О персональных данных 152 ФЗ
Необязательно указывать в согласии на обработку персональных данных конкретное лицо, которое будет их обрабатывать. Также в нем не нужно указывать лиц, которым будут переданы персональные данные работника в процессе их обработки. Обосновывается это следующим.
Работодатель вправе передавать персональные данные работников третьим лицам при наличии письменного согласия работников, за исключением некоторых случаев (ч. 1 ст. 88 ТК РФ).
Под обработкой персональных данных понимается любое действие (операция) или их совокупность с использованием или без использования средств автоматизации. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Федеральный закон № 152-ФЗ).
В соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Как видно из приведенных выше норм, в согласии на обработку персональных данных может быть указано как наименование, так и Ф. И. О. оператора, получающего согласие субъекта персональных данных. Таким образом, если оператором персональных данных (работодателем) является организация, в согласии достаточно указать ее наименование и адрес. Если же оператором является ИП, следует указать его Ф. И. О. и адрес. Указывать в качестве оператора персональных данных руководителя организации-работодателя не нужно.
Порядок заполнения формы согласия на обработку персональных данных также не предусматривает указания конкретных лиц, которым персональные данные будут передаваться в процессе обработки. Как следует из приведенной выше нормы п. 4 ст. 9 Федерального закона № 152-ФЗ, в согласии достаточно обозначить цель обработки персональных данных, а лиц, которые получат к ним доступ впоследствии, оператор (работодатель) определит самостоятельно.
В четверг опубликованы правила хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи.
Правила, утвержденные постановлением правительства от 12 апреля 2018 года № 445, разработаны в соответствии со статьей 64 закона «О связи», которая предписывает операторам связи хранить и при необходимости передавать МВД и ФСБ текстовые сообщения, голосовую информацию, изображения, звуки, видео- и иные сообщения, а также информацию о фактах их приема и передачи.
Из ст. 64 Закона «О связи»
1. Операторы связи обязаны хранить на территории Российской Федерации: 1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи – в течение трех лет с момента окончания осуществления таких действий;
2) текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи – до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются правительством Российской Федерации. Подпункт 2 пункта 1 статьи 64 вступает в силу с 1 июля 2018 года.
В соответствии с правилами, с 1 июля 2018 года голосовая информация и текстовые сообщения должны храниться операторами связи в течение 6 месяцев в полном объеме, остальные данные должны храниться на оборудовании операторов, как сказано в постановлении «в нулевом объеме».
Начиная с 1 октября 2018 года операторы должны обеспечить «хранение в полном объеме сообщений электросвязи в технических средствах накопления информации емкостью, равной объему сообщений электросвязи, отправленных и полученных пользователями указанного оператора за 30 суток, предшествующих дате ввода технических средств накопления информации в эксплуатацию».
При этом правилами предписывается, что емкость технических средств накопления информации должна ежегодно увеличиваться на 15% в течение 5 лет с даты их ввода в эксплуатацию.
По согласованию с Федеральной службой безопасности (ФСБ) для хранения сообщений электросвязи допускается использование технических средств накопления информации, принадлежащих другому оператору.
До 1 декабря 2022 года Минкомсвязь России, совместно с ФСБ должны подготовить предложения по уточнению порядка, сроков и объемов хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи.
7 июля 2016 года президент РФ подписал федеральный закон «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» — так называемый антитеррористический пакет, или закон Яровой. Норма о хранении пользовательского трафика вступает в силу с 1 июля 2018 года.
Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!
- Поставить закладку
- Посмотреть закладки
Закон о персональных данных: первые итоги
Наталия Шаповалова,
юрист Dentons Kazakhstan,
патентный поверенный РК
Развитие производства или услуг без контакта с потребителями невозможно, но особенно в последнее время участились случаи сбора, обработки и распространения персональных данных без разрешения на то владельцев этих данных.
