Для чего нужны персональные данные
3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах
Консультант Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.
При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.
В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.
Что говорит законодательство?
Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.
Что говорит Роскомнадзор?
На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:
сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.
Что говорит судебная практика?
Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.
Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
Что говорит законодательство?
Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Что говорит Роскомнадзор?
На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.
По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.
Что говорит судебная практика?
Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.
Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.
Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).
Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.
Что говорит законодательство?
В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:
для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
Что говорит Роскомнадзор?
На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:
персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
не указан перечень организаций, в которые передаются персональные данные;
требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
Что говорит судебная практика?
Рассмотрим два примера с противоположными решениями суда.
В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).
В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.
В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.
Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.
Интервью с экспертом. Как работать с персональными данными работников в 2021 году
координатор кадрового и hr-направления в Контур.Школе
Про обязательный перечень документов, штрафы, уведомление Роскомнадзора и контрольные точки
2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.
В конце статьи есть шпаргалка
Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?
Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.
С 1 марта 2021 года:
С 1 июля 2021 года:
Есть ли обязательный перечень документов по персональным данным для организаций?
Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.
Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.
Главный нормативно-правовой акт, которым необходимо руководствоваться в работе с персональными данными, — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
Основные обязательные документы:
Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.
При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:
Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.
Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.
Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).
Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.
Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.
Каковы штрафы за нарушения обработки и распространения персональных данных?
Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.
Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.
Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:
За повторное нарушение ввели новые штрафы:
Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?
Что необходимо проверить:
Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?
Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:
В конце статьи есть шпаргалка
За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:
Штраф носит разовый характер, нарушение необходимо исправить по предписанию инспектора (ст. 19.7 КоАП РФ).
С чего кадровику начать внутренний аудит документации по персональным данным, чтобы выявить и исправить нарушения?
Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.
Алгоритм действий:
Какие самые частые нарушения допускают кадровики при работе с персональными данными?
Самые распространенные нарушения по персональным данным:
О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.
Какие согласия нужно взять с работника при приеме на работу?
Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).
Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?
У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.
Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.
На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.
Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.
Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?
Когда можно предоставлять персональные данные без согласия работника
Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.
Когда нельзя предоставлять персональные данные без согласия работника
На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.
Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.
Как действовать при запросе данных третьими лицами
Попросите направить к вам в организацию официальный письменный запрос. Это может быть текст на официальном или обычном бланке организации с подписью ответственного лица и печатью при ее наличии. Требований к таким запросам законодательно не предусмотрено.
Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?
Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.
Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?
Достаточно получить от работника согласие на обработку персональных данных его детей. Если дети не достигли 18-летнего возраста, работник будет выступать законным представителем своего ребенка, и этого документа будет достаточно, чтобы вручить подарки. Согласие оформляется в соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ.
Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?
Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:
Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.
Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.
Оптимально хранить оригиналы документов, необходимые работодателю:
Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.
Рекомендации кадровикам по работе с персональными данными работников
Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения.
Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.
Это позволит вам организовать работу правильно, выявить и исправить нарушения до прихода инспектора.
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ
Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать
В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.
Обеспечить защиту данных
Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:
Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.
Что будет, если не защитить данные
Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:
Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.
Разработать документы, описывающие порядок работы с персональными данными
Публичные документы: их показываем тем, у кого берем персональные данные
Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.
Образец согласия на обработку персональных данных. Источник
Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.
Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.
Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».
Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».
Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.
Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными
Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.
Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.
Образец приказа о назначении ответственного за персональные данные. Источник
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.
Что будет, если не разработать документы
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.
Что будет, если не отправить уведомление
Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:
Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.
Получить согласие можно двумя способами: