С 1 марта 2021 года ужесточились правила, обеспечивающие защиту персональных данных граждан. Третьи лица больше не могут бесконтрольно использовать персональные данные граждан и в случае использования этих данных, Роскомнадзор намерен строго спрашивать с предпринимателей правила работы с персональными данными. На сайте ведомства  https://rkn.gov.ru  есть план проверок на текущий год. Увеличиваются и штрафы за нарушение работы с персональными данными. Поэтому  каждый, кто в той или иной мере работает с персональными данными  обязан выполнять требования закона.

На самом деле все не так страшно. Просто надо разобраться в основных понятиях, которые регулирует закон, усвоить, что теперь нужно иметь не только согласие на обработку персональных данных, но и разрешение на распространение персональных данных. Подготовить ряд необходимых локальных нормативных актов и продолжать свою основную деятельность в рамках закона. 

– Что такое персональные данные?

Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе. Чаще всего это:

• ФИО (вместе и по отдельности);
• дата рождения;
• адрес;
• телефон;
• email;
• фотография;
• ссылка на профиль в соцсетях;
• список заказанных товаров или услуг;
• сookies;
• данные о местоположении;
• IP-адрес.

–  Кто является оператором персональных данных?

Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).

Например, работодатель как правило, является оператором персональных данных (ПД) своих работников. Поэтому он обязан, в частности, сообщить в Роскомнадзор об обработке ПД, принять локальные акты, регулирующие работу с ПД в компании, своевременно уничтожить носители ПД при достижении цели их обработки. Неисполнение подобных обязанностей может обернуться штрафами от Роскомнадзора, которые проверяющие выписывают по результатам плановых или внеплановых проверок.

Однако, следует учесть, что если работодатель обрабатывает ПД исключительно в соответствии с трудовым законодательством, то в такой ситуации обязанности направлять уведомление об обработке ПД в органы Роскомнадзора нет. Причем неважно, каким способом обрабатываются ПД: вручную, на компьютере или смешанно. Важно, что работодатель обрабатывает только ПД работников в целях обеспечения соблюдения трудового законодательства. Например, для оформления трудового договора с новым работником, издания приказа о награждении сотрудника, ведения табеля учета рабочего времени, составления расчетных листков.

В случае, если например, работодатель собирается сделать в банке зарплатный проект или оформить работникам добровольные медицинские страховки, подобные отношения не являются трудовыми, ПД будут передаваться третьим лицам. Поэтому полагаю, что за несколько дней до того, как будут поданы сведения о работниках в банк для открытия зарплатного проекта, следует направить в Роскомнадзор уведомление по утвержденной форме.

Так же, при размещении на собственном сайте, например, фото работников или иных персональных данных, данные действия не попадают в категорию трудовых отношений, организации или индивидуальному предпринимателю необходимо руководствоваться общими правилами обработки ПД, установленными Федеральным законом N 152-ФЗ: размещение какой-либо информации работодателем о работнике на интернет-сайте возможно только с согласия работника и заблаговременно уведомить Роскомнадзор о намерении осуществлять обработку персональных данных в порядке, предусмотренном ст. 22 Федерального закона N 152-ФЗ.

– Требуется ли регистрация в реестре операторов персональных  данных?

Внесение оператора в реестр операторов персональных данных Роскомнадзора осуществляется в уведомительном порядке, процедуры прохождения регистрации нет.

– Что делать операторам персональных данных?

До начала обработки персональных данных оператор обязан направить уведомление в Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ).  Уведомление представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор (абз. 2 п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228). Уведомление рекомендуется направлять в территориальный орган Роскомнадзора – управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе.

Контактная информация территориальных органов (включая адреса их сайтов) приведена на сайте www.rkn.gov.ru. На сайтах территориальных органов может быть размещена информация о конкретном адресе, по которому следует направлять уведомление.

Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре (ТО Роскомнадзора). Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления.