Практически каждый сталкивался с тем, что получал рекламу на сотовый телефон или звонок от компании, которая предлагала какие-то товары или услуги. При этом свой номер телефона данной компании мы не оставляли, либо оставляли, но совсем не для получения рекламы. Это один из типичных примеров неправомерного использования персональных данных.
Закон Республики Казахстан «О персональных данных и их защите» вступил в силу 25 ноября 2013 года. Закон устанавливает механизмы, препятствующие неправомерному использованию персональной информации, а также регламентирует процедуры сбора, обработки, хранения персональных данных с разрешения граждан.
Несмотря на то, что закон действует меньше года, уже можно подвести некоторые итоги. Эта статья, с одной стороны, напомнит о принципах сбора и обработки персональных данных, закрепленных законодательством, а с другой — даст представление о том, с какими сложностями столкнулись компании, применяя вышеназванный закон.
Напомним об основных принципах
До введения закона в действие регулирование правоотношений в сфере сбора и обработки персональных данных было хаотичным, отсутствовало определение основных терминов, одно и то же понятие могло иметь разное значение в различных нормативных актах. Это, естественно, усложняло применение нормативных актов в рассматриваемой деятельности. Сейчас понятие «персональные данные» единое для всех отраслей права. Персональными данными являются любые сведения о человеке, на основе которых можно определить конкретного субъекта персональных данных, зафиксированные на любом носителе.
Закон восполнил ряд существенных пробелов, однако не изменил принципы сбора и обработки персональных данных. Посмотрим, как эти принципы отражаются на делопроизводстве компаний.
Согласие субъекта на передачу и обработку персональных данных.Сбор и обработка персональных данных с согласия их владельца — это принцип, который запрещает собирать персональные сведения без ведома лица, которому они принадлежат, даже если такие данные можно обнаружить в общедоступных источниках. Этот принцип тесно связан с принципом использования персональных данных исключительно для достижения целей, заявленных при их сборе. Например, персональные данные, которые можно найти в адресной книге (адрес, телефон), нельзя использовать для адресной рассылки рекламы, поскольку субъект персональных данных не давал согласие на использование их с этой целью.
Владелец базы данных, которая включает персональные данные субъектов, должен иметь доказательства того, что используемая информация была передана непосредственно ее владельцем. Обычно этот факт подтверждается согласием, которое дает субъект персональных данных.
Нужно отметить, что закон о персональных данных не указывает, что должно содержать письмо-согласие. Однако, исходя из принципов сбора и обработки персональных данных, для включения в письмо-согласие можно рекомендовать следующую информацию:
1) перечень персональных данных, на обработку которых дается согласие субъекта (это может быть также определение круга данных, которые собираются);
2) цели обработки персональных данных;
3) перечень действий с персональными данными, на совершение которых дается согласие, или описание способов обработки персональных данных, например, передача персональных данных третьим лицам и другие способы использования;
4) срок, в течение которого действует согласие субъекта персональных данных.
Письмо-согласие, конечно, должно идентифицировать субъекта персональных данных, т.е. содержать графы для указания имени, фамилии, контактных данных субъекта.
Что касается формы письма-согласия, то здесь закон о персональных данных, с одной стороны, дает определенную свободу предпринимателям, с другой стороны, не дает полной ясности, приемлемо ли, например, собирать согласие на сбор и обработку персональных данных посредством сети интернет, где субъект выполняет определенные действия, потом нажимает кнопку «согласен» или «принять условия».
Цели обработки персональных данных. Письмо-согласие должно содержать указание на цели использования персональных данных.
Здесь показательной является ситуация с общедоступными персональными данными. Тот факт, что некоторые персональные данные считаются общедоступными, не означает, что эти данные могут использоваться компаниями для достижения любых целей. Например, если данные субъекта из адресного или телефонного справочника компания собирается использовать в целях, отличных чем просто получение информации о месте проживания лица, то на такие действия необходимо получить разрешение субъекта персональных данных.
Передача данных третьим лицам.В большинстве случаев обработка персональных данных не обходится без передачи их компаниям внутри группы или лицам, которые оказывают компании различные услуги. По договору с собственником базы данных третьи лица оказывают услуги по систематизации, классификации, хранению персональных данных и другие. Составляя письмо-согласие, необходимо убедиться в том, что оно содержит разрешение на передачу персональных данных субъекта третьим лицам.
Для определенного бизнеса характерны некоторые особенности сбора персональных данных. Например, для бизнеса, который базируется на сетевом маркетинге. Здесь обычной является ситуация, когда персональные данные собираются у клиентов дистрибьюторами компании, потом такие данные передаются компании для обработки. В такой ситуации дистрибьютор может стать собственником базы данных, содержащей персональные данные, если в договор с дистрибьютором не будет включено поручение по сбору персональных данных от имени компании. Сама форма письма-согласия должна указывать на компанию, которой передаются персональные данные, сведения о лице, к которому субъект персональных данных может адресовать просьбы относительно исправления персональных данных и иные.
Конфиденциальность персональных данных. Правильно организованная процедура сбора согласия на обработку персональных данных и правильно составленная форма для сбора персональных данных — это уже половина дела в вопросе приведения деятельности компании в соответствие с требованиями законодательства о персональных данных. Закон, однако, не ограничивается исключительно требованиями к получению согласия на обработку персональных данных у владельцев таких данных. Собственник базы данных, содержащей персональные сведения, несет ответственность перед субъектом персональных данных за конфиденциальность такой информации. Конфиденциальность должна обеспечиваться различными организационными, правовыми и юридическими мерами.
В этом вопросе закон не содержит детального регулирования, например, какие именно действия должен совершать собственник базы данных для выполнения требований по обеспечению конфиденциальности. С одной стороны, отсутствие излишнего регулирования — это хорошо, поскольку законодательство дает свободу предпринимателям в выборе конкретных мер обеспечения конфиденциальности. С другой стороны, такие обязательства могут по-разному толковаться органами, осуществляющими контроль над соблюдением законодательства о персональных данных. Должны ли владельцы базы данных обеспечивать все меры защиты (и правовые, и организационные, и технические) или это могут быть, например, только организационные и технические меры?
В этом отношении можно рекомендовать следующее — меры обеспечения конфиденциальности могут быть выбраны компанией самостоятельно, однако они должны быть достаточными для неразглашения и сохранности персональных данных субъектов.
Приведем примеры правовых, организационных и технических мер. К правовым мерам можно отнести выработку собственником базы, содержащей персональные данные определенной политики в отношении их обработки (эта мера также может быть и организационной), заключение договоров конфиденциальности с лицами, которые имеют доступ к персональным данным, а также с компаниями, которым передаются персональные данные (например, при оказании услуг хранения).
К организационным мерам относятся назначение ответственного лица за организацию сбора и обработки персональных данных, осуществление внутреннего аудита за деятельностью по обработке данных, ознакомление сотрудников с политикой сбора и обработки персональных данных.
К техническим мерам можно отнести различные программы, которые блокируют доступ к персональным данным, обезличивают данные, когда срок хранения и использования таковых истек.
Таким образом, мы постепенно подошли к вопросу о том, с какими сложностями компании сталкиваются или могут столкнуться в процессе применения закона. Чтобы обеспечить однородность практики применения закона, некоторые его нормы требуют внесения изменений.
Есть куда развиваться!
Уже сейчас можно отметить некоторые недостатки закона, которые могут привести к тому, что практика применения нормативного материала не будет однородной и понимание норм права у субъектов гражданского оборота и государственных органов может быть разным.
Остановимся на некоторых вопросах, регулирование которых в законе неоднозначно, и которые, как нам видится, требуют внесения изменений:
1) разграничение общедоступных персональных данных и данных ограниченного доступа;
2) вопрос представительства в вопросах выдачи согласия и отзыва согласия на сбор и обработку персональных данных;
3) форма согласия на сбор и обработку персональных данных;
4) срок хранения персональных данных.
