В сфере персональных данных

Вниманию операторов персональных данных: о массовой рассылке от имени Роскомнадзора поддельных обращений

РАЗЪЯСНЕНИЯ

по соблюдению  требований законодательства Российской Федерации  в области персональных данных

 

В целях профилактики нарушений обязательных требований законодательства Федерации  в области персональных данных Оператору  рекомендуется:

  1. I.                  Соблюдение требований статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

В связи с предоставлением неполных сведений в уведомлении об обработке (о намерении осуществлять обработку) персональных данных

Провести аудит деятельности по обработке персональных данных, включая анализ всех целей обработки указанных в уставе, локальных актах, согласии на обработку персональных данных, договорах, анкетах, заявлениях.

Зафиксировать полный перечень субъектов персональных данных и перечень обрабатываемых персональных данных, сформированных по результатам анализа деятельности;

Зафиксировать в правовых основаниях обработки все нормативно-правовые акты, используемые Оператором при обработке персональных данных, а также согласие на обработку персональных данных, договор, заключаемый с субъектом персональных данных.

Зафиксировать местонахождение  всех баз данных (информационных систем, сайта, мобильного приложения, материальных носителей).

Обращаем внимание, что ФЕДЕРАЛЬНЫЙ ЗАКОН «О ПЕРСОНАЛЬНЫХ ДАННЫХ» НЕ ЯВЛЯЕТСЯ ПРАВОВЫМ ОСНОВАНИЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

Направить информационное письмо о внесении изменений в сведения, содержащиеся в реестре операторов, осуществляющих обработку персональных данных в части правовых оснований обработки, категорий обрабатываемых персональных данных, перечня действий с персональными данными, местонахождения базы данных.

Типовая форма Информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (далее – информационное письмо), утверждена приказом Роскомнадзора от 30 мая 2017 г. N 94.

Электронная форма информационного письма размещена на портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru).

Информационное письмо можно направить одним из следующих способов:

1. Сформировать уведомление и направить в бумажном виде (после заполнения формы письма и заявления и отправки ее в информационную систему Роскомнадзора, необходимо распечатать заполненную форму, подписать ее у уполномоченного лица и направить по почте (или нарочно) в Управление Роскомнадзора по Магаданской области и Чукотскому автономному округу)

2. Сформировать письмо (заявление) и направить в электронном виде с использованием усиленной квалифицированной электронной подписи (в этом случае подача в бумажном виде не потребуется. Для подачи документов таким способом должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним)

3. Сформировать письмо (заявление) и направить в электронном виде с использованием средств аутентификации ЕСИА (пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. Отправка копии в бумажном виде в данном случае не потребуется).

Консультацию по заполнению информационного письма, заявления о прекращении обработки персональных данных можно получить по телефону: 8 (4132) 617-008 (отдел по защите прав субъектов персональных данных).

В соответствии с частью 7 статьи 22 закона «О персональных данных»  в случае изменения сведений, указанных в Уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Непредставление или несвоевременное представление в государственный орган (должностному лицу), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление таких сведений (информации) в неполном объеме или в искаженном виде влечет административную ответственность по  ст. 19.7 КоАП РФ.

 

  1. II.              Соблюдение требований статьи 18.1Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

В целях выполнения обязанностей, предусмотренных законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами необходимо:

  1. Внести изменения в локальные акты (Политика в отношении обработки персональных данных, Положение об обработке персональных данных) в части правовых оснований обработки персональных данных, добавить обработку персональных данных обучающихся, контрагентов, пользователей сайта.

Рекомендуется включить в локальные акты по вопросам обработки персональных данных следующие положения:

  • Общие положения
  • Цели обработки
  • Правовые основания обработки
  • Категории субъектов персональных данных
  • Объем и категории обрабатываемых персональных данных (в т.ч. с использованием метрических систем)
  • Порядок и условия обработки (в т.ч. передача третьим лицам, трансграничная передача, сроки хранения, условия прекращения обработки)
  • Сроки хранения
  • Права и обязанности.
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
  1. Осуществлять внутренний контроль аудит соответствия обработки персональных данных закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

В связи с чем, в плане проведения внутреннего контроля следует определить периодичность проведения внутреннего контроля, а также фиксировать проведение внутреннего контроля соответствующей отметкой. Рекомендуется проводить внутренний контроль не реже одного раза в год.

  1. Ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (Федеральный закон, постановления Правительства Российской Федерации), в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных (приказы, Положения, инструкции и т.п) и (или) обучение указанных работников.

