Цель обработки персональных данных что писать

Цель обработки персональных данных что писать

РЕКОМЕНДАЦИИ ПО ЗАПОЛНЕНИЮ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ (О НАМЕРЕНИИ ОСУЩЕСТВЛЯТЬ ОБРАБОТКУ) ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление).

2. Уведомление оформляется на бланке Оператора (по форме, прилагаемой к настоящим Рекомендациям), осуществляющего обработку персональных данных (далее — Оператор), и направляется в территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — территориальный орган Роскомнадзора).

3. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

4. В поле «наименование (фамилия, имя, отчество), адрес Оператора» указывается:

4.1. Для юридических лиц (Операторов):

полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;

наименование филиала(ов) (представительства(в) юридического лица (Оператора), осуществляющего обработку персональных данных <*>;

Приказ ФНС России от 13.10.2006 N САЭ-3-04/706@ утратил силу в связи с изданием Приказа ФНС РФ от 17.11.2010 N ММВ-7-3/611@, утвердившего новый Справочник «Коды регионов».

<*> Для юридических лиц с филиальной структурой указывается список субъектов Российской Федерации (с указанием кода субъекта — согласно справочнику «Коды регионов», утвержденному Приказом ФНС России от 13.10.2006 N САЭ-3-04/706@ «Об утверждении формы сведений о доходах физических лиц» (зарегистрированным Министерством юстиции Российской Федерации 17.11.2000, регистрационный номер 8507), на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка персональных данных. Уведомление направляется юридическим лицом в соответствующее территориальное управление Роскомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств).

<*> Указывается место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес юридического лица, контактная информация.

Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и почтовый адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом необходимо уточнить — обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).

индивидуальный номер налогоплательщика (ИНН).

4.2. Для физических лиц:

фамилия, имя, отчество физического лица (Оператора);

<*> Указывается место нахождения физического лица в соответствии со свидетельством о постановке на учет физического лица в налоговом органе, почтовый адрес физического лица, контактная информация.

данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;

индивидуальный номер налогоплательщика (ИНН).

4.3. Для государственных, муниципальных органов (Операторов):

полное и сокращенное наименование государственного, муниципального органа;

наименование территориального(ых) органа(ов), осуществляющего(их) обработку персональных данных;

<*> Указывается место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес государственного, муниципального органа, контактная информация.

индивидуальный номер налогоплательщика (ИНН).

При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

5. В поле «цель обработки персональных данных» указываются цели обработки персональных данных (а также их соответствие полномочиям Оператора) (Примечание N 1).

Примечание N 1. Под «целью обработки персональных данных» понимаются как цели, указанные в учредительных документах Оператора, так и цели фактически осуществляемой Оператором деятельности по обработке персональных данных.

6. В поле «категории персональных данных» указываются все категории персональных данных, подлежащих обработке:

6.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).

6.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояния здоровья, интимной жизни).

6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

7. В поле «категории субъектов, персональные данные которых обрабатываются» указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).

8. В поле «правовое основание обработки персональных данных» указываются:

Федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (Примечание N 2);

Примечание N 2. Указываются не только соответствующие статьи Федерального закона «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 — 90 Трудового кодекса Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, ст. 12 Федерального закона «Об актах гражданского состояния» и др.).

Номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных (Примечание N 3).

Примечание N 3. Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии и (или) соответствующего пункта лицензионных условий.

9. В поле «перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» указываются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

— неавтоматизированная обработка персональных данных;

— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

— смешанная обработка персональных данных (Примечание N 4).

Примечание N 4. При автоматизированной обработке персональных данных либо смешанной обработке необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.

10. В поле «описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», указываются:

а) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

б) фамилия, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

в) класс информационной системы персональных данных Оператора (пункт 14 Приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»);

г) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

В случае использования Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:

а) наименование, регистрационные номера и производителей используемых криптографических средств;

б) уровень криптографической защиты персональных данных;

в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;

г) уровень защиты от несанкционированного доступа.

Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. N 149/5-144.

11. В поле «сведения о наличии или об отсутствии трансграничной передачи персональных данных» указываются сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

12. В поле «сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

13. В поле «дата начала обработки персональных данных» указывается конкретная дата (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (фактическая дата начала обработки персональных данных).

14. В поле «срок или условие прекращения обработки персональных данных» указывается конкретная дата (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Время публикации: 03.04.2014 10:49
Последнее изменение: 03.04.2014 10:53

Юридические тонкости работы с персональными данными

15.11.2020

Сложность: новичок

25 мин.

7 912

Эта статья будет актуальна для многих – ведь большинство владельцев сайтов и лендингов обрабатывают персональные данные, собирая контакты в формах захвата, не зная о тонкостях обновленного Закона «О персональных данных». Сегодня о нем и поговорим.

Федеральный Закон «О персональных данных»

Федеральный закон «О персональных данных» (далее – ФЗ) обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту конституционных прав на неприкосновенность частной жизни, личную и семейную тайну. Основные положения Закона подробно можно прочитать тут .

Дадим определение персональным данным, согласно ФЗ:

«Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека».

Какая информация относится к персональным данным:

1. ФИО;
2. место прописки и проживания;
3. паспортные данные;
4. образование;
5. ИНН;
6. контактные данные;
7. сведения о работе;
8. размер доходов и т.д.

Но персональные данные – не только то, что характеризуют человека, но и данные, которые могут быть использованы для идентификации: динамический IP адрес, cookie-файлы пользователя плюс информация от провайдера.

Есть и исключения: согласно Роскомнадзору телефон, ФИО без привязки к другим данным не являются ПД, т.к. только по номеру или только по имени человека идентифицировать невозможно.

Выделяют также и специальные персональные данные:

• расовая, национальная принадлежность;
• политические взгляды;
• религиозные и философские убеждения;
• состояние здоровья,
• интимная жизнь.

Их обработка допускается, только если пользователь дал согласие на обработку именно этих ПД.

В понятие «обработка персональный данных» входит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение информации.

Обработка может вестись как при помощи технических средств (компьютера), так и сугубо на бумажных носителях;

Цели обработки персональных данных

Цели обработки должны быть конкретными, определенными заранее и законными.

Обработка ПД, несовместимая с целями сбора персональных данных, не допускается.

Цели обработки прописываются в документе «Политика обработки ПД», доступном для всех посетителей сайта.

Обработка ПД должна вестись только с согласия пользователя. Письменное разрешение не обязательно, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Инструменты сбора персональных данных на сайте

Форма обратной связи:

Форма захвата email в обмен на бонус:

Форма регистрации и создания личного кабинета:

Анкета для участия в программе лояльности:

Страница чек-аута при оформлении заказа:

Регистрация через социальные сети:

Cookie-файлы, Google Analytics, Яндекс.Метрика :

Наказание за нарушение закона о персональных данных

Закон о персональных данных распространяется на операторов ПД.

Оператор ПД — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Вы считаетесь оператором, если у вас есть:

• форма обратной связи;
• личный кабинет пользователя;
• форма заказа обратного звонка;
• форма заявки;
• форма подписки на email-рассылку;
• Яндекс.Метрика или Google Analytics.

Обработка ПД, если она выходит за рамки целей, для которых эти ПД собирались грозит штрафами:

• штраф для физических лиц в размере от 1000 до 3000 рублей,
• для юридических лиц — от 30000 тысяч до 50000 рублей.

Обработка ПД без активного согласия человека чревата:

• штраф для граждан в размере от 3000 до 5000 рублей
• для юридических лиц — от 15000 до 75000 рублей.

Неосторожность, которая повлекла неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД:

• штраф для граждан в размере от 700 до 2000 рублей;
• для ИП — от 10000 до 20000 рублей;
• для юридических лиц — от 25000 до 50000 рублей.

Чек-лист проверки вашего сайта на соответствие ФЗ

1. Хостинг и базы данных на территории РФ;

2. Активное согласие на обработку пд под каждой формой захвата:

• разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных».
• в тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных.
• текст самого документа можно разместить на отдельной странице.

3. Какая информация должна содержаться в Политике обработки ПД:

• наименование или ФИО и адрес оператора, запрашивающего ПД;
• цель обработки ПД;
• перечень ПД, согласие на обработку которых дает пользователь;
• наименование или ФИО и адрес лица, которому поручена обработка ПД, если такое лицо имеется;
• перечень действий с ПД, на которые дается согласие;
• сроки, в течение которых действует согласие;
• как ПД могут быть отозваны пользователем;

Конструктор сайтов Тильда написал очень удобный шаблон политики конфиденциальности, вы можете составить свой документ по этому шаблону.

Помимо этого, всем новым пользователям сайта нужно показывать предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении).

Регистрация в реестре операторов Роскомнадзора

Владельцем сайтов следует подать уведомление, чтобы внести свою организацию в реестр операторов персональных данных Роскомнадзора.

Вам не нужно регистрироваться в реестре, если вы:

• обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта);
• обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам;
• обрабатываете персональные данные только на бумажных носителях.

Роскомнадзор выдвигает особые требования для юридических лиц. Они обязаны:

• назначить ответственных лиц и разработать пакет внутренних документов по обработке и защите ПД;
• регулировать отношений с физическими лицами, государственными органами и контрагентами;
• защищать ПД (антивирусы, средства межсетевого экранирования, разграничение прав доступа и др.);

Полный список документов, устраивающий Роскомнадзор тут .

Чтобы отрегулировать отношения с физлицами, контрагентами и другими заинтересованными сторонами, необходимо:

1. С сотрудниками: подписать соглашение о неразглашении ПД, согласие на обработку ПД и под роспись ознакомить со внутренними документами по ПД;
2. С другими физлицами: подписать согласие на обработку ПД или добавить пункты об обработке ПД в рабочие договоры; отвечать на запросы физлиц по обработке их ПД;
3. С клиентами: заключать поручения на обработку ПД, при передаче данных 3-им сторонам;

Суммируем:

• Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
• Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
• Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

Чтобы соблюдать 152-ФЗ, как минимум, надо:

• зарегистрироваться как оператор ПД,
• составить политику обработки ПД и согласие на обработку персональных данных,
• повесить на сайт уведомление о сборе метаданных;

Авторы, когда претендуете на экспертность, внимательнее источники изучайте. Вы не включили в чек-лист как раз те пункты, которые будет проверять Роскомнадзор:
1. Ссылка на текст Политики Конфиденциальности должна присутствовать на каждой (!) странице сайта.
2. Под каждой формой обратной связи, если она предполагает сбор ПДн (а два и более поля — это уже сбор ПДн) должна присутствовать ссылка на Соглашение на обработку персональных данных. При этом, что важно, Соглашение и Политика Конфиденциальности не являются взаимозаменяемыми документами, как пытаются убедить авторы сия очерка!
3. Пользователь должен САМ дать согласие на обработку ПДн. Это значит, что поле, где ставится галка, должно быть пустым, пока на него не нажмёт человек, заполняющий форму. В противном случае сайт сразу попадает под нарушение ФЗ-152, в частности под незаконный сбор данных и мошенничество. Этот важный нюанс был зафиксирован в законе ещё в 2017 году, почему авторы «экспертной статьи» его не знают в 2020 — загадка! )))
А теперь ещё одна моя любимая часть из увиденного — иллюстрации. Сначала я подумала, что сейчас нам на примере картинок в тексте расскажут, что так делать не надо, А там чек-лист. Но вишенка на торте — ТАДАМ! — форма комментария, которую я сейчас заполнила.
Господа-писари, если вам лень изучить историю вопроса и источники, не беритесь за написание экспертных статей! Стыдоба!

Людмила, спасибо за дополнение и критику, она помогает делать наши материалы лучше! Мы не претендуем на истину в последней инстанции в статьях, а лишь делимся своей практикой.
Ответим по пунктам:
1. Именно поэтому стоит добавлять ссылку на политику в футер сайта, который по умолчанию доступен на каждой странице сайта.
2. Именно это и написано в статье, не видим противоречий. Если хотите дополнить – welcome!
3. Об этом написано в чек-листе, чтобы не осталось вопросов, дополним его словом «активное» и напишем «активное согласие».
Чек-лист мы даем в текстовом формате, изображения – это реальные примеры, как сейчас собираются персональные данные на различных сайтах, не факт, что идеальные.
Что не так с формой комментария, дайте более развернутый фидбек! Спасибо!