Общедоступные данные и данные ограниченного доступа.Закон различает общедоступные персональные данные и данные ограниченного доступа. Однако он приводит лишь примеры источников общедоступных данных, но не перечисляет такие данные. К источникам общедоступных данных отнесены библиографические справочники, телефонные и адресные книги и т.п. Можно полагать, что к общедоступным данным относятся, в частности, имя, фамилия, адрес, номер стационарного телефона. При этом нужно отметить, что объем информации, который предоставляют справочники и адресные книги, может разниться. Сами субъекты персональных данных могут быть против включения той или иной информации в адресные книги и справочники.
Практический совет для компаний в данной ситуации. В отсутствие исчерпывающего перечня общедоступных персональных данных и однозначного регулирования относительно того, каким образом общедоступные персональные данные могут использоваться в законодательстве Казахстана, рекомендуем получать согласие субъектов на обработку и данных, которые потенциально могут считаться общедоступными персональными данными. В том числе и потому, что цели, для достижения которых персональные данные были сделаны общедоступными, могут не совпадать с целями компании, для которых данные собираются.
Представительство в вопросах сбора и обработки персональных данных. Следует учитывать, что разрешение на сбор и обработку персональных данных может дать только сам владелец этих данных. Это касается и отзыва такого согласия. Закон не предоставляет возможность третьим лицам осуществлять эти действия по доверенности. Такое право дается только законному представителю — то есть лицу, которое представляет интересы субъекта перед государственными органами, организациями, гражданами в силу того, что опекаемый не может самостоятельно осуществлять свои права и выполнять обязанности по причине малолетства или физического состояния. Предпринимателям следует учитывать эту особенность закона при сборе персональных данных.
Форма письма-согласия. Большинство правоотношений постепенно переходит в информационно-коммуникационную среду, поэтому уже не редкость сделки, заключаемые посредством интернета. При заключении сделки используется тот или иной набор персональных данных, начиная с фамилии и имени, заканчивая реквизитами банковского счета и т.д. В связи с этим вопрос разрешенной формы письма-согласия на сбор и обработку персональных данных является очень важным.
Закон о персональных данных не обходит стороной форму выражения согласия на сбор и обработку персональных данных со стороны их владельца. Субъект дает (отзывает) согласие на сбор, обработку персональных данных письменно либо в форме электронного документа, либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
Сделка, совершаемая в письменной форме, должна быть подписана сторонами или их представителями, если иное не вытекает из обычаев делового оборота. Если же субъект персональных данных передает и дает разрешение на обработку персональных данных, например, в электронной форме посредством сети интернет, то следует оценить, насколько заключение сделки в электронной форме, принятие каких-либо обязательств и (или) получение прав является обычаем делового оборота в той или иной сфере деятельности.
В настоящий момент в Казахстане вполне приемлемо получение согласия на обработку персональных данных в электронном виде через интернет, учитывая широко распространенную практику приобретения авиабилетов, товаров народного потребления, бронирования гостиниц посредством сети. Однако некоторые риски в связи с получением согласия через интернет сохраняются, пока закон однозначно не предусмотрит такую возможность.
Что касается согласия в форме электронного документа, такая форма, по нашему мнению, будет мало востребована, т.к. электронный документ, в соответствии с отечественным законодательством, требует удостоверения посредством электронной цифровой подписи. Процедура же получения и обновления ЭЦП достаточно сложная и сделки, удостоверенные таким образом, большой популярностью не пользуются.
Что касается «иного способа с применением элементов защитных действий», то ни закон о персональных данных, ни иные нормативные акты Республики Казахстан не дают объяснения, что это могут быть за способы получения согласия на сбор и обработку персональных данных. Однако мы полагаем, что «иные способы с применением элементов защитных действий» не исключают возможность получения письма-согласия от субъектов персональных данных в электронном виде посредством сети интернет. Другими словами, предусмотренные «иные способы» получения согласия субъекта персональных данных — еще один аргумент в пользу того, что письмо-согласие на сбор и обработку персональных данных в электронном виде через интернет можно считать формой, приравненной к письменной в силу обычаев делового оборота.
