Роскомнадзор разъяснил, как составлять политику по обработке персональных данных

Инструкция: как уберечь компанию от штрафов по закону о персональных данных — Право на vc.ru

Роскомнадзор разъяснил, как составлять политику по обработке персональных данных

Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.

Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей.

Чем это грозит владельцам сайтов

Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.

Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации?

Неужели начнут штрафовать?

Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.

Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц.

Что может послужить основанием для проверки сайта

Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053.

Какие еще могут быть последствия

Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства».

Как защитить себя от штрафов

К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий:

  1. Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.
  2. Составьте «Политику обработки персональных данных», соответствующую законодательству и подходящую для вашего сайта. Этот документ регламентирует и описывает все действия, осуществляемые с персональной информацией пользователей сайта.
  3. Составьте локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.
  4. Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Подтверждение желательно сделать обязательным. Не стоит думать, что посетители перестанут оставлять свои данные — это только повысит доверие к сайту.
  5. Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
  6. Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте. Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами.
  7. Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций (исключения описаны в п. 2 ст. 22 ФЗ «О персональных данных» №152-ФЗ). Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.

Как правильно составить политику конфиденциальности

  • Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
  • Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать.
  • Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.
  • Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
  • Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных.
  • Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации.
  • Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.

Ознакомиться с шаблоном политики можно здесь.

Как заполнить и подать уведомление в Роскомнадзор

Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:

  1. Наименование (фамилия, имя, отчество), адрес оператора.
  2. Цель обработки персональных данных.
  3. Категории персональных данных.
  4. Категории субъектов, персональные данные которых обрабатываются.
  5. Правовое основание обработки персональных данных.
  6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
  7. Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
  8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
  9. Дата начала обработки персональных данных.
  10. Срок или условие прекращения обработки персональных данных.
  11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
  12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
  13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.

Для подачи уведомления нужно:

  1. Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
  2. После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
  3. Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
  4. Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
  5. Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.

#Колонка #инструкции #право

Источник: https://vc.ru/legal/24849-personal-data-law

152-ФЗ, или Персональные данные на сайте

Роскомнадзор разъяснил, как составлять политику по обработке персональных данных

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, — разместить на сайте политику обработки персональных данных».

Хохолков Михаил Владимирович
Ведущий юрист

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты. 

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.

11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от 700 до 1 500 рублей;
  • на должностных лиц — от 3 000 до 6 000 рублей;
  • на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 15 000 до 30 000 рублей. 

Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

  • любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
  • регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
  • форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
  • рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
  • отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
  • возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть.

Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки.

Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

Примеры:

  • для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
  • для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
  • для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.

11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа: 

  • на граждан в размере от 1 000 до 3 000 рублей;
  • на должностных лиц — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 30 000 до 50 000 рублей. 

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними. 

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте — заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт. 

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта. 

И вот какой ответ получил: 

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным. 

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма — это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта.

Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа.

Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

  • Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
  • Статья 10 — специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
  • Статья 12 касается трансграничной передачи персональных данных.
  • Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы — только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта — это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», «подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных», где текст, выделенный курсивом, — это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП — предупреждение или наложение административного штрафа

  • на граждан в размере от 100 до 300 рублей;
  • на должностных лиц — от 300 до 500 рублей;
  • на юридических лиц — от 3 000 до 5 000 рублей. 

Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора. Правда, представители Роскомнадзора пока никого за это не штрафуют — и не факт, что будут штрафовать.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять.

Самый распространенный — персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.

Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Указанные выше рекомендации относятся ко владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Источник: https://www.intellectpro.ru/press/works/personal_nye_dannye_na_sayte/

Роскомнадзор разъяснил некоторые вопросы, касающиеся обработки персональных данных

Роскомнадзор разъяснил, как составлять политику по обработке персональных данных

Роскомнадзор разъяснил ряд вопросов, касающихся обработки персональных данных работников и соискателей.

Соискатели и базы кандидатов

Так, Роскомнадздор уточняет, что обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на обработку их персональных данных.

 Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключает соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем.

К примеру, поясняет Роскомнадзор, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратную связь посредством электронной почты или через другие средства связи.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.

