Вопросы защиты персональных данных (ПД) касаются всех и становятся все более актуальными из-за роста утечек ПД и мошеннических действий.
С развитием интернет-торговли и дистанционных способов продаж, наверное, не осталось ни одной компании, не имеющей доступ к данным своих клиентов. Особое внимание вопросам обработки ПД следует уделить компаниям потребительского сектора, сферы торговли и туризма.
Кроме того, любой работодатель сталкивается с необходимостью обработки ПД в отношении работников.
Требования к ПД регулярно уточняются, поэтому предпринимателям необходимо держать руку на пульсе, чтобы вовремя принять соответствующие меры.
Если предприятие получает, хранит, использует ПД, оно считается оператором ПД и его действия признаются обработкой ПД.
Для начала нужно ознакомиться с основным законом, регулирующим работу с ПД, – Федеральным законом № 152-ФЗ.
Следит за исполнением законодательства в сфере защиты ПД Роскомнадзор. Ведомство создало специальный сайт, посвященный ПД, – Портал персональных данных.
Отметим основные моменты:
1. ПД – это любая информация о гражданине, по которой прямо или косвенно можно определить человека. Перечень ПД о человеке входят не только Ф. И. О., но и адрес проживания, сведения об имуществе (например, номер машины или квартиры) и другие.
2. Чтобы начать законно обрабатывать ПД, в первую очередь потребуется:
1) определить лицо, ответственное за организацию обработки ПД;
2) утвердить политику обработки ПД, определяющую цели, виды обрабатываемых ПД, порядок и условия их обработки. Для разработки такого документа воспользуйтесь рекомендациями Роскомнадзора. Составить документ можно на основе шаблона, размещенного в сервисе Конструктор документов Цифровой платформы МСП.РФ.
3) уведомить Роскомнадзор о начале обработки ПД по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180, который, получив уведомление, включит предприятие в реестр операторов ПД.
Первые два требования обязательны только для организаций. Но если у ИП имеются сотрудники, то наличие порядка обработки ПД работников, порядка хранения и использования ПД работников предусмотрено требованиями трудового законодательства (пункт 8 статьи 86, статья 87 Трудового кодекса Российской Федерации).
Назначение лица, ответственного за организацию обработки ПД (его обязанности установлены частью 4 статьи 22.1 Федерального закона № 152-ФЗ), не обязательно для ИП: вопрос о целесообразности принятия данного решения решается предпринимателями самостоятельно. Вместе с тем наличие ответственного сотрудника поможет организовать соблюдение оператором ПД и его работниками требований законодательства о ПД и не допустить нарушений.
Случаи, когда обрабатывать ПД не требуется, установлены частью 2 статьи 1 Федерального закона № 152-ФЗ (например, обработка ПД для личных или семейных нужд).
Вести обработку ПД без уведомления Роскомнадзора можно лишь в исключительных случаях, перечисленных в части 2 статьи 22 Федерального закона № 152-ФЗ (например, если вы осуществляете обработку таких данных исключительно без использования средств автоматизации).
3. После включения в реестр операторов ПД потребуется своевременно направлять в Роскомнадзор различные уведомления о работе с ПД (об изменениях или о прекращении обработки ПД, об инцидентах, связанных с утечкой ПД), а также предоставлять документы и информацию по запросам Роскомнадзора или граждан, данные о которых обрабатываются.
4. Важно при обработке ПД соблюдать принципы обработки ПД: она должна быть целевой и достаточной. Необходимо обеспечивать раздельное хранение ПД, обработка которых осуществляется в различных целях.
5. В общем случае без согласия гражданина обрабатывать ПД нельзя. Нужно правильно его оформить – письменно либо в форме электронного документа. Согласие на обработку ПД может быть оформлено отдельно либо содержаться в приложении к какому-то документу (например, договору).
Шаблон согласия доступен в Конструкторе документов. Требование к его содержанию установлены статьей 9 Федерального закона № 152-ФЗ. Так, согласно части 1 статьи 9 Федерального закона № 152-ФЗ согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным.
Случаи, когда такое согласие не требуется, установлены пунктами 2-11 части 1 статьи 6 Федерального закона № 152-ФЗ. Согласие не понадобится, если обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
Оператор ПД как работодатель обязан ознакомить своих работников с локальным актом по вопросам обработки ПД, а также опубликовать или иным образом обеспечить неограниченный доступ к такому документу (пункт 6 части 1 и часть 2 статьи 18.1 Федерального закона № 152-ФЗ).
При этом, если вы осуществляете сбор ПД физических лиц через сайт, то такой документ должен быть опубликован на этом сайте и доступен для ознакомления всем желающим.
6. При сборе, обработке, хранении ПД оператор обязан принимать меры для защиты ПД от неправомерного и случайного доступа, копирования, блокирования и распространения. Это могут быть организационные и технические меры. Требования к защите ПД в информационных системах утверждены постановлением Правительства Российской Федерации от 01.11.2012 № 1119, а без использования средств автоматизации – постановлением Правительства Российской Федерации от 15.09.2008 № 687.
7. Оператор ПД обязан прекратить обработку ПД и уничтожить ПД в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, при этом хранить доказательства уничтожения ПД требуется не менее 3 лет.
8. Несоблюдение установленных требований к обработке ПД может повлечь административную ответственность (статья 13.11 КоАП).
