Консалтинг Онлайн
Защита персональных данных

Персональные данные — требования Роскомнадзора к операторам

Операторы персональных данных — это компании и ИП, которые собирают личную информацию о своих клиентах, контрагентах, покупателях, пациентах. Например, номера телефонов, паспортные данные, сведения из медкарты и т.д. Узнайте, как соблюдать требования Роскомнадзора и обязанности по 152-ФЗ для операторов.

Общие требования

Персональные данные (ПД) — это любая информация о физическом лице, которая при неправильном обращении может такое лицо скомпрометировать. Все компании, которые работают с клиентами, сотрудниками, партнерами, потребителями так или иначе собирают о них данные, которые прямо или косвенно позволяют их идентифицировать. 

К персональным данным относятся: адрес электронной почты, фотография, видеозапись, скриншот, номер телефона, место проживания и т.д. Чтобы не допустить утечку ПД, компании обязаны обеспечить их безопасное хранение, обработку, ограниченный доступ.

За соблюдением требований в области работы с персональными данными следит Роскомнадзор. В случае проверок компании обязаны предоставить инспекторам необходимые документы, уточняющую информацию, а также свободный вход к оборудованию и в кабинеты, где ведется работа с персональными данными.

Обязанности операторов персональных данных (ОПД) изложены в законе от 27.07.2006 № 152-ФЗ. Все обязанности можно разделить на четыре основные группы:

  1. Уведомлять Роскомнадзор о работе с персональными данными в качестве оператора.

  2. Для сбора, обработки и хранения персональных данных использовать только информационные базы, находящиеся на территории России.

  3. Собирать личные данные только с согласия их владельцев. 

  4. Работать с ПД на основании политики персональных данных, разработанной в компании.

Помимо этих требований в законе № 152-ФЗ для операторов прописано и множество других. Например, разрабатывать локальные регламенты, назначать ответственных сотрудников, реагировать на обращения владельцев данных, устранять нарушения и отчитываться в Роскомнадзор.

Операторы ПД обязаны регламентировать каждый этап работы с личными данными физлиц. Для этого необходимо разработать полный пакет внутренних нормативов, указать в них критерии ПД, должностных лиц, цели обработки ПД, порядок работы с обращениями граждан и контрольными органами. Локальные регламенты регулируются не только законом 152-ФЗ, но и множеством смежных подзаконных актов. На сайте «Роском Онлайн» вы можете скачать чек-лист с перечнем всех необходимых документов для организации работы с персональными данными.

Уведомления РКН

Роскомнадзор — это контрольный орган, который защищает интересы владельцев ПД и следит за исполнением обязанностей операторов. 

Компания должна направить уведомление в Роскомнадзор о том, что планирует работать с персональными данными. В ч. 2 ст. 22 закона № 152-ФЗ определены случаи, когда такое уведомление не требуется:

  • Персональные данные являются частью информационных систем, используемых для обеспечения государственной безопасности и общественного порядка.

  • Компания получает и обрабатывает чужие данные с помощью неавтоматизированных средств.

  • Персональные данные обеспечивают безопасность транспортного комплекса от несанкционированного вмешательства.

Оператор может уведомить РКН как в электронной, так и бумажной форме. Роскомнадзор включает компанию в реестр операторов в течение 30 дней с даты направления обращения. 

Если необходимо изменить информацию в уведомлении, например, почтовый адрес или номер телефона, то отчитаться об этом следует в Роскомнадзор в следующие сроки (ч. 7 ст. 22 закона № 152-ФЗ):

  • для изменения данных в реестре операторов — до 15 числа следующего месяца;

  • в случае прекращения работы с персональными данными — в течение 10 дней.

Компания может разместить на своем сайте ссылку из реестра операторов как подтверждение, что она прошла проверку Роскомнадзора и имеет право собирать и обрабатывать персональные данные.

Роскомнадзор вправе направить запрос оператору о предоставлении необходимых сведений. В этом случае оператор должен ответить в течение 10 рабочих дней (ч. 4 ст. 20 закона № 152-ФЗ). Если у оператора есть основание, то этот срок он может продлить максимум еще на пять дней. 

В ч. 3.1 ст. 21 определены сроки, в течение которых оператор обязан оповестить РКН, если произошла неправомерная передача личных данных:

  • 24 часа — проинформировать об инциденте, предполагаемых причинах и вреде, а также о должностном лице;

  • 72 часа — проинформировать о результатах внутреннего расследования.

За неисполнение обязанности уведомлять контрольный орган предусмотрены штрафы по ст. 19.7 КоАП — до 500 рублей на должностных лиц и до 5 тыс. рублей на организацию. 

