Отчет: Интернет-интервью "Персональные данные" с руководителем Управления Роскомнадзора по СКФО Поляничевым Д.В.

 Уважаемые коллеги!

ii polyanichev

В течение чуть более месяца на сайте Консультант-СКИФ можно было задать свой вопрос в Роскомнадзор по СКФО на тему: «Персональные данные». Подводя итоги интернет-интервью, мы задаем вопросы руководителю Управления Роскомнадзора по Северо-Кавказскому федеральному округу Поляничеву Дмитрию Вячеславовичу.

Консультант-СКИФ: С июля этого года увеличилась ответственность за несоблюдение законодательства  персональных данных, произошли изменения в части надзора. Расскажите, пожалуйста, какие новшества являются более значимыми, и в чем их суть?

Дмитрий Вячеславович: Действительно, с 1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях.

Поправки наделяют Роскомнадзор полномочиями по составлению протоколов об административных правонарушениях в рамках осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Ранее протоколы составляли органы прокуратуры.

Кроме того, законом вводятся новые составы административных правонарушений в области персональных данных. Так, если раньше ст. 13.11. КоАП РФ была предусмотрена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах, то с 1 июля 2017 года Законом № 13-ФЗ вводится семь составов административных правонарушений, которые предусматривают административную ответственность за невыполнение оператором требований и обязанностей, связанных с обработкой персональных данных.

Следует отметить, что значительно увеличены и суммы штрафов за совершение административного правонарушения в области персональных данных.

 Консультант-СКИФ: Что такое – персональные данные? Какие они бывают? Делятся ли они по целям сбора, методам хранения, другим признакам?

Дмитрий Вячеславович: В соответствии п. 1 ст. 3 Федерального закона «О персональных данных» персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные подразделяются на специальные (касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни); биометрические (характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность); общедоступные (сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках, адресных книгах и других информационных источниках); иные персональные данные (все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования. Эти требования регламентированы ст.ст. 10,11 Федерального закона «О персональных данных».

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством  РФ.

 Консультант-СКИФ: Как понять – является ли организация оператором персональных данных? И если это так, то каким образом необходимо уведомить Роскомнадзор, и что в этом уведомлении надо указывать?

Дмитрий Вячеславович: В соответствии п. 2 ст. 3 Федерального закона «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

В соответствии ч. 1 ст. 22 Федерального закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Управления Роскомнадзора по Северо-Кавказскому федеральному округу www.26.rsoc.ru в информационно-телекоммуникационной сети «Интернет».

Кроме того, на портале Персональные данные www.pd.rsoc.ru реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Лица, направившие уведомления, включаются в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. При этом стоит отметить, что государственные органы, муниципальные органы, юридические и физические лица являются операторами независимо от факта включения в указанный реестр.

 

Консультант-СКИФ: Посоветуйте, как провести внутренний аудит соблюдения законодательства о персональных данных в рамках отдельно взятой организации, имеющей свой сайт, работников в штате и ведущей активный набор персонала? С чего начать, на что обратить особое внимание, что исправить в первую очередь?

Дмитрий Вячеславович: В первую очередь, организациям целесообразно составить график мероприятий по организации обработки и защиты персональных данных и назначить ответственного за организацию обработки персональных данных.

Следующий шаг - обследование информационной системы организации. Обследование информационной системы осуществляется с целью систематизации сведений об организации и обрабатываемых данных, выделения систем обработки персональных данных и их классификации в соответствии со ст. 19 Закона № 152-ФЗ, нормативными и методическими документами.

При проведении данного этапа работы по обеспечению информационной безопасности при обработке персональных данных необходимо руководствоваться следующими документами:

• постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

  • • Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.02.2008.

Следующим шагом будет - создание системы обеспечения информационной безопасности в организации. Комплекс мероприятий должен включать разработку следующей необходимой документации: должностные инструкции, положения об обработке персональных данных, приказы, журналы (журнал регистрации выявленных нарушений, журнал регистрации используемого программного обеспечения, журнал по учету носителей информации, содержащих персональные данные, журнал учета обращений граждан (субъектов персональных данных)), обязательства работника о неразглашении данных, регламенты взаимодействия между подразделениями организации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала;

- должны быть приведены в соответствие требованиям законодательства РФ типовые формы (документы, характер которых предполагает или допускает включение в них ПДн), в типовых формах документов должно быть предусмотрено поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку его персональных данных.

