В марте 2021 года изменили правила работы с персональными данными, а штрафы за нарушения увеличили вдвое. В материале — готовый алгоритм по работе с персональными данными по новым правилам.
Эта рекомендация — для операторов персональных данных, которые обрабатывают данные не только своих сотрудников, но и других лиц: клиентов, контрагентов и пользователей сайтов. Из рекомендации вы узнаете, как работать с персональными данными, чтобы не получить штраф от Роскомнадзора.
Что такое персональные данные
Персональные данные — это любая информация, которая прямо или косвенно относится к гражданину. Это сведения о фактах жизни гражданина, которые позволяют установить его личность (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).
В законе нет конкретного перечня персональных данных — к ним можно отнести любую информацию о гражданине, например:
- Ф. И. О.;
- пол, возраст;
- образование, квалификация и т. п.;
- адрес, номер телефона и т. п.;
- семейное положение, наличие детей;
- факты биографии;
- финансовое положение, включая зарплату (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
- фото и видео, по которым можно установить личность человека.
Важно, чтобы данные относились к конкретному человеку. К примеру, сам по себе номер телефона — не персональные данные, потому что нельзя понять, кому он принадлежит. Но если компания хранит в своей базе Ф. И. О. клиента вместе с его телефонным номером, тогда номер — это персональные данные.
ПРИМЕР
Какая информация относится к персональным данным, а какая нет
Персональные данные:
1. Львов Александр Владимирович, +79100090909.
2. Супруга Львова Александра Владимировича — Львова Юлия Ивановна.
3. Паспорт серия 1314 № 671562, выдан ГУВД г. Москвы 22.03.2018.
Не персональные данные:
1. Львов.
2. 30 процентов опрошенных женаты.
3. Клиенты — жители Москвы в возрасте от 23 до 35 лет.
____________________________________________________________________________
Выделяют три категории персональных данных: специальные, биометрические и общие.
В законе нет определения специальных персональных данных, есть только перечень этих данных. К специальным персональным данным закон относит информацию:
- о расовой и национальной принадлежности;
- политических, религиозных и философских взглядах;
- состоянии здоровья и интимной жизни;
- судимостях.
Такой перечень закрепляет статья 10 Закона № 152-ФЗ.
К специальным категориям персональных данных применяется повышенный уровень защиты. Так, обрабатывать специальные категории персональных данных можно только в строго определенных законом случаях или на основании письменного согласия субъекта. За отсутствие письменного согласия или несоблюдение формы согласия Роскомнадзор может оштрафовать на сумму до 150 тыс. руб. по части 2 статьи 13.11 КоАП. Смотрите, какие еще штрафы можно получить за незаконную обработку персональных данных.
Биометрические персональные данные — это физиологические или биологические особенности человека, которые используют, чтобы установить его личность. Например, отпечатки пальцев, группа крови, а в некоторых случаях даже фотографии (ст. 11 Закона № 152-ФЗ).
ВНИМАНИЕ
Физиологические или биологические особенности человека не всегда биометрические персональные данные
Минцифры в письме от 17.07.2020 № ОП-П24-070-19433 указало, что фотографии посетителей, которые содержит система контроля управления доступа, — это биометрические персональные данные. Они характеризуют физиологические и биологические особенности человека.
Вывод Минцифры подтверждает позиция Верховного суда (определение от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017).
До 19.11.2021 Роскомнадзор тоже считал физиологические или биологические данные персональными. Но только если оператор собирал и хранил их, чтобы идентифицировать личность. Фотография — не биометрические данные, если ее владелец уже знает, кому принадлежит фото. Например, фото сотрудника в личном деле или фото клиента в его профиле в базе компании, если их используют для сбора информации о сотруднике, — общие или специальные данные.
К общим персональным данным относят базовые личные данные, которые не попадают в остальные категории. Например, Ф. И. О., место регистрации, информацию о месте работы, номер телефона, e-mail.
В отдельную группу иногда выделяют обезличенные персональные данные. Это данные, по которым без дополнительной информации невозможно определить, кому они принадлежат (п. 9 ст. 3 Закона № 152-ФЗ).
ПРИМЕР
Какие персональные данные обезличенные, а какие нет
1. Статья в крупной федеральной газете
«Иванов Сергей» — обезличенные данные.
«Иванов Сергей, 1981 года рождения, проживающий в г. Саратове по ул. Лесной» — необезличенные данные.
2. Статья на корпоративном сайте
«Сотрудник из отдела продаж» — обезличенные данные.
«Иванов Сергей» — необезличенные данные.
____________________________________________________________________________
Оператор обязан обезличить или уничтожить персональные данные, если достиг целей обработки или потерял к ней интерес. Например, если вы собирали данные клиентов для рекламных рассылок, но решили больше их не отправлять (п. 7 ст. 5 Закона № 152-ФЗ).