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Локализация баз данных

Компании и ИП собирают персональные данные разными способами — онлайн или офлайн. Например:

  • оформление договора кредитования в банке;

  • заполнение анкеты на сайте;

  • согласие с файлами cookie при посещении сайта;

  • заказ товара в интернет-магазине и т.д.

Во всех случаях пользователь или покупатель передает свои данные добровольно, выражая согласие на их обработку и хранение.

Для сбора, хранения и систематизации данных оператор обязан пользоваться базами данных, которые находятся на территории России (ч. 5 ст. 18 закона № 152-ФЗ). За исключением случаев, перечисленных в пп. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ. Например, персональные данные получены в ходе репортажа СМИ и не нарушают права владельца данных.

Операторы обязаны локализовать базы данных, то есть при работе с ПД применять базы, находящиеся на территории РФ. Например, организации должны соблюдать это требование при работе с данными своих сотрудников.

За несоблюдение требования о применении локальных баз предусмотрена ответственность по ч. 8, 9 ст. 13.11 КоАП

  • первое нарушение — до 200 тыс. рублей на должностных лиц и до 6 млн рублей на организации;

  • повторное нарушение — до 800 тыс. рублей на должностных лиц и до 18 млн рублей на организации.

При работе с персональными данными не допустите штрафов, проверок прокуратуры и предписаний РКН — закажите бесплатную консультацию на сайте «Роском Онлайн». Вы получите всю необходимую информацию для операторов: регистрация в Роскомнадзоре, подготовка документов в соответствии с законом 152-ФЗ, организация работы с ПД для ИП и компаний. На сайте вы можете скачать чек-лист с перечнем локальных документов и ссылками на законодательство. 

Оставить заявку

Соблюдение прав владельцев ПД

Обязанности операторов ПД взаимосвязаны с правами владельцев персональных данных. Физлицо вправе передавать данные о себе добровольно, при этом операторы обязаны соблюдать следующие требования:

  1. Законное получение персональных данных. Операторы обязаны собирать только ту информацию о гражданах, которая соответствует их целям (ч. 1 ст. 5 закона № 152-ФЗ). Например, директор не может собирать с сотрудников данные, к какой политической партии они принадлежат или религии.

  2. Разделение целей. Для каждой категории персональных данных следует вести отдельную базу. Например, нельзя смешивать клиентские базы и базы данных о сотрудниках (ч. 3 ст. 5 закона № 152-ФЗ).

  3. Соблюдение принципа прозрачности. Необходимо сообщать физлицам, какую информацию о них компания получила, для каких целей и как обеспечивает безопасность этих данных (ч. 7 ст. 14 закона № 152-ФЗ).

  4. Предоставление разъяснений. Если человек обязан предоставить данные о себе по закону, то оператор должен разъяснить ему последствия отказа в рамках правового поля (ч. 2 ст. 18 закона № 152-ФЗ). Обычно разъяснениями занимаются уполномоченные сотрудники, поэтому компаниям лучше разработать для них шаблоны, чтобы права владельцев ПД не нарушались.

  5. Информирование владельца данных. Оператор может получать ПД как от их владельца, так и от третьих лиц (если позволяет закон). Если данные получены от третьих лиц, то оператор должен сообщить об этом владельцу (ч. 3 ст. 18 закона № 152-ФЗ). Форму уведомления оператор может выбрать на свое усмотрение. 

При выражении согласия на обработку персональных данных также учитывается осознанность такого согласия. Осознанность — это доказательство, что субъект ПД не против передать данные о себе, например, поставил галочку или флажок на сайте.

Гражданин имеет право отозвать свое согласие на обработку ПД. Если это произошло, оператор должен прекратить работу с его данными в течение 30 дней после обращения гражданина (ч. 5 ст. 21 закона № 152-ФЗ). 

Есть случаи, когда оператор обязан прекратить работу с данными субъекта не в течение 30 дней, а немедленно. Например, когда пользователь отказывается от получения писем на электронную почту (ст. 15 закона № 152-ФЗ).

Если владелец данных направляет запрос на получение информации, то оператор обязан ответить ему в течение 10 рабочих дней. Время ответа можно увеличить до пяти дней, если письменно уведомить об этом гражданина (ч. 3 ст. 14 закона № 152-ФЗ).

За обработку персональных данных без согласия владельца предусмотрены штрафы по ч. 2 и 2.1 ст. 13.11 КоАП

  • первое нарушение до 300 тыс. рублей на должностное лицо и до 700 тыс. рублей на организацию;

  • повторное нарушение — до 500 тыс. рублей на должностное лицо и до 1,5 млн рублей на организацию.

За непредоставление владельцу информации о его данных предусмотрена ответственность по ч. 4 ст. 13.11 КоАП — до 12 тыс. рублей на должностное лицо и до 80 тыс. рублей на организацию.