В форме комментария нет чекбокса с согласием на обработку ПДн и ссылки на политику конфиденциальности, хотя почту просите указать

>Пользователь должен САМ дать согласие на обработку ПДн.
>Это значит, что поле, где ставится галка, должно быть пустым, пока на него не нажмёт человек, заполняющий форму.
Где ж в законе хоть какое-то упоминание про какую-нибудь галку?! Вы о чём?
Человек нажимает на кнопку отправки формы обратной связи, и это как раз и является активным согласием на обработку персональных данных. Равно как и ввел свои персональные данные посетитель в форму обратной связи вполне осознанно.
Поэтому текст «Нажимая на кнопку…» минимально достаточное условие. Нет никакой обоснованной необходимости усложнять посетителям использование сайта.

По этому вопросу даются пояснения на сайте Роскомнадзора: «Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме» https://rkn.gov.ru/news/rsoc/news51712.htm.
Кстати, крайне рекомендуем статью от Контура по всем важным апдейтам в закон от 1 марта 2021 года https://kontur.ru/articles/4816

Спасибо. Как раз запускаем первый раз проект со сбором данных клиентов. Мало того, что нужно разобраться с тем как это сделать, понять и прописать путь клиента, оптимизировать количество вопросов, нужно еще и соломку постелить в вопросе законодательства. Спасибо за статью. Есть с чем поработать)))

Здравствуйте! А если хостинг и БД не на территории РФ, а контент на русском языке, на что обратить внимание в подобном случае?

Наталья, добрый день. Отличный вопрос! Если объяснять простым языком, то вам нужно будет соблюдать законодательство страны, где размещен ваш хостинг и БД + учитывать законодательство РФ в части обработки данных граждан РФ, рекомендую ознакомиться с этим материалом https://habr.com/ru/post/293568/, т.к. имеет значение, какие именно данные вы собираете, обрабатываете и храните.

Скажите пожалуйста, у нас
1) фирма зарегистрирована в Турции
2) а рекламируем мы сайт (директ, рся…) на аудиторию РФ
3) потом при заказе сами привозим клиентам продукт
4) домен и хостинг в Украине
В таком случае нам нужно на форме захвата на нашем лендинге показывать «согласие на обработку своих персональных данных» с птичкой как у всех, или же в нашем случае не обязательно?

И если мы еще и на Украину рекламируемся и продаем нужно ли делать на форме захвата » согласие на обработку своих персональных данных» т.к. домен и хостинг в Украине?

Владельцам сайтов: изменения в законе
о персональных данных

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

• Email
• Телефон
• Имя, фамилия, отчество (и по отдельности)
• Адрес
• Дата рождения
• Фотография
• Ссылка на персональный сайт и профиль в соцсетях

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Уведомление об обработке персональных данных в Роскомнадзор

Персональные данные – личные сведения о физических лицах, которые могут быть получены в самых разных ситуациях. Эта информация находится под защитой закона, поэтому те, кто имеет к ней доступ, должны подавать уведомление об обработке персональных данных в Роскомнадзор.

До сентября 2022 года работодатели подпадали под исключение, то есть могли собирать, хранить и обрабатывать персональные данные своих работников без подачи такого уведомления. Но сейчас это исключение не действует, поэтому круг операторов ПД существенно увеличился.

Если вы никогда не подавали уведомление об обработке данных, но при этом нанимаете работников, или раньше указывали в уведомлении другие цели (кроме кадровых), стоит разобраться в этом вопросе. Ведь за нарушения при обработке ПД грозят немалые штрафы.

Какие данные относятся к персональным

Основной нормативный акт, который регулирует работу с персональными данными, это закон № 152-ФЗ от 27.07.2006. Но проблема в том, что этот документ не содержит полного перечня ПД, да и само понятие нельзя назвать однозначным.

Вот что написано в статье 3 закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

Есть также Указ Президента РФ от 06.03.1997 № 188, где персональными данными называют «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».

