Кому оператор вправе поручить обработку персональных данных

Обновлено: 16.05.2024

С 1 июля вступают в силу поправки к 13.11 КоАП о нарушениях в работе с персональными данными. За нарушение в сборе, хранении или обработке персональных данных можно получить штраф до 75 000 рублей. Роскомнадзор уже составил план проверок компаний. Но без паники: всё не так страшно, срочно бежать к юристу не нужно. А что нужно — давайте разбираться.

Кого касается закон?

Закон касается операторов персональных данных: физических лиц и организации, которые собирают, хранят и обрабатывают персональные данные.

Что считается персональными данными фамилия, имя, отчество; адрес; электронная почта; телефон; дата или место рождения; ссылка на соцсети; профессия.

Оператором персональных данных может стать кто угодно. Даже если у вас личный сайт с формой регистрации, вам всё равно могут выписать штраф. Правда штрафы компаниям выше.

В законе нет четкого списка, что считать персональными данными. Правило такое: если по данным, что вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные. Например, если у вас есть имя, фамилия и электронная почта клиента, теоретически вы сможете найти его через поиск в Гугле.

Давайте на примерах. Вы обрабатываете персональные данные, если:

Выходит, если вы получаете и храните данные посетителей сайта, сотрудников или соискателей, вы оператор персональных данных.

Если посетители сайта оставляют вам только никнеймы, вы можете не читать дальше эту статью. По никнеймам нельзя опознать человека в интернете, поэтому они не относятся к персональным данным.

Чтобы перестраховаться, мы рекомендуем держаться правила: собираете данные о пользователях на сайте, считайте их персональными. Чтобы не получить штраф, выполните действия, которые требует закон.

А если я собираю куки?

Трактовка закона расплывчатая, и однозначного ответа нет. Сама по себе кука — информация о поведении посетителя, она обезличена и по ней нельзя точно определить личность. Но если вместе с куками вы собираете электронную почту, фамилию и имя посетителя сайта, всё вместе это становится персональными данными. То же самое — с айпи-адресом.

Я определяю геоданные посетителей. Я оператор?

Здесь так же, как с куками. Закон не говорит точно, но по логике геоданные не считаются персональными данными. В сочетании с телефоном, именем, почтой или другими данными, геоданные становятся персональными данными. Здесь тоже лучше перестраховаться.

Что делать, если я оператор?

Порядок действий для ИП, физических лиц и компаний похож. И тем, и другим нужно:

Универсальной формы политики конфиденциальности нет. Нельзя скачать политику конфиденциальности с Озона и Гугла и использовать их. По закону вы не должны собирать лишние персональные данные, только те, которые нужны для вашей цели. Если у вас форум для автомобилистов, вам не нужен адрес по прописке или номер паспорта. А налоговой такие сведения понадобятся вполне законно.

Сервис Контура подготовит документы по 152 ФЗ бесплатно

Составить документы поможет бесплатный сервис Контура. Сервис задает вопросы, вы заполняете реквизиты компании, данные сотрудников, а Контур оформляет политику конфиденциальности и другие документы и по шагам рассказывает, что вам нужно сделать. Если документ нужно распечатать и хранить в компании, Контур об этом скажет.

Без документов никак?

Лучше оформить документы, тем более за это не нужно платить. Иначе только два варианта:

Мы не рекомендуем играть в игры с Роскомнадзором, лучше сделать всё по правилам.

Как уведомить Роскомнадзор?

Уведомления надо подать до момента обработки данных. То есть если форма подписки на сайте есть, а вы не уведомили Роскомнадзор, вы уже нарушаете закон. Но если пришлете уведомление сейчас, Роскомнадзор не оштрафует за прошлые годы нарушений.

Есть путь легче — через сервис Контура.

Когда не нужно уведомлять Роскомнадзор?

Бывают случаи, когда вы обрабатываете данные, но сообщать об этом в Роскомнадзор не нужно:

• пользуетесь общедоступными данными. Например, пользователь написал о себе в социальных сетях или разместил телефон в открытом телефонном справочнике;
• обрабатываете данные, в которых есть только фамилия, имя и отчество пользователя;
• пзапрашиваете данные, чтобы один раз выписать пропуск в свою компанию;
• обрабатываете данные только на бумаге;
• обрабатываете только данные сотрудников, например, чтобы заключить трудовой договор или оформить зарплатный проект;
• обрабатываете данные клиентов, чтобы заключить договор, и не передаете их третьим лицам.

В законе есть и другие случаи, но они не касаются предпринимателей.

Меня проверят?

По новым поправкам увеличились штрафы для компаний, а за дело взялся Роскомнадзор. И взялся серьезно, на сайте можно скачать план проверок в компаниях.

