Эксперты рассказали о новых требованиях в области персональных данных и посоветовали компаниям, как их выполнять.
Поменяйте форму базового согласия на обработку персональных данных и подготовьте шаблоны новых согласий
Елизавета Вихлянцева, юрист дирекции юридической фирмы VEGAS LEX:
Сделайте согласие предметным и однозначным
С 2022 г. к согласию на обработку персональных данных (ПД) предъявляются дополнительные требования1. Теперь оно должно быть не только конкретным, информированным, сознательным, но еще и предметным, однозначным (ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ)).
Это значит, что такое согласие придется получать чаще. Исключения составляют случаи, когда обработка ПД допустима без согласия (подп. 2–11 п. 1 ст. 6 Закона № 152-ФЗ).
При получении согласия оператору необходимо учитывать, что обработка ПД ограничивается конкретной целью, имеющей законное основание. Например, цель обработки данных работников должна соответствовать ст. 86 Трудового кодекса РФ.
Согласие может покрывать лишь одну цель обработки ПД. Если целей несколько, на каждую из них надо брать отдельное согласие.
Получите все данные, если того требует закон
Если по закону требуется получение согласия на обработку ПД в письменной форме, оператор обязан запросить все сведения, которые указаны в п. 4 ст. 9 Закона № 152-ФЗ: фамилию, имя, отчество, адрес и паспортные данные субъекта ПД.
Например, для пропуска студента в университет достаточно его Ф.И.О. и фото. Адрес и паспортные данные вузу не нужны. Однако в письменном согласии на обработку ПД обучающийся все равно должен отразить все сведения о себе2.
Дайте в согласии разъяснения
Суды отмечают важность информированности согласия на обработку ПД. То есть человеку нужно письменно разъяснить как минимум значение понятия «обработка персональных данных»3. Поэтому рекомендуем в форме согласия раскрыть основные термины, используемые в документе.
Возьмите согласие на распространение данных
Согласие на обработку данных, которые субъект ПД разрешил распространять (например, публиковать в интернете), теперь оформляется отдельно. Базовое согласие на обработку ПД не дает оператору право передавать куда-либо или размещать в открытом доступе данные клиента или работника. Включить пункт о передаче ПД в базовое согласие нельзя, нужен отдельный документ.
В согласии на распространение ПД человек вправе ограничить условия обработки данных. Например, запретить передачу ПД неограниченному кругу лиц или предусмотреть, что оператор может передавать данные только по его внутренней сети.
Требования к содержанию согласия на распространение ПД дополнительно установлены Роскомнадзором в Приказе от 24 февраля 2021 г. № 18. Кроме того, ведомство предлагает помощь: на сайте Роскомнадзора работает сервис, через который можно отправить на согласование проект согласия и получить рекомендации по его доработке.
Возьмите согласие на обработку биометрических данных
Правила работы с биометрическими данными ужесточили. Теперь оператор не вправе требовать от человека предоставления таких данных и обрабатывать их без его письменного согласия. Статья 11 Закона № 152-ФЗ содержит исчерпывающий перечень оснований, когда обработка биометрических данных возможна без согласия.
Условие об обработке биометрических данных допустимо включить в базовое согласие. Отдельное согласие придется получить, только если фото или видеозаписи предоставлены после получения базового согласия на обработку ПД.
Проведите аудит документов
Рекомендуем оперативно провести аудит документов и внести правки. Если согласия на обработку ПД получены некорректно, необходимо запросить их заново с учетом обновленных требований.
Если разрабатывать документы нет времени, используйте шаблоны и рекомендации по их заполнению с сайта Роскомнадзора. Например, там есть образец согласия на обработку ПД. Также полезную информацию можно получить на вебинарах ведомства.
Никита Айрапетов, юрист Lidings:
Не забывайте брать отдельные согласия на передачу данных другим компаниям
До направления данных работников в другие компании, например для организации корпоративного фитнеса, лучше собирать согласия через ЭДО. Во-первых, так быстрее. Во-вторых, так проще выполнить требование о получении отдельных согласий на передачу данных третьим лицам: можно будет ставить галочки в чекбоксах рядом с названиями компаний.
Чаще организации, которые не применяют ЭДО, получают одно согласие на передачу данных сразу всем третьим лицам. В таком случае необходимо, чтобы человек поставил подпись напротив наименования каждой компании, в распоряжении которой окажутся его данные. Тогда требование о получении отдельного согласия формально будет выполнено.
