Как связаны Закон «О персональных данных» и сайты
Пóмните эти назойливые всплывающие окна на сайтах про cookie, политику конфиденциальности и прочие штуки? Вот пример того, о чем говорим.
Владельцы сайтов вставляют их не от нечего делать. Так они исполняют закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее Закон № 152-ФЗ). Его цель – защитить личную информацию человека.
Применительно к интернету это означает, что владелец сайта:
- собирает о посетителе лишь нужные для своей работы сведения;
- рассказывает посетителю, что именно собирает и зачем;
- не передает личную информацию о посетителе не известно кому;
- по первой же просьбе уничтожает собранные персональные данные.
А еще это значит, что «хозяину» сайта добавляется куча дополнительной работы. Например, нужно:
- завить о себе в Роскомнадзор (РКН) как об операторе персональных данных;
- сообщить в РКН об утечке персональных данных, если такое случилось;
- составить с десяток политик, положений, регламентов, инструкций по работе с персональными данными.
Если не сделать такого, прилетят штрафы. Поэтому давайте разбираться, как исполнить Закон № 152-ФЗ и не схлопотать санкций от РКН. Начнем с того, что относится к персональным данным.
Что такое персональные данные
Персональные данные – это любая информация о человеке, по которой его можно распознать (п. 1 ст. 3 Закона № 152-ФЗ). Вот примеры персональных данных:
- ФИО;
- адрес регистрации;
- место работы и должность;
- номер телефона;
- электронная почта;
- аккаунт в соцсети;
- IP-адрес;
- куки-файлы;
- ИНН и СНИЛС;
- фото- и видеоизображение человека;
- запись голоса;
- номер расчетного счета;
- информация о здоровье;
- политические и религиозные взгляды.
Сами видите, что список большой. И это он еще неполный. Если хотя бы что-то из него вы запрашиваете у клиентов на сайте, значит, вы – оператор персональных данных.
Кто такой оператор персональных данных и как он уведомляет о себе РКН
Оператор персональных данных (ОПД) – это организация или гражданин, который обрабатывает персональные данные. Обрабатывает, то есть собирает, хранит, использует, передает, уничтожает или делает с ними что-то еще, что написано в п. 3 ст. 3 Закона № 152-ФЗ.
В нормативке по работе с персональными данными нет послаблений для ИП или самозанятых. Поэтому они должны делать все то же, что и крупные компании, например, составить кучу регламентов и обеспечить должную защиту собранных сведений.
До того, как ОПД начнет собирать персональные данные, он обязан сообщить об этом в РКН (п. 1 ст. 22 Закона № 152-ФЗ). Для этого подает уведомление на бумаге или через интернет. Схему действий для каждого способа показали в таблице.
Таблица 1. Как уведомить Роскомнадзор об обработке персональных данных
Как отправляем уведомление: |
|
на бумаге |
через интернет |
· Заполняем уведомление на сайте РКН. · Распечатываем его в двух экземплярах. · Подписываем у директора. · Относим лично или отправляем ценным письмом с уведомлением о вручении. Отнести или отправить нужно в территориальный орган РКН |
· Заполняем уведомление на сайте РКН. · Подписываем электронной подписью с помощью специального плагина или через аутентификацию на сайте Госуслуг |
В уведомлении, кроме прочего, нужно написать, с какой целью и какие именно персональные данные собираете. Целью может быть:
- авторизация посетителей сайта;
- исполнение договора купли-продажи;
- отправление пользователю рекламных сообщений по email или sms.
Вот пример целей от ООО «Авиасейлс Медиа»:
- ведение кадрового и бухгалтерского учета;
- обеспечение соблюдения трудового и налогового законодательства РФ;
- подготовка, заключение и исполнение гражданско-правового договора;
- продвижение товаров, работ, услуг на рынке;
- обеспечение пропускного режима на территорию оператора;
- подбор персонала (соискателей) на вакантные должности оператора;
- исполнение требований и запросов государственных органов РФ;
- обеспечение работы и предоставление доступа к интернет-сервису и его возможностям пользователям в сети Интернет;
- обеспечение защиты программных элементов интернет-сервиса и данных пользователей от несанкционированного доступа и иного вмешательства;
- обработка обращений пользователей сервиса и иных частных лиц.
