Что может сделать роскомнадзор

Проверяя компанию, Роскомнадзор руководствуется прежде всего Федеральным законом №152-ФЗ «О персональных данных». При этом проверка может быть как плановой, так и внеплановой.

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который занимается вопросами персональных данных.
3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию, например, данные сотрудников в бухгалтерию.
4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном.

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

1. данные, которые обрабатываются в соответствии с трудовым законодательством;
2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. данные, сделанные субъектом персональных данных общедоступными;
5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

Читайте также:  Орфографический разбор слова объявляя

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Содержание

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например , это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
2. Обрабатывающие их системы (компьютеры и программы);
3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
• Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
• Список персональных данных, собираемых и охраняемых вашей компанией;
• Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
• Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
• Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
• Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
• Положения об особенностях обработки персональных данных, в том числе их обезличивания;
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
• Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
• Бланки согласия граждан на обработку их персональных данных;
• Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
• Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Читайте также:  Смартфон с аккумулятором 10000 mah и выше

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
3. Не паникуйте;
4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Первого июля 2018 года исполнился год с тех пор, как действует новая редакция ст. 13.11 КоАП РФ. Она наказывает за нарушение персональных данных и содержит 7 составов нарушений. Максимальный штраф на юрлицо – 75 тыс. рублей.
Правом налагать штрафы по данной статье наделен Роскомнадзор.
За прошедший год успела сложиться практика выявления нарушений, и есть 3 новости.
Хорошая: Роскомнадзор не спешит штрафовать и при выявлении первых нарушений пока выдает только предписание об их устранении.
Плохая: нарушений он находит множество, поэтому и предписаний организациям раздается немало.
Обнадеживающая: многие из них опровергаются в судах.

Данные клиентов интернет-магазина можно использовать без уведомления Роскомнадзора

Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персональными данными и выдал предписание об устранении нарушений.

Компания оспорила это предписание и выиграла суд по всем пунктам в двух судебных инстанциях. Почему – читайте в таблице.

Таблица: «Пять законных способов работы с персданными»

Действия компании по работе с персональными данными

Позиция Роскомнадзора

Позиция компании и судов

При оформлении заказа на сайте интернет — магазина клиенты указывают свои персональные данные, необходимые для доставки заказа.

Данные сведения компания обрабатывает в информационной системе 1С «Предприятия (Магазины)»

Компания обязана уведомлять Роскомнадзор об обработке персданных таким способом, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2 ст. 22 Закона о персональных данных

Частью 2 ст. 22 Закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных.

Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договора с субъектом.

В данном случае указываемые клиентом данные используются непосредственно для заключения договора и оказания услуг конкретному лицу, оформившему заявку. Фактов распространения этих данных либо их передачи третьим лицам проверкой не установлено. Под каждой формой, где клиент указывает свои персональные данные, указывается согласие посетителя сайта на их обработку.

Способ, которым обрабатываются персданные – без использования средств автоматизации или с использованием информационных систем – не имеет правогого значения.

Поэтому в силу п. 1 ч. 2 ст. 22 Закона о персданных № 152-ФЗ уведомлять Роскомнадзор не требуется

Используется система 1С «Зарплата и управление персоналом 8»

Компания обязана уведомлять Роскомнадзор об обработке персданных такими способами, поскольку хотя она проводится и в рамках трудового законодательства, но с использованием информационных систем. Следовательно, не подпадает под исключения, предусмотренные ч. 2 ст. 22 Закона о персональных данных

Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками.

При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки.

Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником.

Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 Закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством

Используется система БСУВ «Биометрическая система учета времени»

В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала

Компания обязана уведомлять Роскомнадзор об обработке персданных данным способом, так как работа по подбору персонала не регулируется трудовым законодательством.

В связи с этим обработка личных данных не подпадает под исключения, предусмотренные ч. 2 ст. 22 Закона о персональных данных

Согласно ст. 5 ТК РФ трудовые и иные непосредственно связанные с ними отношения регулируются не только данным кодексом, но и другими нормативными актами.

Так, правоотношения между кандидатом и будущим работником регулируются Законом «О занятости населения в Российской Федерации».

Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26).

Таким образом, работодатель вправе обрабатываеть персданные кандидатов на вакансии на законных основаниях и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей «кадровый резерв», при наличии письменного согласия кандидатов на обработку их данных. Нарушений в части отсутствия такого согласия в ходе проверки не установлено. В случае отказа в приеме на работу предоставленные кандидатом документы уничтожаются

Постановление Четвертого арбитражного апелляционного суда от 07.02.2018 № 04АП-127/2018.

Согласие на обработку персданных на сайте должно быть подписано элекронной подписью

Роскомнадзор выдал компании предписание, в котором зафиксировал несколько пунктов с нарушениями.