Документы длинные, искать в них долго, поэтому рекомендуем один раз выполнить все требования закона и больше не волноваться о персональных данных.

За обработку персональных данных без предупреждения штраф для юридических лиц — от 15 000 до 75 000 рублей.

Короче

Когда попадаете под закон

на сайте есть форма обратной связи, регистрации или подписки;

храните данные соискателей на работу;

Как действовать

получить письменное разрешение на обработку персональных данных;

разместить на сайте политику конфиденциальности;

поставить ссылку на политику конфиденциальности во все формы на сайте;

для компаний сделать приказ и назначить конкретного сотрудника ответственным за обработку персональных данных.

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

В настоящей статье мы решили затронуть наиболее важные вопросы, возникающие при поручении обработки персональных данных субоператору при заключении договора.

Как обеспечить надлежащую защиту персональных данных субъектов в данном случае? Как реально оператору обезопасить себя, предотвратить риск наступления неблагоприятных последствий при перепоручении определенных действий с персональными данными, ведь передавая сведения по договору субоператору, оператор не может фактически контролировать их соблюдение?

В силу ч. 5 ст. 6 Закона ответственность перед субъектом персональных данных за действия субоператора несет оператор. В свою очередь, субоператор несет ответственность перед оператором.
Исходя из возможностей, предоставленных действующим законодательством, предполагается, что оператору в данном случае необходимо предпринять ряд мер, направленных на защиту своих интересов. Остановимся на них поподробнее.

Закон касается данного вопроса в ст. 6 ч. 3, путем установления требований о наличии в поручении оператора в соответствии с которым передаются персональные данные субъектов, условия об обязанности обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке, перечня действий (операций) с передаваемыми персональными данными, которые будут совершаться субоператором, целей обработки, а также требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона.

Закон не устанавливает требования к форме такого поручения, поэтому данные требования считаем возможным изложить как в поручении оператора в виде отдельного документа, так и зафиксировать в договоре.

Первая задача, которую нужно решить оператору при заключении договора на основании которого будет производиться обработка персональных данных, это определить предмет данного договора, т. е. цель его заключения, на основании которой уже будут сформированы цели обработки предоставляемых персональных данных. При этом необходимо учитывать принципы обработки персональных данных, установленные в ч. 1, 2 ст. 5 Закона, которые гласят, что обработка персональных данных должна осуществляться на законной и справедливой основе, также должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Далее, исходя из заданных целей, необходимо определиться с перечнем допустимых действий (операций), которые будут совершаться с персональными данными субоператором. К таковым можно отнести: хранение, использование, передача, предоставление, накопление, уточнение и т.п. В случае выхода за рамки предоставленных действий оператору будет проще отследить какое из них не было предусмотрено договором.

Изначально, чтобы правомерно поручить обработку персональных данных субъекта субоператору, необходимо получить согласие субъекта на данное действие. Эта обязанность прямо установлена в п. 1 ч. 1, ч. 3 ст. 6 Закона. Такого согласия не потребуется в случаях, установленных пп. 2-11 ч.1 ст. 6 Закона. Данное согласие можно включить в текст договора или получить в виде отдельного документа. Первый вариант представляется наиболее оптимальным для тех, кто желает избежать излишнего документооборота. При разработке согласия необходимо помнить о том, что согласно ч.1 ст. 9 Закона, оно должно быть конкретным, информированным, сознательным и может быть выражено в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Здесь важно не забыть, что в силу п. 3 ст. 9 Закона бремя доказывания наличия согласия субъекта персональных данных на обработку лежит на операторе.
Вторым шагом при передаче персональных данных по договору необходимо определить содержание и объем передаваемых персональных данных, которые можно зафиксировать в договоре и подтвердить факт их приема- передачи путем составления соответствующего Акта. Содержание и объем сведений определяются исходя из конкретных целей такого поручения. Здесь важно соблюсти ряд принципов, провозглашенных Законом. Речь идет о следующих принципах:

• соответствия содержания и объема обрабатываемых персональных данных целям обработки, недопустимости их избыточности по отношению к заявленным целям обработки (ч. 5 ст. 5 Закона),
• точности, достаточности, в необходимых случаях актуальности персональных данных по отношению к целям обработки (ч.6 ст. 5 Закона);
• обработки только тех персональных данных, которые отвечают целям их обработки (ч.4 ст. 5 Закона).

Поэтому, при выборе контрагента не помешает лишний раз убедиться в его правоспособности, наличии необходимых лицензий и т.д.