В этом отношении, например, российский закон о персональных данных дает большую определенность — он указывает, что любая форма будет достаточной, если она позволяет подтвердить факт получения разрешения на сбор и обработку персональных данных от субъекта данных.
Таким образом, для минимизации рисков в случае, если для получения согласия был выбран интернет, следует обеспечить наличие однозначных доказательств такого согласия от конкретного субъекта персональных данных.
Срок хранения персональных данных.Закон о персональных данных не имеет, по нашему мнению, четкого регулирования и в отношении сроков хранения персональных данных. Закон определяет, что уничтожение персональных данных должно иметь место при прекращении правоотношений между субъектом персональных данных и собственником или оператором базы данных, содержащей персональные данные. В случае, если правоотношения не прекращаются, то срок хранения определяется датой достижения целей сбора и обработки персональных данных. Однако вопрос, какой момент в конкретных правоотношениях можно считать достижением цели, в некоторых ситуациях может быть достаточно сложным. В связи с этим мы рекомендуем определять срок хранения персональных данных в письме-согласии, которое подписывается субъектом персональных данных.
Хотелось бы отметить также, что закон не требует регистрации или уведомлений о базе данных, содержащей персональные данные. Законодательством Казахстана предусмотрена диспозитивная процедура учета (по желанию собственника базы данных) негосударственных информационных систем, в том числе содержащих персональные данные.
***
Полагаем, что сказанное выше будет полезным компаниям, чтобы начать работу по организации документооборота с персональными данными, если такая работа еще не велась.
Законодательство Казахстана о персональных данных в ряде существенных вопросов, как показывает анализ, требует изменений. Надеемся, что данная статья может служить некоторым вкладом в совершенствование законодательства о персональных данных Республики Казахстан. Практика же применения закона, скорее всего, выявит и иные недочеты и (или) пробелы правового регулирования.
У некоторых работодателей возникают вопросы, возможна ли передача персональных данных без согласия работников, которыми располагает работодатель (трудовых книжек, трудовых договоров, расчетных листков, тарификационных списков и др.), выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза, необходимых для осуществления профсоюзного контроля за соблюдением норм трудового законодательства в учреждениях здравоохранения, в т.ч. при согласовании локальных нормативных актов.
При этом работодатели, считая, что действующее законодательство ограничивает работодателя в возможности передачи персональных данных работника третьим лицам, в том числе и представителям работников, к которым, в соответствии со ст. 29 ТК РФ, относятся в т.ч. первичные профсоюзные организации, препятствуют проведению профсоюзного контроля.
Однако, Профсоюз считает, что действующее законодательство предоставляет право представителям работников (выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза), при проведении контроля за соблюдением работодателями трудового законодательства, на получение доступа к персональным данным работников, обрабатываемых работодателем.
За разъяснением применения норм Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017) «О персональных данных» Центральный комитет Профсоюза обратился в адрес Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
В обосновании своей позиции о возможности передачи персональных данных работников представителям работников (выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза) Профсоюз сослался на следующие нормы действующего законодательства.
В соответствии с частью 1 статьи 11 Федерального закона от 12 января 1996 года № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» профсоюзы, их объединения (ассоциации), первичные профсоюзные организации и их органы представляют и защищают права и интересы членов профсоюзов по вопросам индивидуальных трудовых и связанных с трудом отношений.
Согласно части 3 статьи 13 названного Закона первичные профсоюзные организации вправе осуществлять профсоюзный контроль за выполнением коллективных договоров, соглашений.
В соответствии со ст.41 ТК РФ, сведения о заработной плате, времени труда и отдыха и др. относятся к вопросам, регулируемым коллективным договором, контроль за которыми на соответствие трудовому законодательству также входит в полномочия Профсоюза.
Кроме того, особенности обработки персональных данных работников и, в частности, возможности их передачи работодателями в адрес представителей работников (профкомов) при осуществлении ими профсоюзного контроля, регулируются также и Трудовым кодексом РФ.