А вот так формулирует цель обработки персональных данных ООО «Компания «М.видео»:
- осуществление уставной деятельности оператора;
- заключение и исполнение гражданско-правовых и трудовых договоров;
- обязательное раскрытие информации на рынке ценных бумаг;
- раскрытие информации для целей соблюдения антимонопольного законодательства;
- раскрытие информации для целей соблюдения требований законодательства о противодействии неправомерному использованию инсайдерской информации и манипулированию рынком;
- соблюдение требований налогового законодательства.
РКН внесет данные о вас в Реестр ОПД в течение 30 дней после того, как получит уведомление. Но собирать персональные данные можете сразу после его отправки – не нужно ждать, когда вас зачислят в Реестр.
Вот еще три момента про Реестр ОПД, о которых важно знать.
Первый. Подавайте уведомление даже с опозданием. Если персональные данные обрабатываете давно, а уведомление в РКН не отправляли, то скорее сделайте это. За просрочку с подачей не оштрафуют. Но штраф прилетит, если ведомство само обнаружит вашу оплошность.
Второй. Обновляйте информацию в уведомлении. Когда меняете что-то из данных в нем, сообщайте об этом в РКН. Делайте это не позднее 15-го числа месяца, который следует за месяцем изменений (п. 1 ст. 22 Закона № 152-ФЗ). Например, в сентябре в компании поменялся ответственный за обработку персональных данных. Уведомьте об этом РКН по 15 октября включительно.
Уведомление об изменении сведений составляйте по тем же правилам, что описали выше. Форму берите с сайта РКН и отправляйте ее в бумажном или электронном виде.
Третий. Запросите выписку в РКН. Она пригодится, чтобы подтвердить дату, с которой вас оформили как оператора, и отбиться от штрафов. Выписку закажите на сайте РКН.
Как собирать персональные данные на сайте
Чтобы собирать персональные данные посетителей сайта, получите от них согласие (п. 1 ст. 9 Закона № 152-ФЗ). Давайте разберемся, как это сделать.
Как получить согласие на обработку персональных данных на сайте
В форме регистрации или заявки на сайте предусмотрите два момента.
- Действие, которым пользователь подтвердит, что согласен с обработкой персональных данных. Это может быть «галочка» в чек-боксе или кнопка «Получить код». Ясно и недвусмысленно пропишите, что совершенным действием посетитель сайта соглашается на обработку данных.
- Ссылку на документ, в котором рассказываете, зачем, какие персональные данные и на какой срок вы собираете. Это могут быть условия обработки персональных данных, пользовательское соглашение с посетителями сайта или политика конфиденциальности. Проверьте, чтобы ссылка открывалась до того, как пользователь примет соглашение.
Вот несколько примеров такой формы:
Последний пример с чек-боксом хоть и распространенный, но не лучший. Такое согласие по клику легко оспорить. Посетитель сайта может сказать, что «галочку» поставил его ребенок, сосед по общаге или хакер.
Чтобы такого не было, пришлите пользователю email или sms с кодом или ссылкой для входа на сайт. Пользователь введет код в форму или перейдет по ссылке, и это будет равносильно тому, что он подписал согласие простой электронной подписью (п. 2 ст. 5 Федерального закона от 06.04.2011 № 63-ФЗ).
Каким должно быть согласие на обработку персональных данных
Начните документ с фразы о том, что посетитель согласен передать свои данные, например, так: «Настоящим я даю свое согласие…». А дальше напишите:
- название и местонахождение своей компании, получающей согласие;
- персональные данные о посетителе сайта, которые собираете;
- цели сбора персональных данных;
- согласие на передачу персональных данных третьим лицам, если это нужно, например, на передачу адреса клиента курьерской компании для доставки товара;
- срок согласия;
- порядок отзыва согласия.
При составлении учитывайте два момента.
Первый. Самостоятельность. Это значит, что нельзя совмещать согласие на обработку персональных данных с офертой или согласием на рекламную рассылку.
Например, посетитель сайта не против ваших cookie, но рекламные письма ему не нужны. Дайте ему возможность согласиться на обработку персональных данных и отказаться от рассылки. Для этого разделите согласия по целям и не примешивайте к ним что-то еще, к примеру, оферту.
Юристы советуют создавать отдельные согласия под каждую цель сбора. Иначе РКН придерется к нецелевой обработке персональных данных и оштрафует за это. Вот пример от СберМаркета с отдельными согласиями на:
- авторизацию и принятие политики обработки персональных данных;
- рекламные предложения.