Следующим обязательным условием в договоре по которому поручается обработка персональных данных субъекта является обязанность соблюдения субоператором конфиденциальности и безопасности персональных данных субъектов при их обработке. Кроме того, в нем должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 18, 19 Закона. Понятие конфиденциальности раскрывается в ст. 7 Закона. Изначально, необходимо ознакомиться с локальными актами, принятыми в организации и регламентирующими данные вопросы и процессы. Таковыми могут быть Положение о порядке обработки персональных данных, Перечень лиц, имеющих допуск к персональным данным, приказ о назначении ответственных за обеспечение безопасности персональных данных, документы, содержащие данные о технических средствах защиты информации и т.д. Главная цель – убедиться, что у субоператора установлены права, полномочия, обязанности сотрудников, имеющих доступ к персональным данным, и они ознакомлены под роспись с данными документами. Чтобы реально контролировать соблюдение установленных правил и условий в договоре можно установить обязанность субоператора предоставлять оператору ежемесячно отчет о состоянии системы защиты персональных данных, фактах, имеющих значение.

Следовательно, лучше всего определить условия, методы, режим, средства охраны конфиденциальности и безопасности контрагентом переданных ему персональных данных. Такая детальная проработка условий не кажется излишней, т.к. позволит четко регламентировать процесс обработки персональных данных и своевременно выявить его нарушения.

Исходя из принципов обработки персональных данных субъектов, установленных Законом (ч. 7 ст. 5 Закона), персональные данные субъекта подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Причем в ч. 4 ст. 21 Закона установлен конкретный срок в течение которого оператор обязан обеспечить прекращение обработки персональных данных субоператором и их уничтожение. Он не должен превышать 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено в договоре, ином соглашении между оператором и субъектом персональных данных либо, если оператор не вправе осуществлять такую обработку без согласия субъекта на основаниях, предусмотренных федеральными законами. Чтобы обеспечить выполнение данной нормы Закона можно включить в договор положение об обязанности вторичного оператора прекратить обработку и уничтожить определенным порядком персональные данные субъекта в течение установленного срока, либо совершить иное действие и предоставить доказательства такого уничтожения (иного оговоренного действия), напр. Акт, справку и т.п.

Следующий вопрос, который вытекает из смысла гражданского законодательства, как возместить ущерб, причиненный субоператором, при нарушении условий договора. Считаем, необходимым прописать в договоре ответственность субоператора за нарушение взятых на себя по договору обязательств, а также обязанность контрагента возмещения убытков, понесенных оператором, вследствие данного нарушения (ст. 15 ГК РФ, ч. 5 ст.6 Закона). Убытки оператору будут возмещаться в регрессном порядке (ст. 1081 ГК РФ). Это означает, что оператор после удовлетворения требований субъекта персональных данных взыщет понесенные убытки с субоператора.

Но, как известно, лучше принять предупредительные меры, нежели при их отсутствии претерпеть серьезные последствия их игнорирования. Поэтому, другая не мало важная задача - минимизация размера возможных убытков. В данных целях можно предусмотреть в договоре положение о том, что субоператор обязуется в случае установления факта разглашения, угрозы разглашения, нарушения условий о конфиденциальности и безопасности персональных данных, незаконном получении (в т.ч. попытках), использовании, немедленно уведомить об этом оператора и всех известных обстоятельствах. Это поможет своевременно предпринять необходимые меры для предотвращения либо устранения последствий нарушения.

Итак, мы рассмотрели наиболее важные аспекты отношений, возникающих при поручении обработки персональных данных субъекта по договору третьему лицу. Как видим данные отношения регулировать очень непросто. Поэтому, в заключении можно сделать вывод о том, что необходимо серьезно и качественно подойти к разработке условий договора при поручении обработки персональных данных по договору третьему лицу. Только проработав все нюансы, обозначив наиболее важные моменты в договоре, учитывая специфику деятельности контрагента, можно предупредить риск наступления неблагоприятных последствий, а также максимально защитить свои права.

Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

К таким случаям, в частности, относится:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

При этом, в соответствии с частью 2 статьи 6 Закона о персональных данных, особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 указанного Федерального закона. Так, обработка специальной категории персональных данных допускается без соответствующего согласия в письменной форме в случаях:

1) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

2) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

4) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

7) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

8) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

9) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

10) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

11) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

12) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

13) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

Обработка биометрических персональных данных (как установлено частью 2 статьи 11 Закона о персональных данных) может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.

Читайте также:

  
• Как ругать человека сдающего экзамен на права
  
• Что такое комфорт на рабочем месте
  
• Где находится паспортный стол советского района
  
• Как уволить воспитателя детского сада по жалобе родителей
  
• Как получить иранское гражданство