Так, абзац 8 ст.88 ТК РФ устанавливает требования к передаче персональных данных работников представителям работников, при которых работодатель должен: передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Также Трудовым кодексом урегулирован и порядок передачи данных (абз. 7 ст. 37 ТК РФ): стороны должны передавать информацию друг другу не позднее двух недель с момента получения запроса.
В запросе ЦК Профсоюза была сделана ссылка на действующее федеральное законодательство: статьи 29, 53, 88, 370 ТК РФ, Федеральный закон от 12.01.1996 г. № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности», п.2 части 1 ст.6 Федерального закона «О персональных данных», в совокупности регулирующих право представителей работников, к которым относится Профсоюз, на бесплатное и беспрепятственное получение от работодателей информации по социально-трудовым вопросам в объеме, необходимом для выполнения представителями работников их функций.
- Профсоюз просил разъяснить:
- ограничивает ли Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» право выборных органов первичных организаций Профсоюза и профсоюзных инспекторов труда на получение у работодателей необходимых документов, содержащих сведения о персональных данных, необходимых при осуществлении профсоюзного контроля за соблюдением работодателями законодательства о труде;
- является ли первичная организация Профсоюза оператором персональных данных, обязательно ли ее включение в реестр операторов;
- требуется ли получение работодателем специального согласия работников на передачу персональных данных Профсоюзу в том случае, если у работодателя работают члены данного Профсоюза, а информация запрашивается Профсоюзом в соответствии с трудовым законодательством, для целей осуществления профсоюзного контроля за соблюдением законодательства о труде, соблюдения положений коллективных договоров и соглашений;
- может ли выборный орган первичных организаций Профсоюза, правовые и технические инспектора труда Профсоюза при осуществлении профсоюзного контроля осуществлять обработку персональных данных работников без уведомления уполномоченного органа (Роскомнадзора) (п.1 части 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных») о своем намерении осуществлять обработку персональных данных в соответствии с трудовым законодательством.
Из полученного от Роскомнадзора разъяснения следует, что в случае осуществления профсоюзами, их первичными организациями и выборными органами вида деятельности по обработке персональных данных, подпадающих под исключения, установленные ч.2 ст. 22 Федерального закона «О персональных данных», указанные операторы вправе не представлять в адрес уполномоченного органа уведомления о намерении осуществлять обработку персональных данных.
Кроме того, как указал Роскомнадзор, работодатель, применительно к осуществляемой им деятельности, является оператором, осуществляющим обработку персональных данных своих сотрудников, и, руководствуясь ст.7 Федерального закона «О персональных данных», обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом при наличии правовых оснований и полномочий, установленных федеральным законом, третьи лица, в том числе профсоюзы, могут получить доступ к персональным данным, обрабатываемым оператором.
Аналогичный подход Роскомнадзора Профсоюзом был получен в 2011 г., из которого следовало, что действия представителей работников профсоюза в части, касающейся запроса и получения от работодателя документов, содержащих персональные данные работников, необходимых для осуществления профессионального контроля за соблюдением трудового законодательства, …. «не требует согласия указанных лиц на обработку их персональных данных».
Обращаем внимание, что представители Профсоюза, получившие документы, содержащие персональные данные работника, обязаны соблюдать требования конфиденциальности и безопасности при их обработке, а также обеспечить их использование только в целях, для достижения которых они были предоставлены.
С 1 июля 2017 года сайт компании не может служить полноценным
инструментом маркетинга, если не соответствует Федеральному закону
№ 152-ФЗ «О персональных данных«.
Согласно закону, любые данные посетителей сайта определены как «персональные», включая cookies и адрес электронной почты. Владелец сайта — оператор персональных данных, в обязанности которого входит получение согласия на обработку персональных данных, защита персональных данных и выполнение других требований закона.
