Соблюдение Закона «О персональных данных» (ФЗ-152)

15 минут
17.06.2021
Практически любая информация о ваших сотрудниках, партнерах и клиентах является персональными данными (далее — «ПДн»). Как продолжить работу с личными данными физических лиц и не нарушить требований Федерального закона «О персональных данных»? Рассказали об этом ниже.

В чем суть
Согласно ФЗ-152 под персональными данными следует понимать любую информацию, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). Это широкое определение персональных данных позволяет признать персональными данными любую совокупность информации, которая хотя бы как-то относится к физическому лицу.

Среди наиболее распространенных категорий ПДн:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес места регистрации и проживания;
  • семейное, социальное, имущественное положение;
  • образование, профессия, доходы;
  • e-mail, логин в Instagram, IP адрес;
  • фотографии;
  • паспортные данные и другое.

Важно: Даже отдельный email или номер мобильного телефона являются ПДн, так как они позволяют косвенно определить владельца (См. Письмо Минкомсвязи России от 07.07.2017 № П11−15 054-ОГ «О разъяснении норм федерального законодательства»).

Обработка ПДн представляет собой широкий спектр действий. Это любое действие или совокупность действий с ПДн, включая сбор, запись, систематизацию, хранение, использование, передачу и уничтожение.

Требования закона относятся к операторам ПДн — физическим лицам, компаниям и ИП, а также к бюджетным организациям, которые обрабатывают ПДн физических лиц.

Требования ФЗ-152 могут применяться, если вы:

  • трудоустраиваете сотрудников на работу;
  • принимаете заявки от клиентов в офисе и по телефону;
  • предлагаете клиентам заполнять форму обратной связи на сайте;
  • предоставляете форму регистрации на сайте;
  • принимаете оплату от пользователей (например, покупки внутри приложений).
Контроль за соблюдением ФЗ-152

Контроль за соблюдением ФЗ-152 осуществляют три регулятора:

  • Роскомнадзор — уполномоченный орган по защите прав субъектов ПДн, осуществляет общий контроль за соблюдением требований ФЗ-152 и назначает проверки и штрафы в этой сфере;
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — контролирует соблюдение организационных и технических мер защиты персональных данных.
  • ФСБ России осуществляет контроль и надзор за защитой биометрических ПДн и криптографическими мерами защиты ПДн.

ФСТЭК и ФСБ проверяют операторов ПДн на наличие технических мер защиты. ФСБ интересуют средства криптографической защиты, ФСТЭК же контролирует исполнение мер по остальным вопросам обеспечения безопасности.

В первую очередь, ФСТЭК интересует:

  • наличие у оператора модели угроз и нарушителей;
  • наличие локальных актов, устанавливающих уровни защищенности информационной системы персональных данных.

Модель угроз и нарушителей — это документ, в котором перечислены и описаны возможные угрозы информационной безопасности, вероятность реализации и их последствия.

Уровень защищенности персональных данных — это набор условий, которые, действуя в комплексе, нейтрализуют угрозу безопасности информационных систем персональных данных.

Регуляторы проводят как плановые, так и внеплановые проверки (например, если на компанию поступила жалоба).
Трансграничная передача данных и локализация в России
Особое внимание уделяется передаче персональных данные за рубеж (трансграничная передача ПДн).

ФЗ-152 разрешает трансграничную передачу ПДн только в те страны, которые:

  • являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн.

    Например, Конвенцию не ратифицировали США и Китай.

  • не являются сторонами Конвенции, но Роскомнадзор включил их в перечень государств с адекватной защитой прав субъектов ПДн. Сейчас в перечень включено 22 страны.

    Например, на текущий момент США не входит в этот список. Поэтому для передачи персональных данных в США требуется соблюдение иных требований.

Кроме того, если компания собирает персональные данные российских граждан, то она обязана обеспечить их первичную обработку (включая хранение) на территории России. За нарушение обязанности по локализации предусмотрены серьезные штрафы до 18 млн. рублей.
Какие меры необходимо предпринять для выполнения требований ФЗ-152?
Чтобы не получить штраф от регуляторов, необходимо выполнить, в частности, следующие требования:
Направить в Роскомнадзор корректно оформленное уведомление о намерении осуществлять обработку ПДн.