1. Компания поручила обрабатывать полученные персданные другой компании без согласия на это физлиц. Тем самым нарушила требования ч. 3 ст. 6 Закона № 152-ФЗ.

По мнению компании, в действительности граждане дали такое согласие, когда указывали свои данные на сайте и присоединились к размещенному там соглашению об оказании услуг.

Суд решил, что данный способ получения согласия не соответствует закону, поскольку функционал сайта не предусматривает форму согласия физлица в виде электронного документа, подписываемого в соответствии с федеральным законом электронной подписью. Следовательно, указанное соглашение не соответствует требованиям ч. 4 ст. 9 Закона № 152-ФЗ.

2. Компания использует форму согласия физлица, в котором он дает согласие на обработку своих персданных в нескольких целях, при этом не указаны наименование и адрес лица, осуществляющего обработку персданных по поручению оператора.

Суд решил, что поскольку передача персданных работника третьей стороне выходит за рамки трудовых отношений, законодательством предусмотрен особый подход, направленный на конкретизирование обстоятельств передачи, информированность и осознанность субъекта персданных, который должен понимать, кому он дает свое согласие, на что конкретно, и какие последствия могут вытекать вследствие действий, на которые он дает свое согласие.

3. Организация хранит персданные уволенных работников свыше установленных законодательством (5 лет) сроков в 1С, а не в архивах организаций, осуществляющих архивное хранение документов. Нарушена ч. 4 ст. 21 Закона № 152-ФЗ.

Суды, принимая во внимание, что обработка личных данных уволенных работников осуществляется после достижения цели их обработки и по истечении сроков, установленных законодательством, подтвердили нарушение Закона о персданных.

Читайте также:  Статический ip адрес в локальной сети

4. Компания не разработала документы, регламентирующие обработку персданных уволенных сотрудников, что является нарушением требований ч. 1 ст. 18.1 Закона № 152-ФЗ.

Суды согласились и с данным выводом, поскольку ни один из представленных фирмой локальных актов, определяющих условия и порядок обработки персданных, условия и порядок обработки сведений об уволенных работниках, не содержал.

Постановление Арбитражного суда Московского округа от 15.01.2018 № Ф05-18981/2017.

Примечание редакции

Обратим внимание на первый пункт в изложенном списке претензий Роскомнадзора. В нем идет речь о том, что человек может дать согласие на обработку его персональных данных только посредством подписания электонного документа электронной подписью.

Это крайне спорный вывод, поскольку уже давно устоялось, что следующие формы предоставления такого согласия в сети Интернет приравниваются к электронной подписи.

1. Регистрация пользователя на сайте, подтвержденная логином и паролем.

Такая регистрация означает согласие субъекта на обработку его персональных данных. Об этом сказано в комментарии к Закону о персданных под редакцией замруководителя Роскомнадзора («Федеральный закон «О персональных данных»: Научно-практический комментарий». Постатейный. Выпуск 11. Под ред. Приезжевой А.А. «Редакция «Российской газеты», 2015).

2. Подтверждение регистрации через электронную почту.

В Постановлении Президиума ВАС РФ от 12.11.2013 № 18002/12 указано, что «получение или отправка сообщения с использованием адреса электронной почты, известного как почта самого лица или служебная почта его компетентного сотрудника, свидетельствует о совершении этих действий самим лицом, пока им не доказано обратное».

3. Ввод кода из СМС-сообщения.

В Определении Приморского краевого суда от 07.04.2015 № 33-2865 указано, что «Согласно оферте СМС-код используется в качестве электронной подписи клиента, для формирования им каждого электронного документа. В случае идентичности СМС-кода, направленного банком, и СМС-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении (заявления) через интернет-банк, такая электронная подпись считается подлинной и предоставленной клиентом».

Персональные данные из социальных сетей просто так брать нельзя

Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в таких социальных сетях, как «ВКонтакте», «Одноклассники», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

Роскомнадзор решил, что компания ошибается. И суд с ним согласился.

В соответствии с ч. 1 ст. 8 Закона № 152-ФЗ в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 Закона № 152 компания обрабатывала персданные, не получив у граждан согласия на эти действия.

Определение Верховного Суда РФ от 29.01.2018 № 305-КГ17-21291.

Роскомнадзор может выдвигать ничем не обоснованные обвинения

Компания подала в Роскомнадзор уведомление об обработке персональных данных.

Ведомоство усмотрело в нем два нарушения.

1. Уведомление содержит недостоверные сведения.

Роскомнадзор потребовал от компании представить информационное письмо с указанием:

• цели обработки персданных;
• категории таких данных;
• категории субъектов этих данных;
• трансграничной передачи персданных;
• информационных систем обработки.

