр именно как доменное имя (пусть даже ни одна из конкретных страниц не включена в Реестр отдельно) – предоставляется информация о решении, которым в реестр включено доменное имя. При этом указывается, что решение принято в отношении именно доменного имени.

 
При поиске по доменному имени или сетевому адресу запрос выполняется, при этом отображается столько строк с информацией о решениях уполномоченных органов, сколько страниц сайта (в данном домене) или с данным сетевым адресом включено в Реестр. При этом адреса конкретных страниц не отображаются. Для решений указывается, что они приняты в отношении конкретных страниц сайта.
При поиске по доменному имени или сетевому адресу запрос выполняется, при этом отображается столько строк с информацией о решениях уполномоченных органов, сколькими в Реестр были внесены конкретные страницы сайта (в данном домене), конкретное доменное имя или сетевой адрес, позволяющий идентифицировать сайт. При этом адреса конкретных страниц не предоставляются.

Вывод

Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет. Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас.

Обязательно прочитайте материал о том, как Роскомнадзор будет применять законодательство о персональных данных в 2021 году

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

Поделитесь в соцсетях

Заключение

1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
3. Назначить ответственных.
4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
6. Ознакомить всех причастных сотрудников с разработанной документацией.
7. Заполнить журналы.
8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Похожие записи:

Рациональное мышление Lookalike аудитории, как важный инструмент таргетинга в facebook Закон рф о средствах массовой информации Ангел лист (angellist ru) отзывы — мошенники !!! жулики !!! Как создать логотип магазина одежды: рекомендации и советы Pantone — подбор цветов online!