Второй. Достаточность. Собирайте только ту информацию, которая пригодится в вашей деятельности и не запрашивайте лишнего. Например, если не собираетесь звонить или слать sms клиенту, тогда не берите его номер телефона.
Специалисты предлагают такой тест на избыточность собираемых данных. Спросите себя: «Можно ли коммуницировать, заключать и исполнять договоры с посетителями сайта без этих сведений?». Если да, значит, они лишние. Уберите поля с запросом о них из формы регистрации или заявки.
Текст согласия на обработку персональных данных можно подсмотреть на сайтах компаний. Вот какие мы отыскали у:
Последние два документа подтверждают, что для разных целей сбора лучше создавать отдельные согласия.
Сколько времени действует согласие на обработку персональных данных
Согласие действует в течение срока, который вы в нем пропишете. Вот варианты, какие временные границы можно задать:
- количество лет с даты получения согласия, например, три года;
- достижение цели обработки, например, на период заключения и исполнения договора купли-продажи;
- бессрочно до отзыва согласия посетителем сайта.
Если выбираете последний пункт, тогда составьте шаблон об отзыве согласия на обработку персональных данных и повесьте его на сайт. Образец документа можете скачать у нас:
Шаблон для отзыва согласия на обработку персональных данных.
Если изначальный срок согласия вышел, но вы продолжаете использовать личные данные гражданина, тогда продляйте период обработки. Чтобы продлить, пришлите клиенту новый запрос про то, что он не против использования его данных. Иначе РКН посчитает, что вы используете сведения незаконно.
Можно ли получить согласие на обработку персональных данных от ребенка
Дети до 14 лет по закону считаются недееспособными. Поэтому подписать согласие от их имени могут только взрослые.
Дети от 14 до 18 лет ограниченно дееспособны. В отношении них есть две противоположных точки зрения про то, как быть с согласием:
- первая – они не могут сами подписывать согласие на обработку персональных данных, нужна подпись взрослого. Исключение: мелкие бытовые покупки (п. 2 ст. 26 ГК РФ);
- вторая – они могут сами подписать согласие, потому что в Законе № 152-ФЗ запрета на это нет.
Чтобы избежать придирок РКН, поступайте по подсказкам специалистов, которые привели в таблице.
Таблица 2. Как получить согласие на обработку данных от ребенка 14–18 лет
Знаете ли вы, что посетитель сайта – ребенок 14–18 лет |
Какие действия |
Нет |
Повесьте на сайт форму с чек-боксом «Мне есть 18 лет», если продаете товары или услуги для совершеннолетних. Пусть форма появляется, когда посетитель заходит на сайт |
Да |
В форме согласия на обработку персональных данных сделайте две кнопки для ребенка и родителя |
Вот примеры таких особых форм подтверждения на сайтах алкогольных магазинов:
Как защищать персональные данные клиентов
Защита персональных данных – это процесс с кучей действий и внутренних регламентов. Вот главное, что нужно сделать:
- назначьте ответственного за обработку персональных данных;
- ограничьте доступ к персональным данным через сотрудников и через технические способы;
- пропишите защитные меры в положении о работе с персональными данными;
- оцените возможный вред от утечки персональных данных.
Давайте разберемся с каждым пунктом.
Назначаем ответственного
ОПД обязан назначить ответственного за обработку персональных данных (п. 1 ст. 22.1 Закона № 152-ФЗ). Таким ответственным может стать:
- штатный сотрудник. Например, системный администратор, который уже следит за информационной безопасностью, а в довесок возьмет на себя и контроль за персональными данными посетителей сайта;
- руководитель. Когда сотрудников мало или нет вовсе, то это единственный вариант;
- сторонний специалист. Например, работник аутсорсинговой компании, которая занимается защитой персональных данных.
Последний вариант связан с дополнительными сложностями. Если позовете аутсорсера, тогда придется брать у клиентов еще одно согласие – на передачу данных ему. А еще вносить данные об аутсорсере в специальный журнал учета выданных персональных данных. Причем если смените стороннего специалиста, то согласие придется получать заново – под нового ответственного. Поэтому эксперты советуют назначать своего сотрудника, чтобы не маяться потом с согласиями и журналами.
Когда выберете ответственного, назначьте его приказом руководителя. В приказе укажите на:
- обязанности ответственного. Можно переписать их из п.4 ст. 22.1 Закона № 152-ФЗ;
- прямую подотчетность директору. Это заложено в п. 2 ст. 22.1 Закона № 152-ФЗ;
- применение ответственным внутренних регламентов по обработке персональных данных.