В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п.

7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г.

№ 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставлением отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.

В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.

Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.

Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.

1 Трудового кодекса Российской Федерации работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.

Обязанность получения согласия также не распространяется на обработку персональных данных соискателей, подавших документы на замещение вакантных должностей государственной гражданской службы.

Ведение кадрового резерва (баз кандидатов) на сегодняшний день трудовым законодательством не регламентировано.

В этом случае, обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.

Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет.

Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.

Необходимо отметить, что Федеральным законом от 27.07.

2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» предусмотрено формирование кадрового резерва (федеральный кадровый резерв, кадровый резерв федерального государственного органа, кадровый резерв субъекта Российской Федерации и кадровый резерв государственного органа субъекта Российской Федерации). Таким образом, согласие на обработку персональных данных гражданских служащих, а также иных лиц, при ведении органом государственной власти кадрового резерва не требуется.

Действующие сотрудники

Роскомнадзор отмечает, что работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.

Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:

1. Если обязанность по обработке персональных данных и/или их публикации в сети Интернет предусмотрена законодательством Российской Федерации.

2. Обработки персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2. При этом отмечается, что в иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3. Обработки специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.

4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Например, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации, налоговые органы, военные комиссариаты осуществляется без их согласия.

Также согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании.

Отмечается, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

5.

Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно, либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.

Уточняется, что при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных. При этом одержание согласия работника должно быть конкретным и информированным, т.е.

содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым согласия, согласно ч. 4 ст.

9 Федерального закона «О персональных данных».

Уволенные сотрудники

Отмечается, что работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством.

К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета. Так, согласно подп. 5 п. 3 ст.

24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.

Статья 17 Федерального закона от 21 ноября 1996 г. № 129-ФЗ «О бухгалтерском учете» определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет.

Таким образом, с учетом положений п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных», согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.

По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет.

При этом, на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Федерального закона «О персональных данных» не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.

Источник: https://hr-portal.ru/news/roskomnadzor-razyasnil-nekotorye-voprosy-kasayushchiesya-obrabotki-personalnyh-dannyh

Как составить Политику конфиденциальности, чтобы избежать претензий Роскомнадзора

Роскомнадзор разъяснил, как составлять политику по обработке персональных данных
Закон дает обобщенное определение этому понятию: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Игорь Луканин, руководитель сервиса «Контур.

Персональные данные», считает такими данными «всякую информацию, которая относится к определенному человеку: номер мобильного телефона, размер зарплаты, политические убеждения, даже фотографии в соцсетях и&nb Игорь Луканин, руководитель сервиса «Контур.

Персональные данные», считает такими данными «всякую информацию, которая относится к определенному человеку: номер мобильного телефона, размер зарплаты, политические убеждения, даже фотографии в соцсетях и сведения о товарах, заказанных в интернет-магазине на прошлой неделе».

А Максим Лагутин, эксперт по защите персональных данных и основатель консалтинговой компании Б-152, опираясь на позиции судов и Роскомнадзора, относит к персональным данным даже cookie, данные об IP-адресе и местоположении без указания фамилии и имени.

Как легализовать отношения между фрилансером и заказчиком 

Зачем нужна Политика конфиденциальности

Персональные данные обрабатывают почти все владельцы сайтов, например, собирая адреса электронной почты для рассылки. Это могут быть организации, ИП и даже физлица, но в законодательстве все они объединены под общим термином «операторы персональных данных». Даже если собранные данные впоследствии быстро удаляются, это все равно подпадает под определение обработки.

Отсутствие Политики конфиденциальности (Политики по обработке персональных данных) вызывает вопросы у Роскомнадзора и грозит штрафом. А ее наличие, напротив, становится преимуществом для владельцев сайтов — в глазах пользователей и заказчиков.

С 1 июля 2017 года был расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных и заметно увеличились штрафы. Если на сайте нет Политики по обработке персональных данных, владельца сайта могут оштрафовать:

  • Физлицо — от 700 до 1500 руб
  • Должностное лицо — от 3000 до 6000 руб
  • Юрлицо — от 15 000 до 30 000 руб
  • ИП — от 5000 до 10 000 руб

Уже есть судебные прецеденты, когда компании оштрафовали за отсутствие Политики конфиденциальности.

В одном случае поводом стала обычная форма обратной связи из трех пунктов на сайте: «Ваше имя», «Тема сообщения», «Сообщение».

Владелец сайта не считал себя оператором персональных данных, потому что в графу «Ваше имя» можно внести любой никнейм, по которому пользователя нельзя идентифицировать.

Политика конфиденциальности должна стать неотъемлемым элементом любого сайта.

Обязательно опубликуйте на сайте политику в отношении обработки персональных данных, если собираете данные через него. Если нет — тоже опубликуйте, это выделит компанию в глазах клиентов и Роскомнадзора, который может проверить наличие политики на сайте компании безо всякого предупреждения.

Почему Политика конфиденциальности важна для пользователей и заказчиков услуг

Наличие Политики конфиденциальности говорит о добросовестности владельца сайта — он заботится о безопасности персональных данных посетителей. Но этот документ важен не только физлицам.

Игорь Луканин уверен, что «и юридические лица делают выводы о благонадежности компаний по тому, как они выполняют 152-ФЗ».

Мониторинг сайта — один из этапов в процессе проверки контрагента, поэтому публикация документа может повлиять на решение заказчика о сотрудничестве с владельцем сайта.

Структура и содержание Политики конфиденциальности

Имейте в виду, что документ может иметь и другие названия:

Название не столь важно, главное — продуманное содержание. Роскомнадзор рекомендует включить в Политику конфиденциальности шесть разделов:

1. Общие положения

Раздел определяет назначение Политики конфиденциальности. Должен содержать основные понятия, которые используются в документе:

  • Обработка персональных данных
  • Оператор
  • Субъект персональных данных
  • Конфиденциальность персональных данных

«Общие положения» также включают права и обязанности оператора и субъектов персональных данных.

2. Цели сбора данных

В этом разделе нужно написать, зачем вы собираетесь обрабатывать данные пользователей. Роскомнадзор напоминает, что «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей».

Цели определяются исходя из:

  • Анализа правовых актов, регламентирующих деятельность оператора персональных данных

  • Целей осуществляемой оператором деятельности

  • Целей деятельности, предусмотренной учредительными документами оператора

  • Конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных)

3. Правовые основания обработки данных

В этом разделе нужно указать правовые акты, в соответствии с которыми вы будете обрабатывать данные. Это могут быть:

  • Федеральные законы и нормативные правовые акты, регулирующие отношения, связанные с деятельностью владельца сайта

  • Уставные документы; договоры, заключаемые между оператором и субъектом персональных данных

  • Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора)

4. Объем и категории обрабатываемых данных, категории субъектов персональных данных

По закону, содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Вы не имеете права обрабатывать данных больше, чем вам нужно.

Кроме пользователей вы можете работать с данными своих сотрудников, их родственников, кандидатов на ваши вакансии и представителей компаний, с которыми вы сотрудничаете. Не забудьте указать эти категории в Политике конфиденциальности, перечислить для них виды обрабатываемых данных и написать, зачем они вам нужны.

5. Порядок и условия обработки

Этот раздел Политики конфиденциальности должен содержать три информационных блока:

  • Перечень действий, совершаемых оператором с персональными данными
  • Способы, используемые для обработки данных
  • Сроки обработки данных

Укажите здесь «сведения о соблюдении требований и принятии мер», которые будете предпринимать для защиты данных пользователей. Это может быть разграничение прав доступа ваших работников к базе данных, наличие специальных инструкций, технические меры защиты.

Передача данных третьим лицам. В Политике конфиденциальности нужно прописать, на каких условиях вы передаете персональные данные третьим лицам (если передаете). При этом обязательно указать:

  • Конкретное наименование третьих лиц
  • Местонахождение третьих лиц
  • Цели осуществляемой передачи данных
  • Объем передаваемых данных
  • Перечень действий по обработке данных
  • Способы и иные условия обработки (в том числе требования к защите обрабатываемых персональных данных)

Условия прекращения обработки персональных данных.

