Проверки Роскомнадзора: что такое персональные данные и как их защищать

Игорь Бахарев

Иван Носков, юрист "Зарцын и партнеры"

Проверки Роскомнадзора: что такое персональные данные и как их защищать - 1Роскомнадзор и персональные данные

В первой нашей статье этого цикла мы говорили о том, что Роскомнадзор может проверять компании по нескольким основаниям. А в этой части мы более подробно поговорим о проверках, касающихся персональных данных.

Тем более что в начале января этого года Роскомнадзор заявил о масштабных проверках интернет-бизнеса по соблюдению ими 152-ФЗ.

На что обращают внимание инспекторы

  1. Порядок проведения проверки во многом зависит от специфики вашего бизнеса, но есть некие общие постулаты, которым следуют инспекторы. Прежде всего, они захотят ознакомиться со всеми необходимыми внутренними документами по обработке ПДн. И обязательно обратят внимание на то, подавали ли вы уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Безусловно, не всем и не всегда это уведомление нужно подавать. Существует перечень персональных данных, которые можно обрабатывать без уведомления:

  • данные, которые обрабатываются в соответствии с трудовым законодательством, – это данные ваших штатных работников;
  • данные, полученные оператором в связи с заключением договора, стороной которого является субъект ПДн, если эти данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн, – это данные ваших пользователей и клиентов;
  • данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующей в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • данные, сделанные субъектом персональных данных общедоступными;
  • данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  • данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ;
  • данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании.

Бывают случаи, когда информация, имеющаяся у ведомства, может не соответствовать действительности. Например, если после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, такую компанию могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Стоит обратить внимание, что вне проверки Роскомнадзор имеет право направить оператору ПДн запрос о предоставлении обоснования ненаправления уведомления об обработке ПДн. На такой запрос следует отвечать оперативно (в срок 30 дней), иначе вы можете быть привлечены к административной ответственности.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее.

Инспекторам также может быть интересна форма согласия на обработку персональных данных. Она должна соответствовать требованиям закона.

Из основных значимых документов, запрашиваемых при проведении регулятором проверки соблюдения компанией норм закона о персональных данных (ПДн), можно выделить следующие (пункты касаются как автоматизированной обработки, так и неавтоматизированной):

  • Уведомление об обработке ПДн.
  • Документ, определяющий ответственного за организацию обработки ПДн.
  • Перечень сотрудников, допущенных к обработке ПДн.
  • Документ, определяющий места хранения ПДн.
  • Справка об обработке специальных и биометрических категорий ПДн.
  • Справка об осуществлении трансграничной передачи ПДн.
  • Типовые формы документов с ПДн.
  • Порядок уничтожения ПДн.
  • Порядок передачи ПДн третьим лицам.
  • Типовая форма согласия на обработку ПДн.
  • Порядок учета обращений субъектов ПДн.
  • Перечень информационных систем персональных данных (ИСПДн).
  • Документы, регламентирующие резервирование данных в ИСПДн.
  • Перечень используемых средств защиты информации.
  • Матрица доступа.
  • Модель угроз.
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Журнал учета машинных носителей ПДн.

Более подробный список можно посмотреть по ссылке.

  1. Помимо документации, Роскомнадзор обязательно проверит сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных или нет согласия на сбор ПДн, компанию могут оштрафовать.

Так, например, при мониторинге одного из сайтов было установлено, что на нем размещен справочник, содержащий ФИО и телефоны физлиц. Однако данные были размещены без согласия физлиц.

Суд указал следующее: «…в данном случае ответчиком доказательств того, что опубликованные им на сайте «golix.ru» персональные данные граждан были получены и обрабатываются им с согласия их владельцев, как и соблюдения требований ч. 1 ст. 22 Закона, суду не предоставлено. Более того, об отсутствии согласия граждан на обработку их персональных данных указал в суде сам ответчик, пояснив, что такого согласия не требовалось в силу ст. 8 Закона. Между тем статьей 8 Закона прямо предусмотрено, что включение персональных данных лица в справочники (адресные книги) возможно только с письменного согласия субъекта персональных данных» (cм. подробнее Решение по делу № 2-982/2013 от 06.02.2013. Невский районный суд (город Санкт-Петербург).

  1. Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции. Поэтому собирать подобную информацию в интернет-магазине не стоит, так как цель обработки персональных данных в этом случае – доставка покупателю товара и для этого явно не требуются сведения о здоровье.
  2. Если ваша компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта, компании для проведения е-mail-рассылок), следует обратить внимание на то, как составлен договор с этими компаниями.

Согласно ч. 3 ст. 6 № 152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Инспектор обязательно попросит копию договора.