Кроме этого -  должно соблюдаться безопасное хранение ПДн (закупка и установка сейфов, металлических шкафов, создание специально оборудованных помещений);

- приниматься меры защиты от несанкционированного доступа (установка замков, систем сигнализации и видеонаблюдения и т.п.);

- приобретены средства гарантированного уничтожения ПДн (средства измельчения, сжигания, размагничивания и др.), которые гарантируют невозможность последующего восстановления данных.

Выбор средств защиты информации для системы защиты ПДн в ИС осуществляется оператором в соответствии с НПА, принятыми ФСБ РФ и ФСТЭК во исполнении ч.4 ст.19 ФЗ «О персональных данных».

Далее необходимо направить уведомление об обработке персональных данных в территориальное управление Роскомнадзора, на подведомственной территории которой оператор осуществляет (будет осуществлять) обработку персональных данных.

Кроме того необходимо обеспечить неограниченный доступ к документам, определяющим политику организации в отношении обработки персональных данных.

 

Ольга Сергеевна, г.Минеральные Воды

  • Является ли «Политика обработки персональных данных» и «Положение об обработке и защите персональных данных» одним и тем же документом, или это два разных?

Дмитрий Вячеславович: Это два разных документа.

В соответствии с ч. 2 ст.18.1 Закона «О персональных данных» оператор, обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Положение об обработке персональных данных – это внутренний локальный документ организации, в котором необходимо подробно описать порядок обработки и защиты персональных данных, с перечислением конкретных лиц и конкретных мер защиты. Такой документ публиковать не нужно.

Хочу обратить Ваше внимание, что 31.07.2017 на официальном сайте Роскомнадзора опубликованы рекомендации по  составлению документа, определяющего политику оператора в отношении обработки персональных данных. Документ подготовлен с участием Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных.

С 1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Закон установил семь новых составов административных правонарушений при обработке персональных данных, затрагивающих основной круг распространенных правонарушений в области персональных данных. Часть 3 статьи 13.11 КоАП РФ устанавливает административную ответственность за невыполнение оператором обязанности по опубликованию документа, определяющего политику оператора в отношении обработки персональных данных.

Данная норма актуальна для большого количества онлайн-ресурсов и сервисов, собирающих персональные данные пользователей в сети Интернет.

 

  • Если у организации нет сайта, нужен ли документ на предприятии «Политика конфиденциальности»?

Дмитрий Вячеславович:

Да, это требования ч. 2 ст.18.1 Закона «О персональных данных»:  оператор, обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

 

  • Нужно ли ежегодно обновлять приказ на перечень должностных лиц имеющих допуск к персональным данным, а также переподписывать обязательство о неразглашении?

Дмитрий Вячеславович: Если за этот год не произошло никаких изменений, то нет.

 

  • Нужно ли ежегодно знакомить работников и собирать подписи в журнале ознакомления с «Положением об обработке…» если оно не изменяется?

Дмитрий Вячеславович: Нет. Это достаточно сделать один раз.

 

  • Можно ли хранить в отделе кадров копии документов работников, прописав это в согласии на обработку и нужно ли об этом прописать в Положении?

Дмитрий Вячеславович:  Хочу обратить Ваше внимание, что сколько бы Вы не потратили сил и времени на выполнение требований законодательства о персональных данных, - это может быть все впустую, если вы нарушаете принципы и условия их обработки.

Принципы (ст. 5 ФЗ «О персональных данных») и условия обработки (ст. 6 ФЗ «О персональных данных) по нашему мнению, одни из самых главных статей ФЗ «О персональных данных». Поясню почему. Большинство специалистов кадровых служб уверены, что они имеют право хранить ксерокопию паспорта сотрудника, при этом, только 5% из них могут сказать для чего он им нужен, и никто из них не может назвать правовое основание и законную цель обработки материального носителя персональных данных - ксерокопии.

Дело в том, что в нашем законодательстве нет законного основания для хранения ксерокопий паспортов работника в личном деле (кроме некоторых случаев, связанных с государственной службой). Главное не путать – хранение без цели (на всякий случай) и однократное использование для каких-либо нужд (например, если нужно ксерокопию паспорта работника отправить в учебное заведение, где он будет повышать квалификацию или в банк для выдачи банковской карты). Во втором случае, если нам нужна копия этого документа, то мы ее у него запрашиваем непосредственно для выполнения определенного действия с персональными данными. Хранение документов «на всякий случай» запрещено статьей 5 ФЗ «О персональных данных».