Кроме того, существуют Методические рекомендации Роскомнадзора (приказ от 30.05.2017 № 94), в котором перечислены некоторые персональные данные. К ним совершенно точно относятся:

• ФИО человека;
• полная дата и место рождения;
• адрес жительства;
• семейное, социальное и имущественное положение;
• образование, профессия, доходы.

По логике сюда же стоит добавить другие сведения, которые позволяют идентифицировать человека: номера телефонов, email, аккаунты в социальных сетях и мессенджерах, данные паспорта, номер СНИЛС, биометрия и др.

Отдельно стоит сказать про номер ИНН, по которому можно получить много другой информации о человеке. Это уникальный набор цифр, который присваивается один раз в течение жизни. По своей сути ИНН тоже должен относится к персональным данным, потому что позволяет однозначно идентифицировать физическое лицо.

При этом есть письма Минфина (от 28.01.2020 № 03-01-11/4925, от 12.02.2020 № 03-01-11/9505 и другие), в которых ведомство указывает, что ИНН применяется только для учёта налогоплательщиков и не может признаваться персональными данными.

Можно спорить, так это или нет, но надо знать, что мнения разных госорганов не всегда совпадают, а судебная практика по одной и той же ситуации бывает противоречивой. С учётом этого стоит всё-таки относить ИНН к персональным данным.

В некоторых случаях имеет значение сочетание ПД. Так, просто email или телефонный номер не поможет точно определить человека, для этого нужно знать его имя или другие данные. Если у вас есть сомнения по поводу того, относятся ли полученные вами данные к персональным, лучше задать этот вопрос в Роскомнадзор.

Действия с персональными данными

Персональные данные физлиц запрашиваются не из праздного любопытства. Так, если говорить о работниках, то статья 65 ТК РФ обязывает при приёме на работу предъявлять определённые документы (паспорт, трудовая книжка, СНИЛС, диплом и др.).

При подписании договора стороны указывают не только реквизиты компании, но и свои персональные данные, например, полное имя директора. Без этого договор не имеет юридической силы. Личные сведения о себе оставляет клиент или покупатель при заказе, а пользователь личного кабинета – при регистрации на сайте.

Таким образом, получение персональных данных – необходимое и обязательное условие многих гражданско-правовых и хозяйственных действий.

Субъекты, которые получают эти сведения, признаются операторами ПД. В отношении полученной информации они могут осуществлять разные действия: собирать, записывать, накапливать, хранить, использовать, передавать, анализировать, блокировать, уничтожать.

Очень важно не допускать при этом утечки персональных данных, потому что они могут использоваться третьими лицами в неблаговидных и даже преступных целях. Для полноценного контроля все операторы обязаны подавать уведомление об обработке персональных данных в Роскомнадзор. Только после этого действия с ПД могут признаваться легитимными.

Операторы персональных данных

Итак, мы выяснили, что ситуаций, при которых производятся действия с персональными данными, множество. И если говорить о бизнесе, то очень трудно найти такого субъекта, который в процессе деятельности в них не оказывался.

Ведь даже когда предпринимательская деятельность ведётся без работников, ПД поступают от покупателей и клиентов, посетителей сайта, при заключении сделок, продаже товаров, оказании услуг, выполнении работ. Сбор и хранение базы контактов потенциальных потребителей тоже сюда относится.

Чтобы не было никаких разночтений, законодатели перечислили в п. 2 статьи 22 закона № 152-ФЗ ситуации, при которых персональные данные можно обрабатывать без подачи уведомления:

• сведения используются органами защиты безопасности государства и общественного порядка;
• информация обрабатывается в целях безопасности объектов транспортного комплекса и транспорта;
• данные обрабатываются без использования средств автоматизации, то есть только на бумаге.

Все остальные ситуации из этого перечня исключили с 1 сентября 2022 года. Это, как мы уже говорили, обработка ПД в рамках трудового законодательства, а также:

• получение информации только для исполнения договора, заключённого с субъектом персональных данных;
• оформление разового пропуска для прохода на охраняемую территорию;
• распространение личной информации с согласия самого субъекта;
• обработка данных, включающих только имя, отчество, фамилию человека;
• обработка данных участников общественных объединений и религиозных организаций.