Регистрация ИП в Роскомнадзоре и подготовка документов по ФЗ №152

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Политика обработки ПД

Политика обработки персональных данных — это основной локальный документ компании-оператора, на основании которого строится работа с ПД. Закон № 152-ФЗ не устанавливает требований к его составлению, но следует придерживаться общепринятых правил.

  1. Определить должностное лицо. Это сотрудник, который отвечает за организацию обработки данных.

  2. Утвердить документ. Роскомнадзор дает примерные рекомендации по оформлению Политики обработки ПД. Операторы должны не строго им следовать, а учесть свои цели и актуальность на текущий год (ч. 3.1 ст. 4 закона № 152-ФЗ).

  3. Проинформировать сотрудников. С Политикой обработки персональных данных следует ознакомить каждого сотрудником под роспись. Сотрудники компаний — это тоже владельцы персональных данных, поэтому они должны быть ознакомлены со своими правами.

  4. Обеспечить доступ. Все заинтересованные лица должны иметь доступ к Политике. Для этого оператор размещает документ на своем сайте или предоставляет доступ иным способом (ч. 2 ст. 18.1 закона № 152-ФЗ).

За несоблюдение правил публикации документа предусмотрены штрафы по ч. 3 ст. 13.11 КоАП: до 12 тыс. рублей на должностное лицо и до 60 тыс. рублей на организацию. 

Что указывается в Политике ПД

1. Категории персональных данных. Они указываются с учетом целей обработки данных. В законе определены четыре группы таких категорий (ст. 3, 8, 10, 11 закона № 152-ФЗ): 

  • общедоступные — ФИО, номер телефона, год рождения, специальность и т.д.;

  • специальные — вероисповедание, национальность, сведения из медкарты и т.д.;

  • биометрические — отпечатки пальцев, сетчатка глаз, ДНК и т.д.;

  • иные — данные, которые не входят ни в одну из перечисленных групп.

Рекомендация: чтобы не запутаться в категориях ПД, заведите внутренний реестр данных и занесите в него все сведения о физических лицах, а затем разделите их на группы в соответствии с целями обработки данных.

2. Правовые основания для работы и защиты ПД. Эти основания напрямую соотносятся с целями обработки информации, поэтому здесь не нужно ссылаться на закон № 152-ФЗ — он только устанавливает требования. Например, Трудовой кодекс регулирует отношения оператора с сотрудниками при трудоустройстве: необходимые документы перечислены в ст. 65 ТК. 

3. Способы обработки ПД.Закон № 152-ФЗ устанавливает два варианта такой обработки — с использованием автоматизированных и неавтоматизированных средств (ст. 3 закона № 152-ФЗ). На практике эти способы могут смешиваться, когда операторы часть данных обрабатывают вручную, а часть — в цифровых системах.

4. Действия с данными. Для каждой категории персональных данных компания-оператор указывает перечень действий, которые планирует совершать в рамках сбора, накопления и хранения информации. 

Роскомнадзор также рекомендует указывать в Политике обработки ПД порядок внесения изменений, работы с обращениями граждан, уничтожения информации по запросу владельца данных.

Подведем итог

Соблюдение требований Роскомнадзора и норм закона № 152-ФЗ при работе с персональными данными — это не просто обязанность компании, но и доверие со стороны клиентов, сотрудников и партнеров. Ошибки в обработке персональных данных могут привести не только к штрафам, но и к репутационным потерям.

Чтобы избежать нарушений, рекомендуем:

  1. Разработать внутреннюю политику обработки данных. Этот документ должен быть понятным, актуальным и соответствовать специфике вашей деятельности.

  2. Назначить ответственных сотрудников. Они помогут контролировать выполнение требований и оперативно реагировать на запросы Роскомнадзора и владельцев данных.

  3. Использовать локальные базы данных. Это обязательное требование для операторов, которые работают с базами данных на территории России.

  4. Обучить сотрудников. Регулярное обучение персонала поможет предотвратить инциденты, связанные с утечками данных или их неправильной обработкой.

  5. Вести прозрачную коммуникацию с владельцами данных. Всегда информируйте их о целях сбора данных и соблюдайте их права.

Организация работы с персональными данными — это сложный этап для многих компаний и ИП. Случайная ошибка в документации может привести к проверкам Роскомнадзора и большим штрафам не только на компанию, но и на должностное лицо. На сайте «Роском Онлайн» вас проконсультируют корпоративные юристы. При оформлении сопровождения на 1 год вы получите бонус — 10% скидки и памятку по Роскомнадзору. Доверьте профессионалам организацию работы с ПД и подготовку документов.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KPajc

Начать дискуссию