Ознакомление работников подтверждается формированием листов ознакомления.

Обращаем внимание, что согласно п.8 ст. 86 Трудового Кодекса Российской Федерации работники и их представители должны быть ознакомлены ПОД РОСПИСЬ с документами работодателя устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

  1. Провести оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом.
  2.  Реализовать размещение документов (политики конфиденциальности) нас сайте Общества, поскольку размещение форм подачи заявок, оформления подписки на рассылку новостей указывает на сбор персональных данных с  использованием информационно-телекоммуникационных сетей.

Публикация документа, определяющего политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также обеспечение возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети является обязанностью Оператора, осуществляющего сбор персональных данных с использованием информационно-телекоммуникационной сети.

Неисполнение обязанности влечет административную ответственность, предусмотренную ч.3 ст. 13.11 КоАП РФ.

 

  1. III.           Соблюдение требований статьи 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

С 1 марта 2021 года исключительным правовым основанием распространения  персональных данных, в том числе путем публикации на сайте образовательной организации сведений, предусмотренных Федеральным законом «Об образовании», является согласие субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения (ч.1 ст.10.1).

Требования к согласию утверждены приказом Роскомнадзора от 24.02.2021 № 18.

Субъект персональных данных вправе:

  • установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц;
  •  установить запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

Оператор обязан в срок не позднее 3-х рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

С учетом изложенного, Оператору необходимо получить согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения всех работников, персональные данные которых опубликованы на официальном сайте после 1 марта 2021 года, а также опубликовать запреты и условия обработки.

В помощь Операторам Роскомнадзором разработан сервис, позволяющий сформировать согласие на обработку персональных данных, разрешенных субъектом персональных данных на распространения и получить рекомендации по  его оформлению https://pd.rkn.gov.ru/soglasiya/maket.

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством  Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, а равно обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных влечет административную ответственность, предусмотренную ч. 2 ст. 13.11 КоАП РФ.

Повторное нарушение влечет административную ответственность по ч. 2.1 ст. 13.11 КоАП РФ.

Субъект персональных данных вправе обратиться к любому лицу, обрабатывающему его персональные данные, с требованием удалить их из общего доступа без дополнительных условий либо обратиться в суд.

Требование субъекта персональных данных должно включать:

  • фамилию, имя, отчество (при наличии),
  • контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных,
  • перечень персональных данных, обработка которых подлежит прекращению.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования.

 

  1. IV.           Соблюдение установленных требований после достижения целей обработки (ст. 5, 20, 21 Федерального закона от 27.07.20226 № 152-ФЗ «О персональных данных»)

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей

В случае достижения цели обработки оператор обязан:

  • прекратить обработку персональных данных или обеспечить ее прекращение
  • уничтожить персональные данные или обеспечить их уничтожение  в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено:

ü    договором,

ü    иным соглашением между оператором и субъектом персональных данных

Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральными законами (ч.4 ст. 21 Федерального закона № 152-ФЗ).

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Если персональные данные (материальные носители) подлежат хранению в соответствии с требованиями архивного законодательства Российской Федерации рекомендуется ежегодно передавать документы в архив учреждения с оформлением  актов.

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, а равно обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 ст. 13.11 и статьей 17.13 Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет административную ответственность, предусмотренную ч.1 ст. 13.11 КоАП РФ.

Повторное нарушение влечет административную ответственность по ч.1.1 ст. 13.11 КоАП РФ.

 

  1. V.              Выполнение требований, установленных становлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой  без использования средств автоматизации»

В целях исполнения  требований Оператору необходимо

v    информировать лиц, осуществляющих обработку персональных данных  без использования средств автоматизации  • факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, о • категориях обрабатываемых персональных данных,  об• особенностях и правилах осуществления такой обработки, установленных нормативными правовыми  актами органов исполнительной власти, а также локальными правовыми актами организации (при их наличии) (п. 6)

v    утвердить перечень мест хранения персональных данных  (материальных носителей) (п.13);

v    утвердить перечень лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п.13);

v    утвердить перечень мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер (п.15)

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния, влечет административную ответственность по ч. 6 ст.13.11 КоАП РФ.

Обращаем ваше внимание, что с 27 марта 2021 года срок привлечения к административной ответственности за нарушения законодательства в области персональных данных составляет 1 год.

Время публикации: 17.05.2017 09:50
Последнее изменение: 10.06.2022 18:18