В некоторых случаях направление уведомления не требуется. Например, если вы обрабатываете ПДн только ваших работников.
Разработать форму согласия на обработку персональных данных, которая будет предоставляться лицу, чьи персональные данные вы обрабатываете.
Утвердить Политику в отношении обработки ПДн и разместить её в общем доступе (в т. ч. на сайте или в мобильном приложении). Ссылку на политику нужно добавить в пользовательское соглашение.

Также необходимо разработать локальную документацию по вопросам обработки ПДн, а также предотвращения нарушений законодательства РФ о ПДн.
Обеспечить хранение персональных данных российских граждан на территории РФ.

Не лишним будет узнать у технической поддержки вашего хостинг-провайдера или ЦОДа адрес месторасположения сервера (вплоть до здания) и убедиться, что он находится в России. В противном случае можно получить административный штраф.
Принять организационные и технические меры для обеспечения безопасности персональных данных. Например, установить антивирус, предотвратить доступ посторонних к данным.

Для защиты информации важно использовать программное обеспечение, сертифицированное ФСТЭК.
Назначить должностное лицо, ответственное за организацию обработки персональных данных внутри компании.
Организовать процесс получения и предоставления ответов на запросы физических лиц, связанные с их ПДн.

Укажите на сайте компании или в мобильном приложении e-mail, куда физическое лицо может обратиться с вопросами по обработке его ПДн. За игнорирование или просрочку ответа на запросы пользователей компания может быть привлечена к ответственности.

В мае 2017 года "Уральские авиалинии" были привлечены к ответственности за отказ предоставить гражданину сведения об обработке его персональных данных (Апелляционное определение Новосибирского областного суда от 30 мая 2017 г. по делу № 33-5201/2017).

Почему это важно
За нарушение правил сбора, хранения и обработки подобной информации компания может получить штраф от 30 000 до 18 000 000 рублей.

Например, 29 июля 2021 года Мировой суд Таганского района города Москвы признал компанию Google виновной в административном правонарушении, выразившемся в отказе локализовать данные россиян на территории РФ. На компанию был наложен штраф в размере 3 миллиона рублей. Также Твиттер и Фейсбук были оштрафованы в 2020 году на 4 миллиона каждый за аналогичное нарушение.

Кроме того, по решению суда может быть заблокирован сайт. Так, в частности, в 2016 году был заблокирован сайт Linkedin на территории России, и это самый известный случай блокировки сайта за несоблюдение правил локализации персональных данных россиян.

На что обратить внимание
Критерии сбора персональных данных
Определите цели сбора, длительность хранения и ряд других важных параметров процесса обработки персональных данных. Уничтожьте данные, которые не нужны для реализации выбранных целей; организуйте сбор согласий на обработку ПДн, если для обработки данных необходимо получать согласие пользователей.
Уведомление в Роскомнадзор
Направьте уведомление о намерении осуществлять обработку ПДн в Роскомнадзор.
Пакет документов
Разработайте комплект документации, опосредующей работу с ПДн в вашей компании (Политика обработки ПДн и иная внутренняя документация компании). Политика обработки ПДн должна быть доступна широкому кругу лиц: лучше всего её опубликовать на сайте.
Локация серверов
Убедитесь, что серверы, на которых вы храните ПДн российских граждан, находятся на территории РФ.
Запросы физических лиц
Не игнорируйте запросы физических лиц, связанные с их ПДн.
За проверки и штрафы обычно отвечает Роскомнадзор. В ходе их проведения проверяется, в частности:
какие данные собирает компания, в каком объеме и с какой целью;
какое основание компания использует для обработки данных;
как долго и каким образом хранятся собранные персональные данные;
происходит ли «первичный сбор» данных в России, т. е. соблюдаются ли требования о локализации;
принят и внедрен ли в компании основной пакет документов по обработке персональных данных, корректно ли составлена форма согласия на обработку;
зарегистрирована ли компания как оператор персональных данных в Роскомнадзоре;
корректно ли осуществляется трансграничная передача данных и передача данных третьим лицам.
Стоит отметить, что Роскомнадзор проводит не более 300−400 плановых проверок в год, но может организовать внеплановую проверку, если поступит жалоба от субъекта ПДн.
персональные данные
18.06.2021
читайте также:
Соблюдение CCPA
Важно выполнить требования закона Калифорнии об обработке персональных данных, чтобы...
персональные данные
16.06.2021
Соблюдение GDPR
Общий регламент по защите данных (GDPR) — это документ, который регулирует и унифицирует...
оформление прав на по
22.06.2021
Патентование ПО за рубежом
Патент действует только на территории того государства, где он выдан...