  • Достижение целей обработки
  • Истечение срока действия согласия на обработку
  • Отзыв согласия субъекта персональных данных на обработку данных
  • Выявление неправомерной обработки

Хранение персональных данных. Роскомнадзор обращает внимание на три важных аспекта:

  • Форма хранения. Она должна позволять определить субъекта персональных данных «не дольше, чем этого требуют цели обработки персональных данных» (исключение — случаи, когда срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных).

  • Сроки хранения. В Политике конфиденциальности необходимо указать конкретную дату (число, месяц, год) и основание, которое приведет к прекращению обработки персональных данных.

  • Использование баз данных. Для хранения информации вы должны использовать базы данных, находящиеся на территории РФ.

Иные условия хранения персональных данных, в том числе при их обработке без использования средств автоматизации, тоже следует указывать в Политике конфиденциальности.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ

Обязанность актуализировать данные наступает в случае подтверждения факта неточности или неправомерности обработки данных.

Владелец сайта должен удалять персональные данные при достижении целей их обработки и в случае отзыва согласия на их обработку, если:

  • Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

  • Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами.

  • Иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Важно: по запросу оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных. Роскомнадзор рекомендует добавить регламенты работы с такими запросами в Политику конфиденциальности.

Где и как разместить Политику конфиденциальности

Политика конфиденциальности раскрывает, как владелец сайта работает с данными пользователей, клиентов и других физических лиц. Поэтому она должна быть размещена на видном месте, чтобы все желающие могли с ней ознакомиться. Идеальный вариант: публикация документа в подвале сайта и в формах сбора любых данных.

Собирая данные через сайт, ссылайтесь на Политику конфиденциальности и спрашивайте разрешение пользователей на использование их данных. «Проставление галочки в форме на сайте — это тоже знак согласия», — предупреждает Игорь Луканин.

Бесплатные сервисы для подготовки Политики конфиденциальности

Для составления документа можно воспользоваться специальными онлайн-инструментами:

  • Контур.Персональные данные. С помощью бесплатного сервиса можно подготовить порядка 40 документов, в том числе Политику конфиденциальности, которые помогают избежать штрафов при проверке Роскомнадзора.

    Инструмент позволяет выполнить требования закона «О персональных данных», не изучая сам закон.

    Сервис сопровождает пользователя на каждом этапе формирования документа, дает рекомендации, где и как его разместить.

Почему при использовании образцов необходимо обязательно адаптировать текст под свой бизнес? На этот вопрос аргументировано отвечает Т—Ж: «Не используйте чужие документы.

Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений.

Запрашивать ненужные данные — нарушение закона и повод для штрафа».

Готовый текст можно разместить на отдельной странице сайта. В форме приема данных поставьте ссылку на эту страницу.

Резюме

  • Политика конфиденциальности — обязательный элемент любого сайта. Даже если вы не являетесь оператором персональных данных, все равно подготовьте и разместите этот документ на сайте. Обезопасьте себя от любых претензий Роскомнадзора.

  • Помните о том, что за невыполнение обязанности по публикации Политики конфиденциальности или сведений по защите персональных данных могут оштрафовать по статье 13.11 КоАП. В зависимости от статуса размер денежных санкций может достигать 30 000 рублей.

  • Чтобы сэкономить время и силы на подготовку Политики конфиденциальности, пользуйтесь бесплатными онлайн-сервисами и рекомендациями Роскомнадзора.

    В документе должно быть шесть разделов: Общие положения; Цели сбора данных; Правовые основания обработки данных; Объем и категории обрабатываемых данных, категории субъектов персональных данных; Порядок и условия обработки; Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

  • Используйте чужие документы при подготовке Политики только в качестве ориентира — перечень данных и цели обработки у каждого бизнеса свои.

  • Опубликуйте Политику конфиденциальности в подвале сайта и в формах сбора данных. Документ должен быть заметен.

Источник: https://ru.content.guru/articles/kak-sostavit-politiku-konfidentsialnosti-chtoby-izbezhat-pretenziy-roskomnadzora-/

ПравБаза
Добавить комментарий