Однако суды указали, что в представленном компанией уведомлении вся указанная информация присутствует (п. 3 ст. 22 Закона № 152-ФЗ). В чем именно, в какой части Роскомнадзор усмотрел нарушение требований названной нормы и чем подтверждается факт представления компанией неполной и недостоверной информации, из содержания предписания установить невозможно.

В этой связи содержащееся в предписании требование к заявителю суд оценил как не обладающее юридической и фактической определенностью и, соответственно, как неисполнимое.

2. Компания собирала и обрабатывала персданные с зарубежного сайта, находящегося в Австрии.

Из части 5 ст. 18 Закона № 152-ФЗ следует, что по общему правилу оператор обязан накапливать и обрабатывать персданные только с использованием баз данных, находящихся на территории России.

Управление, выдав предписание, исходило из того, что компания нарушила данную норму.

Однако никакие доказательства, подтверждающие, что фирма собирала персданные с зарубежного сайта, владельцем которого является иностранное юрлицо, чиновники в деле не представили.

Поэтому предписание в этой части также является незаконным, необоснованным, неопределенным и неисполнимым.

Постановление Арбитражного суда Волго-Вятского округа от 23.05.2018 № Ф01-1701/2018

Хранить и использовать фото клиентов и работников довольно рискованно

Роскомнадзор выписал компании предписание с требованием прекратить использование на пропусках клиентов их фотографий. Дело в том, что это биометрические персональные данные, для использования которых требуется отдельное согласие людей (ст. 11 Закона № 152-ФЗ). Суд подтвердил правоту ведомства.

Компания заручилась лишь общим согласием клиентов на использование их персданных, как предписывает ч. 4 ст. 9 Закона № 152-ФЗ. Но для использования фотографий этого недостаточно, так как они относятся не к обычным персданным, а к биометрическим. Поэтому предписание законно.

Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101

Примечание редакции

Аналогичная позиция у Роскомнадзора (Разъяснения «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» от 02.09.2013).

Важно, что данная позиция касается не только клиентов офирмы, но и ее работников. Ведь статья 11 Закона о персданных – это специальная норма, которая не охватывается действием общих положений данного закона. Поэтому право работодателя не брать у сотрудников согласия на использование их персданных на фото не распространяется. Более того, суды полагают, что фото работника, равно как и ксерокопию первой страницы его паспорта компания-работодатель в приниципе не имеет право хранить у себя в кадровых делах. По мнению судей, это избыточная биометрическая информация о человеке, превышающая установленный п. 2 ст. 86 ТК РФ объем обрабатываемых персональных данных работников. Предъявлять паспорт при трудоустройстве гражданин обязан, а вот хнанить его ксерокопию ТК РФ права работодателю не дает.

Организации пытались доказать, что фотографии, прикрепленные скрепками к личным карточкам работников (форма № Т-2), используются сотрудниками отдела кадров для идентификации сотрудников. Однако суды заявляют, что это лишнее, поскольку такая идентификация должна производиться по документам, удостоверяющим личность (постановления ФАС Северо-Кавказского округа от 11.03.2014 № А53-10287/2013, Пятнадцатого ААС от 14.03.2014 № 15АП-22502/2013).

Использовать же фото сторонних людей на сайте компании – вовсе рискованное занятие. Изображенный на нем гражданин, не дававший на это своего согласия, вправе подать в суд на компанию и потребовать возмещения морального вреда. Например, один потребовал с организации за это 200 тыс. рублей, суд присудил в его пользу 50 тыс. рублей (Апелляционное определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016).

Штраф за незаконное распространение персональных данных хотят снизить

Статью 13.11 предлагется дополнить еще двумя частями: 8-й и 9-й.

По части 8 будут наказывать за сбор и хранение персональных данных российских граждан в базах данных, находящихся за пределами территории России.

• на граждан – от 3 до 5 тыс. рублей;
• на должностных лиц – от 10 до 20 тыс. рублей;
• на юридических лиц – от 15 до 75 тыс. рублей.

По части 8 будут наказывать за несоблюдение конфиденциальности персональных данных, то есть раскрытие их третьим лицам и распространение без согласия гражданина.

Это повлечет предупреждение или штраф:

• на граждан – от 1 до 2 тыс. рублей;
• на должностных лиц – от 4 до 6 тыс. рублей;
• на юридических лиц – от 20 до 40 тыс. рублей.

Проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части уточнения административной ответственности за нарушение требований Федерального закона «О персональных данных»

В настоящее время в ст. 13.11 нет штрафа за использование иностранных баз данных. За раскрытие персданных третьим лицам сейчас наказывают по ч. 1 данной статьи: она предусматривает предупреждение или штраф на юрлиц от 30 до 50 тыс. рублей.