Можете скачать у нас:
Ограничиваем доступ через сотрудников
Напишите список сотрудников, которые вправе пользоваться персональными данными клиентов. Это будут те, кто работает с такими сведениями, например, менеджеры по заказам. Остальные сотрудники будут ограничены в доступе. В списке перечислите не только должности, но и ФИО коллег с правом доступа. Утвердите его приказом руководителя.
Заодно возьмите с каждого сотрудника, работающего с персональными данными, письменное обязательство о их неразглашении. В должностных инструкциях пропишите право на доступ и обязанность не разглашать сведения о посетителях сайта.
А еще составьте регламент о допуске работников к персональным данным клиентов. С ним ознакомьте под подпись вообще всех сотрудников – даже тех, у кого допуска нет. Это нужно, чтобы нарушивших правила можно было наказать.
Итого вам нужны три формы документов. Делимся с вами их шаблонами:
Ограничиваем доступ через технические способы
Продумайте технические меры защиты. В их числе должны быть физические и «айтишные» способы сохранения информации, например, такие.
Таблица 3. Какими способами защитить персональные данные
Примеры способов: |
|
физические |
«айтишные» |
· Замки́; · сейфы; · жалюзи; · системы видеонаблюдения; · пропускные системы |
· Пароли; · резервные копии; · антивирусы; · системы обнаружения и предотвращения вторжений |
Вы сами решаете, какие защитные способы применять. Однако учитывайте, что написано в постановлении Правительства РФ от 01.11.2012 № 1119 (далее – Постановление № 1119). Там говорится о четырех уровнях защищенности персональных данных, которые зависят от трех факторов.
Таблица 4. Какие факторы определят уровень защиты персональных данных
Что влияет на уровень защиты |
В каком случае защита должна быть надежнее |
Возможные угрозы информационной системе компании |
Если используются программы, из которых возможна утечка персональных данных |
Тип собираемых персональных данных |
Если собираются биометрические и специальные сведения, например, о состоянии здоровья клиентов |
Количество клиентов, чьи данные собираются |
Если обрабатываются данные более 100 тысяч клиентов |
Чтобы понять, как вашему бизнесу защищать персональные данные посетителей сайта, сделайте вот что.
- Определите, какой уровень защиты из четырех вам нужен (п. 9–12 Постановления № 1119). Например, если обрабатываете только общедоступную информацию для менее 100 тысяч человек, то это будет IV уровень.
- Узнайте, насколько серьезную защиту выстраивать для своего уровня (п. 13–16 Постановления № 1119). Вот какой она может быть в зависимости от типа угрозы.
Таблица 5. Какие защитные способы нужны под конкретный уровень защиты
Что сделать |
Для какого уровня защиты данных |
|||
IV |
III |
II |
I |
|
· Ограничьте доступ в помещения с компьютерами, на которых храните персональные данные. · Обеспечьте сохранность носителей информации. · Утвердите перечень работников с доступом к данным. · Используйте средства защиты информации, которые соответствуют требованиям закона. · Назначьте ответственного за предупреждение хакерских атак |
+ |
+ |
+ |
+ |
· Назначьте ответственного за безопасность данных |
|
+ |
+ |
+ |
· Ограничьте доступ к электронному журналу сообщений |
|
|
+ |
+ |
· Обеспечьте автоматическую регистрацию изменений полномочий работников по допуску к персональным данным в электронном журнале безопасности. · Создайте отдел, ответственный за безопасность данных, либо возложите обязанность на один из существующих отделов |
|
|
|
+ |
Составляем положение о работе с персональными данными
В положении пропишите:
- с какой целью и какие персональные данные обрабатываете;
- у кого их собираете;
- как именно обрабатываете;
- на какой срок берете их в обработку;
- как храните;
- как и когда уничтожите.
Эти моменты нужно указать на основании пп. 2 п. 1 ст. 18.1 Закона № 152-ФЗ.
Положение утвердите приказом руководителя и разместите его на сайте. Обычно это делают в «подвале», например, так:
Примеры положений можно отыскать в интернете. Вот, к примеру, какие нам приглянулись:
А вот шаблон документа, который можно скачать у нас:
Положение о работе с персональными данными.