– Какие документы о порядке обработки персональных данных должны быть в организации/у индивидуального предпринимателя

• Положение о персональных данных (или иной локальный нормативный акт). В таком документе описывают все действия, связанные с обработкой персональных данных (их хранение, использование и так далее) (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
• Политика в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Требования к составлению этого документа содержат Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, изданные Роскомнадзором. Такой документ должен включать в себя, в частности, сведения о цели сбора персональных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых данных, порядке и условиях их обработки.
• Согласия на обработку и распространение ПД

– Как изменится работа бизнеса?

• работа с ПД должна осуществляться в рамках Федерального закона и на основании согласий граждан на обработку и распростанение их ПД
• на сайте у каждой формы регистрации лучше поставить кнопку, что пользователь дает согласие на обработку персональных данных.
• разместите на ресурсе политику конфиденциальности. Ссылку на документ поставьте около каждой формы обратной связи и кнопок регистрации. Единого образца для этой формы нет. Пока это делается в свободном виде.
• закон требует назначить сотрудника, который отвечает за то, как в компании собираются и хранятся персональные данные. Назначение оформляют с помощью приказа.

– Какие риски возможны при нарушении требований к обработке персональных данных работников организации?

Административная ответственность:

– по ч. 1, 2 ст. 5.27 КоАП РФ – за несоблюдение требований к обработке персональных данных работников, которые установлены Трудовым кодексом РФ. (до 50-ти тысяч рублей, при повторном нарушении до 70 тысяч рублей)

Например, вас могут привлечь к ответственности по этой статье, если вы не знакомите работников под подпись с локальными нормативными актами, которые устанавливают порядок обработки персональных данных работников (например, с положением о персональных данных);

– по ст. 13.11 КоАП РФ – за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных. (до 60-ти тысяч рублей)

Например, если не опубликовали или другим способом не обеспечили свободный доступ к документу, который определяет в вашей организации политику в отношении обработки персональных данных, вас могут оштрафовать по ч. 3 ст. 13.11 КоАП РФ.

Уголовная ответственность по ч. 2 ст. 137 УК РФ – если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.

Выводы и предложения

 в рамках требований Федерального закона «О персональных данных» № 153-ФЗ от 26 июля 2006 года.

Ужесточение правил, обеспечивающих защиту персональных данных граждан с вступлением в силу с 01 июля 2021 года изменений Федерального закона «О персональных данных» № 153-ФЗ от 26 июля 2006 года, обязывает каждого предпринимателя и руководителя организации пересмотреть свои действия в области обработки персональных данных своих сотрудников, а так же информации, размещаемой на собственных сайтах.  

Локальные нормативные акты, регламентирующие понятия персональных данных и политику в отношении их обработки должны быть у каждого оператора. Данная обязанность установлена п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ).

ООО «Ростов-Аудит» оказывает услуги по разработке Положения о персональных данных, Политики в отношении обработки персональных данных, бланка Согласия на обработку и распространение ПД, оказывает комплексное абонентское обслуживание  в целях обеспечения требований Закона N 152-Ф на основании Рекомендаций, выпущенных Роскомнадзором.

Кроме того, по информации Роскомнадзора, на официальном сайте Роскомнадзора запущен сервис для операторов персональных данных, который позволит сформировать шаблон формы Согласия на обработку ПД, разрешенных субъектом для распространения.  Для операторов вступают в силу обязательные требования к форме согласия на обработку ПД, разрешенных для распространения. Разработанный Роскомнадзором сервис позволит операторам ПД сформировать шаблон Согласия, который будет соответствовать требованиям, а также учитывать специфику деятельности конкретного оператора. При помощи сервиса в формате конструктора оператору будет достаточно заполнить необходимые поля, после чего шаблон будет рассмотрен специалистами Роскомнадзора, и при необходимости оператору будут даны рекомендации по его доработке. В дальнейшем оператор сможет использовать сформированную форму Согласия в своей работе.