С учётом всего сказанного к операторам ПД, обязанным подать уведомление, относятся государственные и муниципальные органы, организации, физические лица, производящие с персональными данными любые действия. Немногочисленные исключения приводятся в п. 2 статьи 22 закона № 152-ФЗ.

Если при обработке ПД допущены нарушения, оператора могут наказать по статье 13.11 КоАП РФ (штраф до 75 тысяч рублей). Отдельная санкция предусмотрена за хранение данных граждан РФ за пределами России: 6 млн рублей и до 12 млн рублей, если нарушение повторное. Отсутствие самого уведомления о начале обработке ПД наказывается по статье 19.7 КоАП РФ (штраф до 5 000 рублей).

Как подать уведомление

А теперь о том, как заполнить и подать уведомление об обработке ПД. Для этого надо перейти на сайт Роскомнадзора.

Как видим, есть несколько способов подготовки и подачи уведомления:

• на бумаге;
• с использованием электронной цифровой подписи;
• через портал Госуслуг.

Мы рассмотрим первый способ, то есть подготовим уведомление, которое потом надо распечатать и направить в территориальное подразделение РКН лично, почтой или курьером.

Верхняя часть уведомления заполняется довольно просто, надо ввести стандартные реквизиты заявителя (выбрав сначала тип оператора).

Дальше стоит воспользоваться всплывающими подсказками, потому что не все термины могут быть понятными. Например, вот что понимается под правовыми основаниями обработки ПД.

Приведём примерные формулировки по разделам.

• Правовое основание обработки персональных данных: политика обработки ПД, устав организации, публичная оферта, договоры с контрагентами, согласие на получение рассылок, нормативно-правовые акты с реквизитами (указывайте законы, постановления, приказы, имеющие отношение к вашей ситуации).
• Цель обработки персональных данных: регистрация пользователей в личном кабинете, техподдержка пользователей, работа онлайн-сервисов, обработка обращений и звонков потребителей, сбор и составление статистики заказов, заключение и исполнение договоров, взаимодействие с контрагентами, выполнение определённых работ, исполнение требований ТК РФ, публикация личных данных работников, осуществление управленческих и кадровых решений, оформление социальных льгот, организация командировок.
• Описание мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ: используйте формулировки из самого закона, но с учётом своей ситуации. Например, для организации можно указать: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных».
• Перечень действий с персональными данными: выбирайте формулировки из закона № 152-ФЗ, такие как, накопление, запись, хранение, уточнение, использование, передача удаление, уничтожение. В полях ниже выберите способы обработки данных. Например, смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
• Категории персональных данных. Сначала приводится стандартный перечень, в котором надо проставить галочки в отношении тех сведений, которые вы будете обрабатывать. Но часто этих категорий недостаточно, поэтому в поле ниже надо вписать недостающие. Так, в отношении работников дополнительно обрабатываются: паспортные данные, СНИЛС, место проживания, номер телефона, email, сведения о стаже, о составе семьи, реквизиты банковского счёта для выплаты зарплаты и др.
• Категории субъектов, ПД которых обрабатываются. Это могут быть: работники и члены их семей, покупатели и клиенты, контактные лица деловых партнеров, пользователи сервисов и сайтов.

Если затрудняетесь с формулировками, обратитесь за поддержкой к сотрудникам территориального отделения Роскомнадзора. Можно также найти в реестре операторов схожую по виду деятельности компанию и воспользоваться её описаниями в качестве примера.

Как дополнить уведомление новыми основаниями

Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).

В таком случае новое уведомление подавать не требуется, но необходимо дополнить уже поданное. Для этого сайт Роскомнадзора разработал специальную форму информационного письма.

Но предварительно стоит проверить, внесены ли вы в реестр операторов, а также какие основания обработки персональных данных вы уже указывали. Поиск проводится по ИНН, названию компании или регистрационному номеру в реестре.

Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.

Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.

Ведомство сообщает, что предельный срок подачи уведомления персональных данных не определён. Но при этом стоит помнить, что если вы обрабатываете новые ПД или категории субъектов без уведомления, можно получить административный штраф. Так что лучше сделать это как можно раньше.