Персональные данные: защита без нападений. Часть 2

Станислав Солнцев

Управляющий партнёр и основатель юридической фирмы «Солнцев и партнёры». C 2010 г. Станислав аккредитован Минюстом России на проведение антикоррупционной экспертизы. Стаж 15 лет. Эксперт в области интеллектуальной собственности, юридического сопровождения информационных технологий, электронной коммерции, корпоративного, коммерческого и гражданского права, судебной защиты, юридического маркетинга. Участник Патентной школы Сколково в 2017 г.
Подробнее об авторе

Тем, кто не ознакомился с первой частью материала, рекомендуем предварительно прочитать её.

Пошаговая инструкция для владельца сайта по защите персональных данных

1. Составьте список всех форм, в которых вы собираете персональные данные и укажите какие именно данные, для какой цели
2. Под каждой такой формой поставьте чек-бокс (место для проставления «галочки») с текстом: «Даю согласие на обработку своих персональных данных» или более развернутый вариант: «Даю согласие на обработку своих персональных данных на условиях и для целей, определенных в Согласии на обработку персональных данных», с указание гиперссылки на текст такого согласия. Ещё более продвинутый вариант: «Нажимая на кнопку „Отправить“, я даю свое согласие на обработку персональных данных и принимаю условия Пользовательского соглашения». В последнем случае вы заключаете договор с каждым пользователем, а в Пользовательском соглашении должны содержаться условия согласия на обработку ПДн и все остальные цели и условия работы сайты и обработки ПДн.
3. Подготовьте и разместите на сайте документа с условиями обработки ПДн, коим может быть Согласие или часть Пользовательского соглашения, а равно оно может быть частью Политики обработки ПДн. Укажите в нём следующую информацию согласно ст. 9 Федерального закона № 152-ФЗ:

   • наименование организации или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

   • цель обработки ПДн;

   • перечень ПДн, на обработку которых субъект дает согласие;

   • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

   • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

   • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);

   • подпись субъекта ПДн.

   Закон требуется указывать в согласии ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, но на это требование в онлайне в отличии от оффлайна часто закрывают глаза.

4. Подготовьте и разместите в свободном доступе Политику в отношении обработки персональных данных и разместите её на сайте в свободном доступе.
5. Подайте до начала обработки ПДн уведомление об обработке ПДн в Управление Роскомнадзора, где зарегистрирована ваша компания, ИП или вы как физическое лицо. Уведомление подаётся в электронном и бумажном виде, и представляет собой объемный документ, который самостоятельно без соответствующих знаний заполнить правильно достаточно сложно.

Не стоит забывать, что это лишь видимая часть тех документов, которые должны быть у любого оператора персональных данных и не стоит ограничиваться только указанным выше.

Разграничение доступа

Закон о персональных данных обязывается разграничивать доступ к разным видам ПДн, что делается в целях соблюдения конфиденциальности. Достигается это распределением среди сотрудников прав доступа к определённым группам и категориям ПДн.

За редким исключением (когда используется онлайн-бухгалтерия) бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы, уплаты взносов, при направлении работников в командировку паспортные данные для покупки билетов.

Но работодатель (оператор ПДн) может разрешить доступ к ПДн работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных обязанностей работника. Для этого работодатель издает приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (приказ о разграничении доступа), с указанием критериев необходимых персональных данных, аналогичным образом надо поступить и с ПДн клиентов и иных лиц.

К примеру, в медицинской организации доступ к состоянию здоровья пациента у медицинской сестры, сотрудника регистратуры и лечащего врача очевидно должен быть разным. В ИТ-компании дизайнеры не обязательно должны иметь доступ к базе данных (БД) клиентов, которые оставляют заявки на сайте их продукта, или тем более к БД, содержащей сведения о покупателях интернет-магазина, который поддерживает их работодатель для стороннего заказчика.

Одним из основных принципов обработки ПДн является постановка заранее определенных конкретных целей обработки ПДн, что предполагает, что вы не должны собирать их избыточное количество и должны всегда быть готовы предоставить обоснование необходимости их обработки, которое в общем виде должно быть сформировано в Политике обработке ПДн каждого оператора.

Персональные данные работников

Трудовой Кодекс РФ вводит дополнительные особенности обработки и хранения ПДн:

1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. На первый взгляд может показаться, что ПДн работников в рекламных и маркетинговых целях использовать нельзя, однако это не так.