Оцениваем возможный вред
Оценка возможного вреда при утечке персональных данных проводится ответственным за работу с персональными данными. Если в одиночку он не справляется, тогда создается комиссия из него и других работников компании.
Результат оценки оформляется актом. В нем отмечается уровень вреда, который будет причинен клиентам из-за утечки в трех градациях – высокий, средний или низкий. Про критерии для каждого уровня написано в приказе Роскомнадзора от 27.10.2022 № 178. В таблице показали, какие они.
Таблица 6. От чего зависит уровень вреда
Что определяет |
Какой уровень вреда будет: |
||
высокий |
средний |
низкий |
|
Вид данных: |
|||
– биометрические |
+ |
– |
– |
– специальные |
+ |
– |
– |
– от несовершеннолетних лиц |
+ |
– |
– |
Цель обработки: |
|||
– оценочные исследования и обезличивание данных |
+ |
– |
– |
– цель, которой нет в уведомлении РКН |
– |
+ |
– |
Способ обработки: |
|||
– иностранным лицом по поручению компании |
+ |
– |
– |
– с использованием баз данных за границей |
+ |
– |
– |
– распространение на официальном сайте |
– |
+ |
– |
– путем прямых контактов с потребителями |
– |
+ |
– |
– с использованием чужих баз данных |
– |
+ |
– |
– с согласием на обработку без идентификации и аутентификации субъекта |
– |
+ |
– |
– с согласия субъекта и с правом обрабатывать данные в целях, несовместимых между собой |
– |
+ |
– |
– ведение общедоступных источников данных |
– |
– |
+ |
– назначение ответственным за обработку внештатного сотрудника |
– |
– |
+ |
Если обнаружили признаки сразу нескольких уровней вреда, выбирайте самый высокий из них.
Оценка вреда нужна для того, чтобы в случае утечки данных в течение 24 часов с момента выявления сообщить о ней в РКН (п. 3.1 ст. 21 Закона № 152-ФЗ). Данные из акта с оценкой вреда вводятся в электронное уведомление об утечке и без них отправить его не выйдет.
Пример акта можете посмотреть в файле для скачивания:
Акт оценки возможного вреда при работе с персональными данными.
Как хранить персональные данные клиентов
Для правильного хранения персональных данных выполните четыре действия.
Первое. Определите и утвердите место хранения. Решите, где будут накапливаться собранные данные о посетителях сайта и клиентах. Это может быть локальная компьютерная сеть компании или облачный сервер.
При выборе места учитывайте два момента:
- нельзя объединять базы данных, которые собирались для разных целей. Их нужно хранить отдельно (п. 14 постановления Правительства от 15.09.2008 № 687);
- храните персональные данные в РФ. Это так называемая локализация из п. 5 ст. 18 Закона № 152-ФЗ, запрещающая использовать зарубежные серверы. Если воспользуетесь услугами хостинг-провайдера с центрами обработки данных в другой стране, то РКН заблокирует сайт и впаяет штраф по ч. 8 или 9 ст. 13.11 КоАП.
Утвердите выбранное место хранения в приказе директора. Ознакомьте с ним под подпись ответственного за работу с персональными данными. Пример такого приказа можете посмотреть в нашем шаблоне:
Приказ об утверждении места хранения персональных данных.
Второе. Если храните персональные данные у третьих лиц, например, на облачном сервере, возьмите на это согласие у посетителей сайта. Иначе РКН одарит штрафом все по той же ст. 13.11 КоАП. А там за такое до 150 тыс. руб.
Вот пример согласия на обработку данных у третьих лиц:
Согласие на обработку персональных данных у третьих лиц.
Третье. Следите за сроками хранения. В согласии на обработку персональных данных вы указывали период, на который берете сведения о посетителях сайта. Не нарушайте его.
Если срок завершился или цель обработки достигнута, тогда уничтожайте или обезличивайте собранную информацию (п. 7 ст. 5 Закона № 152-ФЗ). Про уничтожение расскажем дальше, а про обезличивание – сейчас.
Обезличить персональные данные – это значит убрать привязку к конкретному человеку. Например, оставить только ФИО, но удалить номер телефона и email. Вот пример необезличенных данных:
- ФИО: Иванова Мария Ивановна;
- номер телефона: +7 912 1234567;
- email: IvanovaMI@inbox.ru.
А вот обезличенные сведения – Иванова Мария Ивановна.