Согласие не нужно при обработке ПД на основании закона. Например, когда оператор передает персональные данные государственному органу с целью соблюдения трудового, налогового, пенсионного, страхового законодательства и т.д.
Если поручаете обработку ПД другой организации, согласия потребуются (ст. 6 Закона № 152-ФЗ). Их можно получать через сайт компании или мейл-рассылки. Но помните, что ответственность за персональные данные все равно несет оператор.
Уничтожайте персональные данные по новым правилам
Ирина Остапчук, руководитель практики по сопровождению IP- и IT-сделок Semenov&Pevzner:
Когда надо уничтожить данные
Оператор обязан уничтожить персональные данные:
- по требованию субъекта ПД, если данные неполные, устаревшие, неточные, получены незаконно или не являются необходимыми для заявленной цели обработки. Срок уничтожения – 7 рабочих дней со дня, когда субъект ПД сообщил о «дефектности» данных (ч. 1 ст. 14, ч. 3 ст. 20 Закона № 152-ФЗ);
- если выявили неправомерную обработку ПД и ее правомерность обеспечить невозможно. Срок уничтожения – 10 рабочих дней с даты выявления нарушения (ч. 3 ст. 21, п. 3 ч. 3 ст. 23 Закона № 152-ФЗ);
- если достигли цели обработки ПД. Срок уничтожения – 30 дней с даты достижения этой цели при условии, что иное не предусмотрено договором с субъектом ПД (ч. 4 ст. 21 Закона № 152-ФЗ);
- если субъект ПД отозвал согласие на обработку данных и их сохранение более не требуется для целей обработки. Срок уничтожения – 30 дней с даты поступления отзыва, если иное не предусмотрено договором с субъектом ПД (ч. 5 ст. 21 Закона № 152-ФЗ).
Если компания не может уничтожить ПД в указанные сроки, то необходимо заблокировать данные и обеспечить их уничтожение в течение 6 месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).
Если Роскомнадзор принял решение о запрете трансграничной передачи данных, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным гражданином или организацией ранее переданных им ПД (ч. 14 ст. 12 Закона № 152-ФЗ). Однако срок, в течение которого оператор должен обеспечить такое уничтожение, в законе не указан.
Как уничтожать данные
Оператор может сам выбрать способ уничтожения данных и закрепить его в своей политике по обработке ПД. Главное, чтобы этот способ исключал возможность восстановления данных.
Для бумажных и других материальных носителей, например CD-дисков, это может быть физическое уничтожение – сжигание, пропуск через шредер и т.д. Для уничтожения данных в электронной форме оператор может привлечь специализированные компании.
Чем подтвердить уничтожение данных
С 1 марта 2023 г. подтверждать уничтожение ПД надо в соответствии с требованиями, установленными в Приказе Роскомнадзора от 28 октября 2022 г. № 179.
- Если данные обрабатываются без автоматизации, то для подтверждения их уничтожения понадобится акт.
- Если данные обрабатываются с использованием средств автоматизации или осуществляется смешанная обработка, то необходимы акт и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Акт и выгрузка из журнала должны содержать сведения, которые обозначены в Приказе Роскомнадзора № 179. Если система не позволяет указать какие-то сведения, их нужно внести в акт вручную. Акт и выгрузку из журнала необходимо хранить 3 года с момента уничтожения ПД.
Предположим, вы владелец онлайн-магазина и используете программу, в которой хранятся данные покупателей. Уничтожает их программа по команде человека или автоматически. Удаление ПД может записываться или не записываться в лог-файлы, которые также называются журналом. Для соблюдения установленных требований надо настроить программу так, чтобы в журнале фиксировалась вся необходимая информация, в том числе удаление ПД. При таком их уничтожении надо будет также составить акт.
Обеспечьте безопасность персональных данных
Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности:
Как только компания получила персональные данные клиентов, сотрудников или контрагентов, у нее возникает обязанность по соблюдению конфиденциальности ПД. Она должна защищать данные и не допускать утечек (ст. 7 Закона № 152-ФЗ). Безопасность ПД обеспечивается комплексом мер правового, организационного и технического характера (ст. 19 Закона № 152-ФЗ).
Правовые меры защиты ПД
1. Принятие локальных нормативных актов и организационно-распорядительных актов:
- положения (политики) по обработке и защите ПД;
- положения о порядке уничтожения ПД;
- политики обработки ПД пользователей сайтов;
- положения о внутреннем аудите работы с ПД;
- приказа о назначении ответственного по работе с ПД и др.
