Проверки Роскомнадзора: что такое персональные данные и как их защищать

Иван Носков, юрист "Зарцын и партнеры"

Роскомнадзор и персональные данные

В первой нашей статье этого цикла мы говорили о том, что Роскомнадзор может проверять компании по нескольким основаниям. А в этой части мы более подробно поговорим о проверках, касающихся персональных данных.

Тем более что в начале января этого года Роскомнадзор заявил о масштабных проверках интернет-бизнеса по соблюдению ими 152-ФЗ.

На что обращают внимание инспекторы

1. Порядок проведения проверки во многом зависит от специфики вашего бизнеса, но есть некие общие постулаты, которым следуют инспекторы. Прежде всего, они захотят ознакомиться со всеми необходимыми внутренними документами по обработке ПДн. И обязательно обратят внимание на то, подавали ли вы уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Безусловно, не всем и не всегда это уведомление нужно подавать. Существует перечень персональных данных, которые можно обрабатывать без уведомления:

• данные, которые обрабатываются в соответствии с трудовым законодательством, – это данные ваших штатных работников;
• данные, полученные оператором в связи с заключением договора, стороной которого является субъект ПДн, если эти данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн, – это данные ваших пользователей и клиентов;
• данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующей в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• данные, сделанные субъектом персональных данных общедоступными;
• данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
• данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ;
• данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании.

Бывают случаи, когда информация, имеющаяся у ведомства, может не соответствовать действительности. Например, если после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, такую компанию могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Стоит обратить внимание, что вне проверки Роскомнадзор имеет право направить оператору ПДн запрос о предоставлении обоснования ненаправления уведомления об обработке ПДн. На такой запрос следует отвечать оперативно (в срок 30 дней), иначе вы можете быть привлечены к административной ответственности.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее.

Инспекторам также может быть интересна форма согласия на обработку персональных данных. Она должна соответствовать требованиям закона.

Из основных значимых документов, запрашиваемых при проведении регулятором проверки соблюдения компанией норм закона о персональных данных (ПДн), можно выделить следующие (пункты касаются как автоматизированной обработки, так и неавтоматизированной):

• Уведомление об обработке ПДн.
• Документ, определяющий ответственного за организацию обработки ПДн.
• Перечень сотрудников, допущенных к обработке ПДн.
• Документ, определяющий места хранения ПДн.
• Справка об обработке специальных и биометрических категорий ПДн.
• Справка об осуществлении трансграничной передачи ПДн.
• Типовые формы документов с ПДн.
• Порядок уничтожения ПДн.
• Порядок передачи ПДн третьим лицам.
• Типовая форма согласия на обработку ПДн.
• Порядок учета обращений субъектов ПДн.
• Перечень информационных систем персональных данных (ИСПДн).
• Документы, регламентирующие резервирование данных в ИСПДн.
• Перечень используемых средств защиты информации.
• Матрица доступа.
• Модель угроз.
• Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Журнал учета машинных носителей ПДн.

Более подробный список можно посмотреть по ссылке.

2. Помимо документации, Роскомнадзор обязательно проверит сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных или нет согласия на сбор ПДн, компанию могут оштрафовать.

Так, например, при мониторинге одного из сайтов было установлено, что на нем размещен справочник, содержащий ФИО и телефоны физлиц. Однако данные были размещены без согласия физлиц.

Суд указал следующее: «…в данном случае ответчиком доказательств того, что опубликованные им на сайте «golix.ru» персональные данные граждан были получены и обрабатываются им с согласия их владельцев, как и соблюдения требований ч. 1 ст. 22 Закона, суду не предоставлено. Более того, об отсутствии согласия граждан на обработку их персональных данных указал в суде сам ответчик, пояснив, что такого согласия не требовалось в силу ст. 8 Закона. Между тем статьей 8 Закона прямо предусмотрено, что включение персональных данных лица в справочники (адресные книги) возможно только с письменного согласия субъекта персональных данных» (cм. подробнее Решение по делу № 2-982/2013 от 06.02.2013. Невский районный суд (город Санкт-Петербург).

3. Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции. Поэтому собирать подобную информацию в интернет-магазине не стоит, так как цель обработки персональных данных в этом случае – доставка покупателю товара и для этого явно не требуются сведения о здоровье.
4. Если ваша компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта, компании для проведения е-mail-рассылок), следует обратить внимание на то, как составлен договор с этими компаниями.

Согласно ч. 3 ст. 6 № 152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Инспектор обязательно попросит копию договора.

Например, при проверке одного из банков выяснилось, что согласие на сбор персональных данных не содержит полного перечня данных, которые обрабатываются. И суд указал в решении следующее: «…на основании изложенного «Согласие на обработку персональных данных» содержит неполный перечень персональных данных, на обработку которых дается согласие субъекта персональных данных (например, о воинском учете, семейном положении, детях), что является нарушением ч. 4 ст. 9 Федерального закона «О персональных данных». Согласие субъекта персональных данных на обработку таких данных необходимо в целях соблюдения прав клиента, поскольку банк без согласия клиента фактически ведет обработку таких данных, которые впоследствии могут быть переданы, например, коллекторскому агентству (могут быть переданы сведения о детях, семье клиента и т. д.) и использованы им» (Постановление по делу № А60-1187/2015 от 10.06.2015. 17-й ААС).

5. В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.