Что нужно знать об обработке персональных данных: чек-лист для предпринимателя

Окей, для начала ответим на вопрос, который у вас мог возникнуть:

"Если я не имею дел с персональными данными, требования закона можно не выполнять?"

Да!

Однако на сегодняшний день трудно представить себе, что ни один процесс в компании не задействует информацию о гражданах. Договоры с клиентами, наличие работников в компании, поиск кандидатов на вакантные места, информация о пользователях сайта — все это предполагает обработку персональных данных.

Теперь расшифруем термин того, что мы собрались обрабатывать или обрабатываем прямо сейчас:

Что тут важно?

Ну,

1) персональные данные могут быть только у граждан (физических лиц). Реквизиты и иная информация об организации персональными данными
не является;

2) отсутствует перечень в законе, исчерпывающе перечисляющий все персональные данные;

3) персональные данные — это информация любого характера (в текстовой
или в устной форме, правдивая или ложная, характеризирующая гражданина или имеющая технический характер (например, геолокационные данные).

Важно лишь, чтобы такая информация имела отношение к гражданину.

С понятием «обработка» дела обстоят намного проще — это любые действия (операции) с персональными данными.

К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и т.д.

Оператором признается любое лицо, осуществляющее обработку персональных данных. Причем таким лицом могут выступать не только организации, но и государственные органы и физические лица.

Операторы самостоятельно определяют, как будет происходить обработка персональных данных:

Итак, если информация из предыдущих разделов имеет к Вам отношение, то, скорее всего, Вы являетесь оператором персональных данных и, соответственно, обязаны выполнять требования закона № 152-ФЗ.

Исключение:

Из-под действия закона выпадают случаи обработки персональных данных для личных и семейных нужд (не связано с предпринимательством) и некоторые другие.

Далее речь пойдет именно о том, на что оператору следует обратить внимание, если он все-таки решил привести обработку персональных данных в компании в соответствие с законодательством. (Да-да, чек-лист!)

Закон № 152-ФЗ почти полностью состоит из обязанностей оператора.

Помимо данного закона требования к обработке персональных данных содержатся и в иных актах. Например, обработку персональных данных работников также регламентирует Трудовой кодекс РФ. Или если персональные данные обрабатываются без использования технических средств, то дополнительно применяется уже соответствующее Постановление Правительства.

Законов множество, но в действительности Вам поможет список документов в Приказе Роскомнадзора от 13.12.2017 г. № 247, который содержит перечень того, что должен сделать оператор. При проверке компании Роскомнадзор смотрит, соблюдаются ли правила, установленные документами из этого списка.

Далее остановимся на конкретных шагах, которые обязан выполнить каждый оператор в своей компании.

Если оператор на сайте собирает персональные данные, то он обязан разместить на этом сайте политику конфиденциальности.

Этот документ сообщает пользователям сайта информацию о том, как оператор будет обрабатывать их персональные данные, и, по мнению Роскомнадзора, обеспечивает прозрачность процессов обработки данных.

Политика конфиденциальности должна соответствовать трем условиям:

1. Политика должна отражать индивидуальные особенности обработки персональных данных оператора. Это означает, что размещенная на сайте «скачанная у конкурентов» политика конфиденциальности — простое, но бесполезное решение.

Роскомнадзор обязательно проверит, соответствует ли реальная обработка персональных данных пользователей сайта той, что записана в политике конфиденциальности на сайте. Выявленное несоответствие будет основанием для вынесения штрафа или блокировки ресурса.

2. Политика должна быть написана по определенной структуре. За основу можно взять рекомендации, выработанные Роскомнадзором.

Структурно политика конфиденциальности состоит из:

• общих положений;
• оснований обработки;
• прав и обязанностей;
• целей обработки;
• видов обрабатываемых данных;
• условий обработки;
• сведений об обеспечении безопасности персональных данных;
• информации об операторе и обратной связи.

3. Политику нужно сделать доступной для пользователей. Иными словами, подготовленный документ нужно не забыть разместить на сайте. Желательно, чтобы доступ к документу был возможен по ссылке, размещенной под всеми формами сбора персональных данных.