Нарушение 152-ФЗ грозит штрафом до 300 т.р. на организацию и 75 т.р. для руководителя (сводная таблица штрафов и видов ответственности). Кроме того, Роскомнадзор блокирует сайт до устранения нарушений. Вся процедура может занять несколько недель и сильно понизить рейтинг сайта в поисковых системах.
В первую очередь, в соответствие со 152-ФЗ свои сайты должны привести интернет-магазины, гостиницы, образовательные организации, порталы и другие компании, деятельность которых подразумевает работу с персональными данными посетителей.
Содержание
Оформление политики конфиденциальности
Если на сайте компании собирается статистика посещений или посетители заполняют какие-либо формы обратной связи, с точки зрения закона компания осуществляет:
- Сбор персональных данных;
- Обработку персональных данных;
- Хранение персональных данных;
и должна предпринимать меры по защите информации.
Чтобы посетители осознанно дали разрешение на сбор их персональных данных на сайте, нужно оформить и разместить в открытом доступе Политику конфиденциальности или Соглашение на обработку персональных данных.
В Политику конфиденциальности или Соглашение о персональных данных рекомендуется включить основные разделы:
- Виды и типы собираемой информации о посетителях — пользователь сайта должен знать, какие данные собираются о нем на сайте, для каких целей они нужны и как будут использоваться, т. е. цели сбора и обработки информации;
- Обработка персональных данных — нужно разъяснить, как посетитель может получить доступ к своим персональным данным для их редактирования, сколько будет храниться эта информация и как ее удалить;
- Защита персональных данных — как построена система защиты персональных данных (СЗПДн), какие предприняты меры безопасности для обеспечения конфиденциальности посетителей и снижения угрозы хищения их персональных данных;
- Условия передачи информации третьим лицам — в каких случаях и с какими целями возможна передача третьей стороне персональных данных посетителей.
Соответствие сайта 152-ФЗ
Для соответствия сайта требованиям 152-ФЗ необходимо:
- Размещение сайта в дата-центре на территории России, с указанием точного адреса расположения серверов, на которых расположен сайт;
- Утвержденная приказом директора Политика конфиденциальности, с подробным указанием целей, способов и сроков сбора и обработки персональных данных пользователей;
- Открытый доступ к Политике на отдельной странице сайта и в офисе компании;
- Сопровождение всех форм для ввода данных на сайте ссылкой на Политику конфиденциальности или на Соглашение на обработку персональных данных и предупреждением, что заполнение формы является согласием пользователя со сбором и обработкой его персональных данных;
- Корректное сохранение всех логов с действиями посетителей сайта для возможности предоставить их по запросу государственных органов;
- Указание на сайте отдельного e-mail для принятия запросов об удалении персональных данных посетителей, с указанием срока ответов на запросы по удалению ПД;
- Установка предупреждающего баннера (дисклеймера) о том, что дальнейшее пользование сайтом означает согласие на сбор и обработку персональных данных, в том числе cookies;
- Уведомление Роскомнадзора об обработке ПД, с указанием адреса сервера и типов собираемых данных.
Для самостоятельного выполнения организацией всех требований закона «О персональных данных» может потребоваться несколько недель и обращение за консультацией к юристам. Эффективнее использовать опыт других компаний — мы умеем быстро подготавливать сайты к требованиям 152-ФЗ с помощью проверенных приемов и методик.
Наши преимущества
При подготовке сайта для соответствия требования закона «О персональных данных» мы руководствуемся:
- Проверенными методами выполнения на сайте требований 152-ФЗ;
- Нашей широкой экспертизой по обеспечению информационной безопасности компаний, включая выполнение закона «О персональных данных»;
- Знаниями по настройкам различных CMS;
- Опытом выполнения необходимых условий на десятках сайтов.
Мы снижаем риски наших клиентов, быстро и грамотно выполняя на их сайтах все необходимые требования.
Сроки и стоимость выполнения на сайте 152-ФЗ
Стоимость и сроки работ по выполнению требований закона о ПД на сайте от 2 дней от 10 000 рублей
Как начать работу с нами?