2. Все персональные данные работника следует получать у него самого. Если это невозможно, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

4. Работодатель не имеет права получать и обрабатывать специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни), за исключением особых случаев, указанных в законе. Аналогично и в отношении членства в общественных объединениях или профсоюзной деятельности

5. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

6. Работники должны быть ознакомлены с Политикой обработки ПДн и иные документами в этой сфере.

Ситуация: для выдачи зарплатных карт нужно получать согласие работников на передачу их конкретных ПДн (обычно ФИО, адрес, дата и место рождения) в банк и перед этим в обязательном порядке подать уведомление в Роскомнадзор, т.к. с точки зрения законодательства «это выходит за пределы трудовых отношений».

Когда надо не надо подавать уведомление о начале обработке ПДн в Роскомнадзор?

Если то, что вы обрабатываете — не персональные данные, а также при обработке ПДн, если они:

• получены от работников;

• получены при заключении договора, но не распространяются (делаются доступными для всех), не предоставляются третьим лицам без согласия, то есть используются оператором исключительно для исполнения договора;

• являются общедоступными ПДн;

• включают только ФИО субъектов ПДн;

• нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;

• включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Остановимся на варианте, когда у вас с клиентом есть договорные отношения. С практической точки зрения, если у вас всегда есть с клиентам договорные отношения, которые предшествуют получению от них ПДн, то вы не должны подавать уведомление. На практике абсолютное большинство сайтов собирает ПДн в онлайн-чатах и сервисах обратных звонков и только потом эти потенциальные клиенты становятся (да и не все) реальными клиентами, которые заключают договоры с компанией. Более того, даже если вы работаете на рынке B2B, то в этом случае с вами всё также взаимодействуют обычные люди, хоть и являющиеся работниками других фирм. Само по себе уведомление в Роскомнадзор содержит всю сводную информацию из мер по защите информации, списка информационных систем, куда вы собираете ПДн, а также их местонахождения и многое другое. Его правильное заполнение трудоёмко, так как требуется проводить аудит информационных потоков и баз данных компании, а также иметь в наличии подготовленные документы по защите ПДн внутри компании. Поэтому единственным действенным вариантом для исключения подачи такого уведомления является оценка возможности представить всех пользователей вашего сайта его клиентами, которые заключили договор с вами. Такой подход является приемлемым не для всех видов бизнеса и полностью не приемлем для тех, кто ведёт оффлайн-бизнес.

Избежать подачи уведомления в Роскомнадзор можно, если вы начнете собирать данные после регистрации посетителей на сайте. При этом такие посетители должны будут согласиться с Пользовательским соглашением, что создаст договорные отношения. Не обязательно, чтобы эти отношения были обязательно на предмет покупки или продажи товаров или услуг. Это могут быть возмездные или безвозмездные услуги по предоставлению информации, возможность пользоваться сервисом сайта и т.п.

Важно: наличие хотя бы ещё одной группы клиентов, которые вам передают ПДн без договора, приводит к обязанности подачи уведомления регулятору.

Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:

• обрабатывает ПДн соискателей (размещает вакансии в Интернете, получает и хранит резюме кандидатов);
• используете специализированные компьютерные программы для обработки сведений о работниках;
• применяет такие программы для обработки данных клиентов при дистанционной продаже товаров.

Исключение при дистанционной торговле связано с тем, что заключая договор купли-продажи через интернет (дистанционно) покупатель передает магазину (оператору) свои данные исключительно с целью осуществления покупки, её выдачи или доставки (Информация Роскомнадзора от 08.11.2017). В этой связи возникает необходимость в обязательном порядке иметь оферту или правильнее — Пользовательское соглашение, которое по сути и будет являться договором купли-продажи, определять все «правила игры» между покупателем и интернет-магазином. Обычно в такое Пользовательское соглашение включаются условия о возможности рассылки рекламных и иных сообщений, право магазина предоставлять ПДн клиента в целях доставки товара, а также определяются иные цели использования ПДн клиента. В противном случае интернет-магазин может лишь отправить товар клиенту, но под вопросом остаётся даже возможность передать товар в службу доставки, если она является отдельным юридическим лицом, а не самим магазином

В остальных случаях такое уведомление должно быть подано до начала обработки ПДн.