Четвертое. Проконтролируйте, чтобы правила хранения персональных данных были в положении о работе с ними. Выше мы уже говорили про этот документ.
Если там такого нет, тогда составьте отдельный регламент. Так его и назовите – Положение о порядке хранения персональных данных. Ознакомьте с ним под подпись сотрудников, которые работают с персональными данными.
Как передавать персональные данные, в том числе трансгранично
Передача персональных данных происходит, когда они «выходят» за пределы вашей компании. Вот парочка примеров:
- заказы доставляют курьеры из сторонней фирмы, и для этого вы отдаете им адреса и ФИО ваших заказчиков;
- вы подключили на сайт Google Analytics или собираете анкеты от клиентов через Google Forms.
Если персональные данные передаются по РФ, то тут все просто. Нужно лишь получить еще одно согласие от клиента. Вот его примерная форма:
Запрос согласия на распространение персональных данных.
А если передача идет за рубеж, то дополнительно придется уведомлять РКН. Причем иногда еще и проверять, насколько хорошо иностранное государство защищает права субъектов персональных данных (п. 3, пп. 2 п. 5 ст. 12 Закона № 152-ФЗ). Это такой подарок от чиновников с 01.03.2023 из постановления Правительства РФ от 16.01.2023 № 24. Подробности смотрите в таблице.
Таблица 7. Как соблюсти Закон № 152-ФЗ при трансграничной передаче персональных данных
Что нужно сделать |
В какую страну передаете сведения: |
|
с адекватной защитой персональных данных* |
в прочие государства |
|
· Получить согласие от клиентов на передачу персональных данных. · Запросить у принимающей стороны сведения о ней: наименование, номера контактных телефонов, почтовый адрес и email. · Узнать у принимающей стороны, как будут защищаться данные и когда их обработка прекратится |
+ |
+ |
· Уведомить РКН о трансграничной передаче персональных данных. Передачу можно начать, не дожидаясь ответа от РКН |
+ |
|
· Оценить уровень защиты данных в стране, куда передаются данные. · Уведомить РКН о трансграничной передаче персональных данных. · В течение 10 рабочих дней ждать ответ от РКН. В ответе могут прийти разрешение, запрет или запрос дополнительных сведений. В случае запрета передавать данные нельзя |
|
+ |
Примечание: * это страны из приказа РКН от 05.08.2022 № 128 |
Давайте разберемся, как:
- подать уведомление в РКН;
- оценить уровень защиты в «неадекватной» стране.
Как подать уведомление о трансграничной передаче в РКН
Образец уведомления о трансграничной передаче смотрите на сайте РКН. Там же его можно отправить, предварительно пройдя аутентификацию на Госуслугах.
Если РКН найдет ошибки в присланном уведомлении, то попросит уточнить сведения. С уточнениями нужно уложиться в пять рабочих дней (п. 7, 8 Правил из постановления Правительства от 16.01.2023 № 24).
Как оценить уровень защиты персональных данных в «неадекватной» стране
В нормативке не написано, как это делать. Поэтому придется изворачиваться самим.
Эксперты советуют запросить нужные сведения напрямую у иностранного контрагента. Узнайте у него, что делает он сам и его государство, чтобы обеспечить надежную защиту персональных данных. Вероятно, РКН устроит такой уровень защиты, который не ниже, чем в РФ.
Вот несколько нюансов про запрос у контрагента:
- запрос и ответ на него оформляются в свободной форме – требований к ним нет. Поэтому если ответ придет на иностранном языке, переводить для чиновников на русский не обязательно;
- контрагент может не ответить, тогда придется искать другие способы. Например, изучать законы страны в сфере защиты персональных данных;
- ни запрос, ни ответ не прикладываются к уведомлению о трансграничной передаче. Там есть только дата окончания проведения оценки. Она должна совпадать с датой отчета о проверке защиты персональных данных. Составляйте его на основании ответа контрагента или исследований зарубежной нормативки.
Как правильно уничтожить персональные данные
ОПД уничтожает персональные данные в четырех случаях. Обобщили их в таблице.
Таблица 8. Когда нужно уничтожить персональные данные
В каком случае |
В какой срок |
Где про это в Законе № 152-ФЗ |
По требованию гражданина, в любом из двух случаев: · ОПД получил данные незаконно. Например, купил базу с ними на черном рынке; · для заявленной цели обработки часть данных лишняя. Например, пиццерия запрашивает скан паспорта для интернет-заказа |
7 рабочих дней с даты получения требования |
П. 1 ст. 14, п. 3 ст. 20 |
ОПД установил, что неправомерно обрабатывает данные. Например, данные остались в базе после окончания срока их обработки |
10 рабочих дней с даты выявления неправомерной обработки |
П. 3 ст. 21 |
ОПД достиг цели обработки. Например, выполнил заказ, под который брал данные* |
30 дней с даты достижения цели обработки |
П. 4 ст. 21 |
Гражданин отозвал согласие на обработку данных* |
30 дней с даты поступления отзыва, если для целей обработки данные не нужно сохранять |
П. 5 ст. 21 |
Примечание: * в отмеченных случаях ОПД вправе не уничтожать данные, если: · договорится об этом с гражданином. Например, отправит ему уведомление о сохранении данных в базе по завершении конкурса, под который эти данные собирались, а гражданин даст на это согласие; · ОПД не нужно согласие на обработку данных. Например, адрес клиента запрашивается для исполнения договора купли-продажи |
Уничтожение данных проходит в три этапа.
Первый. Удалите персональные данные из информационной системы так, чтобы их нельзя было восстановить. Например, одновременно очистите «Корзину» на ПК или удалите резервную копию с данными.
Удалить может ответственный за обработку персональных данных или комиссия из него и других работников. Однако комиссия не обязательна.
Второй. Составьте акт об уничтожении. Включите в него десять обязательных пунктов (п. 3 приказа Роскомнадзора от 28.10.2022 № 179):
- наименование и адрес ОПД;
- наименование и адрес того, кто обрабатывает персональные данные по поручению ОПД, если есть такое поручение;
- ФИО тех, чьи персональные данные уничтожаются;
- ФИО, должности, подписи тех, кто уничтожил данные;
- перечень уничтоженных данных;
- наименование уничтоженного материального носителя и количество листов в нем, если данные были на бумаге;
- наименование информационной системы, из которой были уничтожены данные;
- способ уничтожения;
- причина уничтожения;
- дата уничтожения.
Третий. Сделайте выгрузку из журнала регистрации событий в информационной системе, где хранились уничтоженные персональные данные. В выгрузке должны быть пять пунктов (п. 5 приказа Роскомнадзора от 28.10.2022 № 179):
- ФИО тех, чьи персональные данные уничтожаются;
- перечень уничтоженных данных;
- наименование информационной системы, из которой были уничтожены данные;
- причина уничтожения;
- дата уничтожения.
Если информация система не формирует выгрузку со всеми этими параметрами – не страшно. Тогда они будут взяты из акта. Акт и выгрузку храните три года с даты уничтожения данных (п. 6, 8 приказа Роскомнадзора от 28.10.2022 № 179).
Как информировать чиновников об утечке персональных данных
Сообщайте в РКН, если персональные данные клиентов неправомерно утекли на сторону. Например, базу с ними взломал хакер или данные слил в сеть нечестный сотрудник.
Сообщить нужно дважды. В таблице показали, о чем и в какие сроки.
Таблица 9. Что сообщить в РКН об утечке персональных данных
Что сообщить |
В какой срок с момента утечки |
Где про это написано в Законе № 152-ФЗ |
Информацию о: · произошедшей утечке; · предполагаемых причинах и вреде; · принятых мерах по устранению последствий; · сотруднике, который будет взаимодействовать с РКН по утечке |
24 часа |
Пп. 1 п. 3.1 ст. 21 |
Информацию о: · результатах внутреннего расследования; · виновниках утечки при их наличии |
72 часа |
Пп. 2 п. 3.1 ст. 21 |
Оба уведомления подаются на сайте РКН.
Сами видите, что сроки для уведомлений в РКН очень сжатые. Поэтому юристы советуют написать еще один регламент про внутреннее расследование утечки. Укажите в нем:
- кто его проведет;
- как это сделает;
- как оформит результат проверки.
Так сэкономите время на организационных вопросах и уложитесь в отведенные на расследование 72 часа.
Какова ответственность за нарушение Закона о персональных данных
Ответственность за нарушение Закона № 152-ФЗ может быть административной, гражданско-правовой и даже уголовной. Разберемся с каждым видом.
Административная ответственность
Это штрафы по КоАП. Ими накажут, если, например, нарушите правила обработки персональных данных или не уведомите РКН, когда это требуется. Санкций тут хоть отбавляй. Смотрите их в таблице.