Более того – даже, если взять с работника согласие на обработку ксерокопии паспорта - это не поможет, потому что исходя из статьи 5 ФЗ «О персональных данных»: обработке подлежат только те ПДн, которые отвечают целям их обработки, а цели должны быть конкретными и законными. Трудовой кодекс РФ устанавливает закрытый перечень документов, предъявляемых при поступлении на работу. Посмотрел в паспорт, данные в Т-2 переписал и верни паспорт обратно. И так далее. Наличие ксерокопии паспорта работника в личном деле - одно из трех самых частых нарушений, фиксируемых Роскомнадзором и его территориальными органами при проведении мероприятий по контролю (надзору).

 Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006г. № 152-ФЗ).

 

  • Нужно ли новое согласие на обработку персональных данных, в случае изменения фамилии, паспортных данных и т.п. работника?

Дмитрий Вячеславович: Не требуется, так как субъект персональных данных не меняется.

Элина, Ставрополь

  • Если форма обратной связи затребует только информацию для связи с человеком, например,  номер телефона, без указания ФИО, либо с указанием только имени, нужно ли согласие на обработку? Ведь в этом случае данные обезличены и установить владельца телефонного номера не возможно?

Дмитрий Вячеславович: Согласно п.1, ст. 3 Закона персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 Номер телефона, как и номер телефона с именем без достаточной дополнительной информации, позволяющей отнести ее к конкретному физическому лицу (субъекту персональных данных), персональными данными не является. Следовательно, согласие не требуется.

 

  • Можно ли размещать ФИО должников на сайте управляющей компании или списком в подъезде?

Дмитрий Вячеславович: В соответствии со ст.7 ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Согласно п.1 ст. 3 закона «О персональных данных» под персональными данными  подразумеваются любые сведения, прямо или косвенно относящиеся к определяемому физическому лицу (субъекту персональных данных).

Из чего следует, что указание адреса и суммы задолженности без указания дополнительных сведений не является информацией, которая позволяет однозначно идентифицировать определяемое физическое лицо и не может подразумевать обработку его персональных данных.

Таким образом опубликование на официальном сайте управляющей компании, местах общего доступа информации о наличии задолженности потребителей без указания ФИО физических лиц не будет противоречить требованиям законодательства Российской Федерации в области персональных данных.

Дополнительно сообщаю, что положения ст.7 Федерального закона являются императивными и обязательными для всех операторов, осуществляющих обработку персональных данных.

 

  • Как законно организовать передачу персональных данных между юридическими лицами, входящими в корпорацию? С согласия работников каждого конкретного предприятия? Или норму закона по обработке персональных данных работников без согласия можно распространить на корпорацию?

Дмитрий Вячеславович: Согласно п. 2 ст.3 Федерального закона № 152 «О персональных данных» оператором является государственный орган, юридическое или физическое лицо.

В соответствии с п.2 ч.1 ст.6 вышеуказанного закона обработка персональных данных работников юридического лица (оператора) может осуществляться без их согласия с целью выполнения возложенных на оператора законодательством Российской Федерации функций, полномочий и обязанностей.

Согласно ст.7 этого же закона оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия соответствующего субъекта, если иное не предусмотрено федеральным законом.

Таким образом передача (предоставление) персональных данных работников между самостоятельными юридическим лицами, даже внутри корпорации, может осуществляться только с согласия субъектов персональных данных.

В случае, если в корпорации в одном из юридических лиц организован централизованный отдел кадров, то передача туда персональных данных работников будет являться поручением каждого юридического лица в соответствии с ч.3 ст.6 Федерального закона № 152 «О персональных данных» и должно осуществляться согласно этой норме.

 

  • Мы предоставляем ДМС родственникам сотрудника (мужу/жене, детям). Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Дмитрий Вячеславович: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

 

Иванова Алла Алексеевна, заместитель директора ЧПОУ "МедКолледж им. Флоренс Найтингейл на КМВ"

Что входит в понятие "обработка персональных данных"?

Дмитрий Вячеславович: Обработка персональных данных- любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

Консультант-СКИФ: Дмитрий Вячеславович, спасибо Вам большое за искреннее желание вести прямой и открытый диалог.

 

...
http://ric077.ru/library/