Согласие граждан на обработку персональных данных является одним из главных условий законности такой обработки. Имея согласие на обработку, компания точно никогда не ошибется.

Закон № 152-ФЗ предъявляет дополнительные требования к самому согласию. Так, согласие должно быть конкретным, информированным и сознательным. На практике это означает, что согласие не может быть вынужденным, а из текста согласия пользователь сайта получает предварительную информацию о дальнейшей обработке его персональных данных.

Текст согласия вместе со ссылкой на политику конфиденциальности нужно разместить под формами сбора персональных данных.

Наконец, важно, чтобы оператор мог подтвердить дачу конкретным гражданином согласия на обработку его персональных данных.

Перечисленные способы как раз позволяют оператору сохранять лог-файлы в случае каких-либо претензий со стороны пользователей или Роскомнадзора.

В настоящее время обработка персональных данных россиян должна происходить с использованием баз данных, находящихся на территории России. Иными словами, нарушением будет ситуация, при которой сервер компании, содержащий персональные данные россиян, территориально находится за пределами России.

За нарушение требования о локализации обработки персональных данных граждан РФ на территории РФ сайт оператора подлежит блокировке.
Чтобы сайт не был заблокирован, необходимо узнать у своего провайдера, размещены ли сервера на территории России, и если нет, то позаботиться о переносе баз данных с персональными данными.

Локальные акты — это документальное отражение происходящих в компании процессов обработки персональных данных. Их наличие подтверждает выполнение оператором большинства предусмотренных законодательством обязанностей, и именно их в первую очередь проверяет Роскомнадзор.

Несмотря на наличие в законе № 152-ФЗ обязанности по внедрению локальных актов, перечень самих актов ни закон, ни Роскомнадзор не называет. Покажется странным, но в случае нехватки какого-либо документа или использования неактуальных документов Роскомнадзор может оштрафовать оператора. Дело в том, что законом устанавливается специфическая обязанность по самостоятельному определению перечня мер, необходимых и достаточных для выполнения обязанностей.

Чтобы понять, действительно ли локальные акты отражают процессы обработки персональных данных, перед тем как приступить к их разработке, каждому оператору сперва необходимо для себя уяснить, какие же это, собственно, процессы. Для этого оператором проводится внутренний аудит всех процессов, которые включают в себя персональные данные. В процессе аудита определяются, в частности:

• категории граждан, чьи персональные данные обрабатываются в компании (работники, клиенты, соискатели и т. п.);
• виды персональных данных;
• цели и условия обработки;
• сроки начала и окончания обработки;
• сторонние организации, которым передается часть данных, и т. д.

Результатом такого аудита должен стать:

1. План по разработке необходимых мер (правовых, организационных и технических) по обеспечению безопасности персональных данных. При разработке такого плана следует руководствоваться Постановлением Правительства № 1119, Приказами ФСТЭК № 21, а в некоторых случаях также Приказом ФСБ № 378.

2. Утверждённый перечень локальных актов (положений, актов, журналов и инструкций).

См. примерный перечень локальных актов оператора.

Ключевая роль в проведении аудита, подготовке локальных актов и менеджменте процессов обработки персональных данных отводится ответственному за организацию обработки персональных данных. Ответственный назначается приказом руководителя компании, обязанности которого заключаются в:

Еще одной обязанностью оператора является уведомление Роскомнадзора о том, что он обрабатывает персональные данные. Подать такое уведомление обязаны все операторы персональных данных за некоторым исключением. В частности, без уведомления могут работать операторы, если они обрабатывают:

• исключительно данные своих работников;
• общедоступные данные (в соц. сетях или ресурсах по подбору персонала);
• персональные данные, состоящие только из ФИО

Сама процедура подачи уведомления является бесплатной. Однако перед подачей убедитесь, что предыдущие шаги 1-4 полностью выполнены.

Уведомление подается путем заполнения специальной формы на сайте Роскомнадзора. После отправки электронной формы ее нужно распечатать, подписать и направить в соответствующий территориальный орган Роскомнадзора по месту нахождения оператора. В течение 1 месяца Роскомнадзор вносит оператора в специальный реестр.