Таблица 10. На сколько оштрафуют за нарушение Закона № 152-ФЗ
За что |
Кого и на сколько, тыс. руб. |
Где про это написано в КоАП |
||||
Физлицо (не ИП) |
Должностное лицо |
ИП |
Юрлицо |
|||
Обрабатывали персональные данные в незаконных случаях |
I* |
2–6 |
10–20 |
10–20 |
60–100 |
Ст. 2.4, п. 1 ст. 13.11 |
II* |
4–12 |
20–50 |
50–100 |
100–300 |
П. 1.1 ст. 13.11 |
|
Обрабатывали персональные данные без письменного согласия владельца |
I |
6–10 |
20–40 |
20–40 |
30–150 |
Ст. 2.4, п. 2 ст. 13.11 |
II |
10–20 |
40–100 |
100–300 |
300–500 |
П. 2.1 ст. 13.11 |
|
Не опубликовали политику обработки персональных данных |
× |
1,5–3 |
6–12 |
10–20 |
30–60 |
П. 3 ст. 13.11 |
Не предоставили субъекту персональных данных информацию по его запросу |
× |
2–4 |
8–12 |
20–30 |
40–80 |
П. 4 ст. 13.11 |
Не выполнили в срок требования об уточнении, блокировании или уничтожении персональных данных |
I |
2–4 |
8–20 |
20–40 |
50–90 |
П. 5 ст. 13.11 |
II |
20–30 |
30–50 |
50–100 |
300–500 |
П. 5.1 ст. 13.11 |
|
Не выполнили обязанность по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных, которые собрали через интернет |
I |
30–50 |
100–200 |
1 000–6 000 |
1 000–6 000 |
П. 8 ст. 13.11 |
II |
50–100 |
500–800 |
6 000–18 000 |
6 000–18 000 |
П. 9 ст. 13.11 |
|
Не предоставили информацию по требованию Роскомнадзора |
× |
0,1–0,3 |
0,3–0,5 |
0,3–0,5 |
3–5 |
Ст. 2.4, 19.7 |
Препятствуете проверке Роскомнадзора или уклоняетесь от нее |
× |
0,5–1 |
2–4 |
2–4 |
5–10 |
Ст. 2.4, п. 1 ст. 19.4.1 |
Помешали Роскомнадзору завершить проверку |
I |
– |
5–10 |
5–10 |
20–50 |
Ст. 2.4, п. 2 ст. 19.4.1 |
II |
– |
10–20 или дисквалификация от полугода до года |
50–100 |
Ст. 2.4, п. 3 ст. 19.4.1 |
||
Не выполнили в срок предписание Роскомнадзора об устранении нарушений |
× |
0,3–0,5 |
1–2 или дисквалификация до 3 лет |
10–20 |
Ст. 2.4, п. 1 ст. 19.5 |
|
Примечание: · I – за первое нарушение; · II – за повторное нарушение |
Гражданско-правовая ответственность
Здесь не будет такой «портянки» со штрафами, как выше, потому что гражданско-правовая ответственность индивидуальна. Она наступит, если гражданин докажет в суде, что понес убытки и моральный вред из-за ОПД (п. 1 ст. 1064 ГК РФ, п. 2 ст. 24 Закона № 152-ФЗ).
Если судья увидит связь между незаконными действиями с персональными данными, а также ущербом и страданиями гражданина, то обяжет виновного оператора компенсировать все это деньгами.
Уголовная ответственность
Наказать по УК за неправильную обработку персональных данных тоже можно. Правда, не прямо, а косвенно.
Например, кто-то собирает или распространяет информацию о частной жизни гражданина без его согласия. Правоохранители могут подвести это под п. 1 ст. 137 УК. А там за такое широкий спектр санкций – от штрафа в 200 тыс. руб. до тюрьмы на два года.
А еще законодатели рассматривают вопрос о введении уголовки за утечку персональных данных, но пока это лишь в планах.
Процесс сбора персональных данных на сайте – это вопрос для серьезной внутренней проверки. Там только одних форм согласий может быть штуки четыре: на обработку данных, на сбор информации через cookie, на рекламную рассылку, а еще на передачу сведений третьим лицам. Но прочекать, все ли нужные «бумажки» у вас есть, стоит. Зачем подвергать себя риску штрафов от РКН, так ведь?
Чтобы оставить комментарий пожалуйста Авторизуйтесь