Что должна сделать организация, если занимается обработкой персональных данных

ЛНА о персональных данных

Ошибка: Нужно сначала подать уведомление в Роскомнадзор, а ЛНА о персональных данных подготовить потом.

 

Часто организации вспоминают о необходимости оформить работу с ПД, когда уже активно их обрабатывают. Например, проводят собеседования, принимают новых сотрудников и заключают договоры с клиентами. Работодатели полагают, что если оперативно направить уведомление в Роскомнадзор, штрафа не последует, а ЛНА по работе с ПД можно подготовить потом. Однако после подачи уведомления они либо забывают о подготовке ЛНА, либо не приводят документы в соответствие с представленными в Роскомнадзор сведениями. В итоге данные о компании в Реестре операторов персональных данных (далее — Реестр), ЛНА и реальные бизнес-процессы не совпадают.

 

Инспектор выявит нарушение после того, как, например, сравнит содержание Реестра и политику обработки ПД на сайте компании. Представление в Роскомнадзор уведомления с недостоверной, искаженной или неполной информацией грозит предупреждением, а чаще штрафом до 5 тыс. ₽ (ст. 19.7 КоАП), как и неподача или несвоевременная подача уведомления. Если регулятор выявит в Реестре недостоверные сведения, он запросит пояснения или документы, а это может привести к выдаче предписания или внеплановой проверке. Контрольное мероприятие может закончиться штрафом по ст. 13.11 КоАП в сотни тысяч рублей.

 

Как правильно: Компания обязана уведомить регулятора до начала обработки ПД.

 

Выполнить это необходимо по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180, то есть еще до того, как оформит первого работника (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ). Перед тем как направлять уведомление, обеспечьте безопасность ПД и подготовьте пакет документов по работе с ними. Только после этих мероприятий вы вправе начать обрабатывать ПД.

 

Прежде чем разрабатывать ЛНА о персональных данных, сформируйте внутренний реестр обрабатываемых ПД и карты их потоков. Такой реестр позволит понять, какие документы по ПД нужны вашей компании, и определить цели их обработки. Одновременно работайте с формой уведомления Роскомнадзора. Советуем подавать уведомление в электронном виде через сайт Роскомнадзора. Форма на сайте содержит готовые формулировки целей обработки персональных данных, их категории и другую информацию. Это облегчит вам работу и позволит согласовать данные Реестра и документы компании. По данным Роскомнадзора, в ближайшее время неуведомление об обработке ПД будет считаться отягчающим обстоятельством при привлечении компании к ответственности.

 

Если вы уже подали в Роскомнадзор уведомление, проверьте, чтобы данные в нем соответствовали требованиям законодательства и фактическому положению дел в компании. При необходимости актуализируйте сведения в Реестре. Это поможет избежать крупного штрафа.

На заметку: вы вправе не уведомлять Роскомнадзор об обработке ПД, если обрабатываете их исключительно без использования средств автоматизации (ст. 22 Закона № 152‑ФЗ).

Одно согласие на обработку персональных данных для нескольких целей

Ошибка: У работника достаточно взять одно согласие на обработку персональных данных для разных целей

 

Чтобы упростить себе работу, работодатели берут с сотрудников одно согласие, где перечислены все цели обработки ПД. Там же закрепляют право обрабатывать данные в любых, в том числе в избыточных целях, передавать и распространять ПД неограниченному кругу лиц. Шаблон согласия часто скачивают из интернета или правовой системы, не адаптируя под реальные нужды и положения ЛНА компании.

 

Такие ошибки могут повлечь штрафы до 500 тыс. ₽ по ст. 13.11 КоАП. Например, Роскомнадзор оштрафовал одну компанию на 60 тыс. ₽ за обработку ПД, которая была несовместима с целями сбора данных (решение Центрального районного суда г. Хабаровска от 08.06.2022 по делу № 12-1051/2022)

 

Как правильно: Для каждой цели обработки ПД необходимо брать отдельное согласие.

 

За исключением случаев, когда оператор вправе обрабатывать ПД без согласия физлица ввиду наличия других правовых оснований (ст. 6 Закона № 152-ФЗ). Кроме цели обработки ПД, указывайте в согласии перечень обрабатываемых данных, перечень действий с ПД, используемые способы обработки. Цель должна быть конкретной и однозначной (ст. 9 Закона № 152-ФЗ). Перечень ПД в согласии не должен быть избыточным, но должен содержать все ПД физлица, обрабатываемые компанией.

 

Чтобы передать данные работника третьим лицам, заручитесь его письменным согласием с указанием конкретного третьего лица, а при распространении ПД — согласием на распространение по требованиям ст. 10.1 Закона № 152-ФЗ. Работодатель вправе сообщать без письменного согласия работника его ПД третьей стороне лишь в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника либо в случаях, прямо установленных федеральными законами (ст. 88 ТК).

 

Разработайте шаблоны согласий на обработку, передачу и распространение ПД или внесите изменения в существующие с учетом обязательных реквизитов и условий в соответствии с Законом № 152-ФЗ. Проследите, чтобы согласия оформлялись во взаимосвязи с политикой обработки ПД, другими документами компании по персональным данным и соответствовали сведениям в Реестре.

Нужно ли брать согласие на обработку персональных данных до заключения трудового договора

Ошибка: До заключения трудового договора согласие на обработку персональных данных не требуется

 

Есть мнение, что получать у работника согласие на обработку ПД необходимо после заключения трудового договора. Это мнение ошибочно. Компания начинает обрабатывать ПД соискателя еще до заключения трудового договора: просит заполнить анкету, изучает трудовую книжку, паспорт, характеристику. Это как минимум сбор, а значит, обработка персональных данных (ст. 3 Закона № 152-ФЗ).

 

Обработка ПД без согласия субъекта грозит компании штрафом до 150 тыс. ₽ по ч. 2 и 2.1 ст. 13.11 КоАП. Штраф за повторное нарушение составит 500 тыс. ₽.

 

Как правильно: нужно - Обработка ПД кандидата и обработка ПД работника преследуют разные цели и включают разный состав обрабатываемых данных.

 

В первом случае получите согласие на обработку, чтобы рассмотреть кандидатуру на имеющуюся вакансию и принять решение о заключении трудового договора, во втором — чтобы заключить и исполнить трудовой договор, вести кадровый и бухгалтерский учет.

 

Разработайте шаблон согласия на обработку ПД соискателей, указав цель обработки. Образец скачайте в конце статьи. Просите соискателей подписать такое согласие перед тем, как обрабатывать их ПД.

К слову сказать: компаниям затруднительно выполнить требование о подаче уведомления в Роскомнадзор до начала обработки ПД. При подготовке уведомления компания уже обрабатывает персональные данные, прежде всего руководителя. Также форма предусматривает указание сведений о лицах, ответственных за организацию обработки ПД, если это не директор. Значит, компания уже приняла на работу минимум одного сотрудника и обработала его ПД. К счастью, за такие формальные нарушения Роскомнадзор не штрафует.

Нужно ли подавать сведения в роскомнадзор при использовании Google-сервисов

Ошибка: Собирать персональные данные, используя Google-сервисы, можно без уведомления Роскомнадзора

 

Компания совершает ошибку, если не проверяет, в какой стране располагается сервер, на котором она хранит и обрабатывает ПД. Например, многие используют в работе иностранные облачные хранилища, операционные системы, программы, формы сбора данных и пр. Это означает, что ПД работников и клиентов хранятся и обрабатываются за пределами России. Тем самым компания нарушает требование о локализации ПД в России и осуществляет их трансграничную передачу без уведомления Роскомнадзора (ст. 12 и ч. 5 ст. 18 Закона № 152-ФЗ).

 

Такие нарушения — одни из самых распространенных. За несоблюдение обязанности по локализации баз данных в РФ штрафуют на сумму до 6 млн ₽, штраф за повторное нарушение — до 18 млн ₽ (ч. 8 и 9 ст. 13.11 КоАП). Например, одна компания получила штраф в размере 4 млн ₽ за то, что обрабатывала ПД российских граждан с использованием баз данных, которые находились на территории США и ЕС (постановление Второго КСОЮ от 07.07.2020 по делу № 16-3770/2020).

 

Как правильно: при сборе персональных данных работодатель обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение, извлечение с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 Закона № 152-ФЗ).

 

При передаче данных на территорию иностранного государства иностранному юрлицу необходимо соблюсти требования, предусмотренные ст. 12 Закона № 152-ФЗ. ПД граждан сперва локализуйте в России. Потом вы вправе передать их за рубеж с соблюдением требований по трансграничной передаче ПД.

 

Минимизируйте использование иностранных хостинг-провайдеров, дата-центров, облачных хранилищ. Проверяйте местонахождение баз данных — эту информацию Роскомнадзор вправе запросить в любой момент, в том числе при проведении профилактического визита.

Требования закона о персональных данных к сайту

Ошибка: Требования закона о персональных данных на сайт компании не распространяются.

 

На сайтах компании часто размещают информацию о своих работниках. Обычно персональные данные содержатся во вкладках «Руководство» и «Наша команда», где указаны Ф. И. О., должность, образование специалистов. Еще чаще компании собирают на сайтах ПД клиентов, когда предлагают оформить подписку на рассылки, заполнить форму обратной связи или создать личный кабинет. Все это — сбор и обработка персональных данных. Но не все учитывают законодательство о ПД при наполнении сайтов.

 

Роскомнадзор постоянно мониторит сайты и в любой момент вправе запросить документы, выдать предписание, по факту неисполнения которого провести внеплановую проверку и оштрафовать компанию. Неразмещение на сайте компании политики обработки ПД влечет штраф до 60 тыс. ₽ (ч. 3 ст. 13.11 КоАП). За сбор данных на сайте без согласия субъекта, как мы писали выше, штраф составит до 150 тыс. ₽, при рецидиве — до 500 тыс. ₽ (ч. 2 и 2.1 ст. 13.11 КоАП).

 

Как правильно: Получайте от пользователей сайта согласие на обработку ПД.

 

Разместите на сайте политику обработки персональных данных. Для каждой цели обработки ПД в этом документе необходимо указать категории, перечни обрабатываемых ПД, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения данных. На сайте также должно быть предупреждение о сборе cookie-файлов, данных об IP-адресе и местоположении пользователя и, если последний не желает, чтобы эти данные обрабатывались, предупреждение о том, что он должен покинуть сайт. Размещайте пустой чек-бокс для проставления пользователем согласия на обработку его ПД. Сделайте «всплывающую» форму — уведомление об обработке метаданных пользователя.

 

Политика обработки ПД должна быть доступна на каждой странице сайта , где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.

Мораторий на закон о персональных данных

Ошибка: Пока действует мораторий на проверки, Роскомнадзора можно не бояться.

 

Мораторий на проверки бизнеса продлили до 2030 года (постановление Правительства от 10.03.2023 № 372). Поэтому компании начали более формально подходить к работе с ПД в надежде, что проверки и штрафы все равно не последуют. Приводить в порядок свои документы по ПД многие организации начинают только после запроса Роскомнадзора или жалобы субъекта ПД.

 

Между тем мораторий на плановые проверки не распространяется на компании с высоким и чрезвычайно высоким риском. Основания для внеплановых проверок хоть и ограничены, но они есть и указаны в постановлении Правительства от 10.03.2022 № 336. Например, Роскомнадзор придет, если за календарный год ведомство выявит десять и более расхождений информации, которую по его запросу предоставила компания, с данными от граждан по поводу обработки их ПД. Фактически это означает, что Роскомнадзор может по согласованию с прокуратурой прийти с проверкой, если в течение года получит десять жалоб на компанию, связанных с незаконным получением ПД, передачей их третьим лицам, распространением без согласия субъекта (приказ Минцифры от 15.11.2021 № 1187). Риск в таком случае — от предупреждения до миллионных штрафов.

 

Как правильно: Обработка ПД — это постоянный процесс, а значит, и работать с документами и техническими средствами защиты необходимо непрерывно.

 

Не относитесь к работе с ПД формально, несмотря на мораторий. Разработайте пакет документов под реальное содержание и потоки ПД в компании, внедрите техническую защиту, приведите сайт в порядок. Составляйте документы по работе с ПД не для проверок, а чтобы защитить данные работников и клиентов, бизнес-интересы и репутацию компании.

 

Инициируйте профилактический визит специалистов по персональным данным. Они проверят правильность работы с ПД и выдадут рекомендации. Такое мероприятие не проверка, поэтому не бойтесь штрафов, они не последуют.

На заметку: несмотря на мораторий, в 2022 году Роскомнадзор провел 200 проверок, 3200 мероприятий без взаимодействия с компаниями, выдал 186 предписаний об устранении нарушений и взыскал штрафы на 50 млн ₽ (вебинар Роскомнадзора по теме «Защита персональных данных», который прошел 01.03.2023).