Например, при проверке одного из банков выяснилось, что согласие на сбор персональных данных не содержит полного перечня данных, которые обрабатываются. И суд указал в решении следующее: «…на основании изложенного «Согласие на обработку персональных данных» содержит неполный перечень персональных данных, на обработку которых дается согласие субъекта персональных данных (например, о воинском учете, семейном положении, детях), что является нарушением ч. 4 ст. 9 Федерального закона «О персональных данных». Согласие субъекта персональных данных на обработку таких данных необходимо в целях соблюдения прав клиента, поскольку банк без согласия клиента фактически ведет обработку таких данных, которые впоследствии могут быть переданы, например, коллекторскому агентству (могут быть переданы сведения о детях, семье клиента и т. д.) и использованы им» (Постановление по делу № А60-1187/2015 от 10.06.2015. 17-й ААС).

  1. В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Материал по теме

Онлайн-магазины хотят защитить от "сатанинской атрибутики"

Материал по теме

Офлайн-торговля хочет получить привелегии онлайна

Материал по теме

Власти ограничат рассрочку

Подписаться на новости

Актуальное сейчас

В Data Insight оценили онлайн-рынок БАДов

Основной канал продажи БАДов в онлайн-торговле - это маркетплейсы, рассказал партнёр Data Insight Фёдор Вирин. По его оценке, в 2024 году крупные площадки продадут их чуть менее чем на 40 млрд рублей все вместе...

Товары OBI теперь доступны на Ozon

Покупатели маркетплейса теперь могут найти на онлайн-витрине до 26 тысяч товаров из OBI - крупной сети DIY-гипермаркетов. Все для обустройства квартиры, ремонта, декор, техника, новогодние ели и другие това...

Мегамаркет начал работать с продавцами путёвок

Мегамаркет, один из крупнейших российских маркетплейсов, объявил о запуске нового направления, посвященного путешествиям. Теперь пользователи платформы могут не только приобрести товары для дома и быта, но ...

Россияне вспоминают о забытых товарах в первые 10 минут после оформления заказа

Сервис доставки из магазинов и ресторанов Купер и исследовательская компания "Онин" выяснили, что 39% россиян забывают положить те или иные товары в корзину при покупках онлайн. Чаще всего это делает молоде...

Где найти инвестиции в развитие собственных команд разработки: опыт "Здравсити"

Современный темп развития онлайн-торговли невозможно выдержать без развития собственных кросс-функциональных команд разработки. В условиях интенсивного роста бизнеса затраты на аутсорс нецелесообразны. Компе...

Селлеры пожаловались на экстремистов

В 2024 году с проявлениями потребительского экстремизма столкнулись 62% продавцов на маркетплейсах. Как говорится в исследовании, проведенном Федеральным обществом сетевой торговли (ФОСТ), которое объединяе...

Согласие на обработку персональных данных

×

Физическое лицо, оставляя заявку на веб-сайте e-pepper.ru через форму «Обсудим ваш проект» и форму подписки на e-mail рассылку, действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее — Согласие) Обществу с ограниченной ответственностью «АЭРОКОМ» (ООО «АЭРОКОМ») (ИНН 9705136776, info@aeroidea.ru, +7(495)120-12-38, +7 968 900-23-45), которому принадлежит веб-сайт https://e-pepper.ru и которое зарегистрировано по адресу 111024, г. Москва, вн.тер.г.муниципальный округ Лефортово, ул. Авиамоторная, д.50, стр.2, этаж 2, помещ.XI, комната 25, офис А79, на обработку своих персональных данных со следующими условиями:

  1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
  2. Согласие дается на обработку следующих моих персональных данных: персональные данные, не относящиеся к специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона.
  3. Цель обработки персональных данных: обсуждение возможного проекта.
  4. В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
  5. Третьи лица, обрабатывающие персональные данные по поручению ООО "Аэроком” для указанной в согласии цели:
    • АО "АМОЦРМ", 21205, г. Москва, вн.тер.г. Муниципальный Округ Можайский, Тер Сколково Инновационного Центра, б-р Большой, д. 42 стр. 1
    • ООО "Яндекс", 119021, г. Москва, ул. Льва Толстого, д. 16
  6. Персональные данные обрабатываются в течение 30 дней с момента отказа в дальнейшем обсуждении проекта или с момента принятия решения о заключении договора на проект в соответствии с ч. 4 ст. 21 152-ФЗ, смотря что произойдет раньше.
  7. Согласие может быть отозвано вами или вашим представителем путем направления ООО "Аэроком” письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
  8. В случае отзыва вами или вашим представителем Согласия ООО "Аэроком” вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г.
  9. Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п. 6 и п. 7 Согласия.