2. Оформление отношений с субъектами ПД и контрагентами, для чего могут понадобиться:
- соглашения о неразглашении конфиденциальной информации;
- поручения обработки ПД;
- согласия субъектов ПД.
3. Взаимодействие с Роскомнадзором, для чего пригодятся:
- уведомление о начале обработки ПД;
- информационное письмо о внесении изменений в ранее поданное уведомление о начале обработки ПД;
- уведомление о намерении осуществлять трансграничную передачу ПД;
- уведомление о прекращении обработки ПД;
- согласия субъектов ПД.
Организационные меры защиты ПД
Назначение ответственных лиц, обучение работников, формирование культуры приватности в компании.
Меры технического характера
Выбор надежных поставщиков программного обеспечения, серверных мощностей и средств защиты информации, разработка технической документации в компании (технических заданий, моделей угроз). Компания-оператор должна отслеживать действия в информационных системах для предотвращения утечки ПД.
Будьте готовы к проверкам и помните об ответственности
Максим Лагутин, сооснователь консалтинговой компании Б-152:
Роскомнадзор проводит плановые и внеплановые проверки.
К плановым проверкам относятся выездные и документарные. В первом случае сотрудники ведомства приходят лично, во втором – просят предоставить заверенные копии документов. Компании получают уведомления за 3 дня – обычно это сообщение на имейл с уведомлением, подписанным электронно-цифровой подписью. Имейл орган берет из уведомления об обработке персональных данных, которое ранее направлял оператор.
Сейчас возможны как плановые, так и внеплановые проверки. Плановые проверки проводят с применением риск-ориентированного подхода в отношении операторов, которые относятся к категории высокого риска4. Внеплановые проверки инициируют в случае утечки данных5.
Проверочные мероприятия проводят и без взаимодействия с оператором. Роскомнадзор может изучить сайт компании и направить требование об устранении выявленных нарушений. Например, нарушением будет считаться установка на сайте кода JavaScript, чтобы сервис Google Analytics собирал статистику о посетителях, если об этом нет информации в политике обработки ПД.
Роскомнадзор может проверить наличие на сайте обработки cookie-файлов, отражение этой обработки в политике и ее соответствие п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ. Или может обратить внимание на формы сбора персональных данных («задайте вопрос», «обратная связь» и т.д.) – размещены ли под ними формы согласий на обработку ПД.
Привлекут внимание Роскомнадзора крупные компании, которые работают с большим объемом конфиденциальной информации, в том числе с биометрическими данными и специальными категориями ПД. Особенно если организация допускает нарушения и ей регулярно назначают штрафы. Также проверяющих заинтересуют компании, которые: осуществляют трансграничную передачу данных в недружественные страны; не проводят локализацию баз данных на территории России; обрабатывают данные несовершеннолетних в случаях, которые не описаны в законе или имеют иные цели.
После проверки компанию могут оштрафовать, например по ст. 13.11 или ст. 19.7 КоАП РФ. Чаще штрафы назначают за обработку избыточных данных, отсутствие в общем доступе политики обработки ПД, невыполнение требований субъекта ПД, несоблюдение условий по обеспечению сохранности ПД. Самый большой штраф предусмотрен за невыполнение требований по локализации ПД – при повторных нарушениях он составляет от 6 до 18 млн руб. (ч. 9 ст. 13.11 КоАП РФ).
Для снижения рисков важно настроить внутренние системы обработки ПД и вести учет процессов обработки ПД, чтобы понимать, с какими данными и субъектами ПД вы работаете. Также необходимо назначить ответственного за организацию обработки ПД и провести обучение персонала, чтобы избежать нарушений в области персональных данных (п. 1 ч. 1 ст. 18.1 Закона № 152-ФЗ).
1 Федеральный закон от 14 июля 2022 г. № 266-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”».
2 Разъяснения Управления Роскомнадзора по Орловской области (https://57.rkn.gov.ru/p8924/p14069/p14070/).
3 Постановления Одиннадцатого арбитражного апелляционного суда от 29 ноября 2021 г. по делу № А65-15999/2021; Девятого арбитражного апелляционного суда от 30 декабря 2020 г. по делу № А40-98225/2020.
4 Пункт 11(3) Постановления Правительства РФ от 10 марта 2022 г. № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля». Постановление Правительства РФ от 29 июня 2021 г. № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
5 Постановление Правительства РФ от 10 марта 2022 г. № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля».