Проблемы оборота персональных данных

Сегодня все чаще сообщают о новых случаях крупной «утечки» персональных данных. В 2022 году в Российской Федерации стало известно примерно о 150 подобных кейсах. Для выявления и предотвращения незаконного распространения личной информации в первые месяцы 2023 года Роскомнадзором уже было назначено 25 проверок, а в прошлом году — проведено 78 внеплановых проверок. В 87% указанных случаев были выявлены незаконные действия. Нарушителей привлекли к административной ответственности и обязали выплатить штрафы на общую сумму около 1 млн. рублей, плюс, вынесли 9 предупреждений.

Что бизнесу нужно знать о работе с персональными данными, чтобы избежать штрафов?

Чтобы не вызвать пристальное внимание Роскомнадзора и избежать нарушений в сфере обработки и хранения персональных данных, внимательно изучите актуальные изменения в законодательстве:

В специальный Закон (Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ) внесли поправки, в соответствии с которыми теперь следует информировать Роскомнадзор о намерениях компании обрабатывать с использованием средств автоматизации, в частности, персональные данные:

• работников;
• клиентов (когда данные о них нужны исключительно для заключения и исполнения договоров);
• физлиц: которые разрешили их распространять; только в части Ф.И.О.; для однократного пропуска на территорию или в аналогичных целях.

Роскомнадзор уточнил, что уведомление нужно подать всем, кто ранее обрабатывал персональные данные в ситуациях, которые до внесения поправок считались исключением.

Для юридических лиц целесообразно назначить приказом ответственных лиц и разработать пакет внутренних документов по обработке персональных данных, в том числе:

• Приказ о назначении комиссии по защите персональных данных
• Поручение на обработку персональных данных
• Политику в отношении обработки персональных данных
• Инструкцию администратора безопасности
• Положение о комиссии по защите персональных данных
• Перечень обрабатываемых персональных данных
• Перечень должностей и третьих лиц, допущенных к обработке персональных данных
• План мероприятий по защите персональных данных
• Обязательство о неразглашении персональных данных
• Перечень средств защиты информации
• Согласие на обработку персональных данных
• Регламент определения уровня защищенности персональных данных
• Положение по защите персональных данных
• Положение об обработке персональных данных
• Приказ о назначении лиц, ответственных за обработку и защиту персональных данных.

Правила работы с персональными данными, собранными через формы обратной связи на сайте

Владельцы сайтов, которые размещают на сайте формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, тоже обрабатывают персональные данные, поэтому должны учитывать новые требования. На каждой странице сайта, где собираются данные пользователей, необходимо разместить Политику обработки персональных данных. Невыполнение этого требования грозит штрафом от 30 до 60 тысяч рублей (ч. 3 ст. 13.11 КоАП РФ). Согласие на обработку персональных данных (в том числе, файлы cookie) должно содержать:

• наименование или ФИО и адрес оператора, получающего согласие;
• цель обработки (отправка пользователям рассылки или предоставление доступа к материалам сайта, публикациям);
• перечень персональных данных, на обработку которых пользователь даёт согласие;
• перечень действий с персональными данными и способы их обработки;
• если вы поручаете обработку персональных данным сторонним лицам или компаниям, необходимо указать их адрес, наименование или ФИО;
• срок, в течение которого действует согласие, а также способ как можно его отозвать.

Пользователь вправе дополнительно запросить у владельца сайта информацию о том, для каких целей собираются данные, как они обрабатываются, где хранятся и так далее. Срок ответа на такой запрос составляет 10 рабочих дней. Для своевременного реагирования рекомендуется утвердить в компании соответствующий регламент.

Обработку персональных данных можно поручить другой компании – например, маркетинговым агентствам или дата-центрам. Это обязательно должно быть закреплено в договоре.

Важно! С 1 сентября 2022 года пользователи имеют право не предоставлять персональные данные, которые не нужны для исполнения договора, - например, домашний адрес при доставке заказа в пункт выдачи.

Утечка информации: порядок действий

Если произошла «утечка», оператор должен:

• в течение 24 часов - уведомить об этом Роскомнадзор, сообщить предполагаемые причины и оценить вред от произошедшего;
• в течение 72 часов - провести расследование инцидента и сообщить о результатах.

Специальные электронные формы подачи уведомлений доступны на сайте Роскомнадзора (https://pd.rkn.gov.ru/incidents/form/).

Кроме того, для предотвращения и решения подобных ситуаций компании обязаны взаимодействовать с государственной системой обнаружения компьютерных атак (ГосСОПКА). Механизм взаимодействия определит ФСБ.

Уничтожение персональных данных

С 1 марта Роскомнадзор начал вести реестр учета инцидентов в области персональных данных (ч. 10, ст. 23 Закона о персональных данных). Изменения также коснулись порядка подтверждения уничтожения и трансграничной передачи персональных данных, сроков уведомления Роскомнадзора об изменении сведений, ранее представленных в уведомлении об обработке персональных данных, и ряда иных вопросов.

Уничтожить персональные данные (или обеспечить их уничтожение) теперь необходимо, если:

• Субъект персональных данных потребовал их уничтожить (в течение 7 рабочих дней);
• Оператор обработки персональных данных выявил факт неправомерного использования данных (в течение 10 рабочих дней) – ч. 3 ст. 21 указанного закона;
• Оператор достиг целей, для которых производился сбор и использование информации (в течение 30 дней) – ч. 4 ст. 21 закона № 152-Ф3;
• Субъект персональных данных отозвал свое согласие на обработку, например, по причине увольнения (в течение 30 дней) – ч. 5 ст. 21 указанного закона.

Акт об уничтожении персональных данных подлежит хранению в течение 3 лет с момента уничтожения персональных данных и должен содержать:

• Наименование компании либо ФИО оператора-физлица, адрес;
• Наименование (либо ФИО) и адрес лица, которое обрабатывать данные по поручению оператора, если вы передали обработку такому лицу;
• ФИО и иную информацию о лицах, чьи данные были уничтожены;
• ФИО и должность сотрудника, который уничтожил данные, а также его подпись;
• Перечень категорий уничтоженных данных;
• Наименование уничтоженного материального носителя с указанием количества/листов по каждому такому носителю (если обработка велась без средств автоматизации). Наименование информационной системы или систем персональных данных, откуда удалили сведения – если обработка велась с использованием средств автоматизации;
• Способ уничтожения персональных данных;
• Причину уничтожения;
• Дату уничтожения.

Трансграничная передача данных и хранение

Все чаще возникают и ситуации, связанные с трансграничной передачей данных и локализацией персональных данных в России.

Например, 16 июня 2022 года мировой суд Таганского района г. Москвы рассмотрел административные протоколы, составленные Роскомнадзором в отношении иностранных компаний, не локализовавших базы данных российских пользователей на территории РФ. Так, компания Google LLC была оштрафована на 15 млн рублей за повторный отказ локализовать личные данные пользователей в России (ч. 9 ст. 13.11 КоАП РФ). Ранее Google уже привлекался к административной ответственности за нарушение требования о локализации - в 2021 году штраф составил 3 млн рублей, который компания оплатила своевременно.

Компанию Likeme Pte. ltd. суд также обязал выплатить штраф в размере 1,5 млн рублей по ч. 8 ст. 13.11 КоАП РФ за нелокализацию персональных данных российских пользователей.

Согласно российскому законодательству оператор обязан обеспечить хранение баз данных россиян на территории Российской Федерации (ч. 5 ст. 18 ФЗ-152), так как локализация баз данных на территории РФ позволяет обеспечить необходимый уровень защищённости персональных данных российских граждан.

С 1 марта 2023 года операторы должны уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных до начала таких действий. Такое уведомление подается в электронном виде на официальном портале персональных данных, для доступа к форме уведомления потребуется подтвержденная учетная запись на Госуслугах. По итогам рассмотрения, ведомство вправе принять решение о запрете или ограничении передачи персональных данных в другие страны.

Передавать данные за границу до истечения 10 рабочих дней со дня подачи уведомления запрещено, за исключением некоторых государств - например, государств-участников Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Беларусь, Казахстан, ЮАР, Китай, Турция и тд.).

До подачи уведомления оператор должен провести оценку соблюдения иностранным контрагентом мер по защите персональных данных, для чего необходимо получить информацию, указанную в п. 5 ст. 12 Закона 152-ФЗ, а именно:

• сведения о принимаемых органами власти иностранного государства (или иностранными физическими лицами/иностранными юридическими лицами), мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
• информацию о правовом регулировании в области персональных данных иностранного государства, сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

Информация — один из самых ценных ресурсов. Законодательство о персональных данных развивается динамично, а вектор его развития направлен на ужесточение ответственности операторов за неправомерную обработку данных. Чтобы минимизировать риски привлечения к ответственности и избежать неприятных ситуаций, будьте бдительны и внимательны в части соблюдения требований действующего законодательства.