При этом сегодня правила по обезличиванию персональных данных установлены только для государственных и муниципальных органов. Например, госорганы должны обезличивать персональные данные в своих информационных системах (приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных», подп. «з» п. 1 перечня, утв. постановлением Правительства от 21.03.2012 № 211).
Суды общей юрисдикции также должны обезличивать персональные данные в актах, которые размещают в открытом доступе (п. 3 ст. 15 Федерального закона от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов»).
Другим операторам Роскомнадзор рекомендует не обезличивать персональные данные, пока нет специального порядка, как это делать. При этом Роскомнадзор обещает разработать правила по обезличиванию персональных данных для компаний и ИП в ближайшее время.
Что изменилось в работе с персональными данными с 1 марта 2021 года
С 1 марта 2021 года из закона исключили понятие «общедоступные персональные данные». Теперь любые персональные данные можно передать неопределенному кругу лиц при соблюдении строгих условий. Субъект персональных данных должен дать отдельное согласие — на обработку персональных данных для дальнейшего распространения.
Кто считается оператором персональных данных
Операторы персональных данных — это граждане, ИП, компании, органы власти, которые собирают, хранят и обрабатывают персональные данные или организовывают эти процессы. Например, собирают электронные адреса для рассылок или просят покупателей оставить имя и телефон для заказа в интернет-магазине (п. 2 ст. 3 Закона № 152-ФЗ).
Например, если компания собирает персональные данные клиентов через сайт для рекламной рассылки или проводит интервью с соискателями для трудоустройства, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Если этого не сделать, компанию оштрафует Роскомнадзор.
ПРИМЕР
Как понять, что вы — оператор персональных данных
Вы обрабатываете персональные данные:
- если в форме обратной связи на сайте клиенту нужно написать имя и телефон;
- в интернет-магазине покупатель оставляет свои имя, телефон, адрес доставки;
- форме быстрого обращения система запрашивает у клиентов телефон и имя;
- блоге можно оставить комментарий, если указать имя и почту;
- рассылке есть форма подписки, куда посетители вписывают адрес почты и имя;
- компании работают сотрудники по трудовому договору, а у соискателей вы запрашиваете имена, телефоны и почту, чтобы пригласить на повторное собеседование или прислать новости о компании;
- на форуме посетители регистрируются и оставляют имя и почту.
____________________________________________________________________________
Обработка персональных данных — нелицензируемый вид деятельности. Поэтому операторам персональных данных не нужно получать лицензию, чтобы начать собирать и обрабатывать персональные данные (письмо ФСТЭК от 06.06.2018 № 240/13/2549).
По общему правилу оператор должен уведомить Роскомнадзор, что собирается обрабатывать данные граждан. Но в законе есть исключения, когда делать это необязательно. Вот три самых распространенных случая:
- работодатель собирает информацию только о своих сотрудниках (подп. 1 п. 2 ст. 22 Закона № 152-ФЗ);
- оператор использует данные, только чтобы заключить и исполнить договор с субъектом, не распространяет его данные и не предоставляет третьим лицам (подп. 2 п. 2 ст. 22 Закона № 152-ФЗ);
- оператор обрабатывает исключительно фамилии, имена и отчества субъектов персональных данных (подп. 5 п. 2 ст. 22 Закона № 152-ФЗ).
Полный список исключений смотрите в части 2 статьи 22 Закона № 152-ФЗ.
При этом компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных.
Уведомление Роскомнадзора — это не единственная обязанность операторов. Кроме этого, они должны правильно хранить, использовать и вовремя уничтожать персональные данные. Читайте в отдельной рекомендации, какие обязанности есть у операторов персональных данных.
Роскомнадзор ведет реестр всех операторов персональных данных на своем официальном сайте. Реестр открытый — вы можете ввести в строке поиска данные любой компании и проверить, зарегистрировал ли ее Роскомнадзор как оператора.
Оператором персональных данных могут быть как российские, так и иностранные компании, а также представительства и филиалы иностранных компаний. Законодательство о персональных данных будет распространяться на иностранных операторов при условии осуществления ими деятельности, направленной на территорию России. Иностранные операторы должны обрабатывать персональные данные по законодательству своей страны.
Работодатели — тоже операторы персональных данных, как и владельцы сайтов и интернет-магазинов. Отличие в том, что работодатели обрабатывают персональные данные работников на основании трудового законодательства. На такую обработку не нужно отдельное согласие.
В остальном к работодателям предъявляются такие же требования по работе с персональными данными, как и к другим операторам. Работодатели тоже собирают информацию о гражданах, хранят ее в кадровых документах, передают в налоговую и Пенсионный фонд. Поэтому они обязаны следить за всеми документами, где есть имена, даты рождения, адреса и другие личные сведения о работниках. Работодатели должны брать согласия работников на обработку и распространение их персональных данных в тех случаях, когда такая обработка и распространение выходят за пределы требований закона.
Согласие на обработку и согласие на обработку персональных данные, разрешенных к распространению, — это разные документы. С 1 марта объединять их нельзя. Как составить согласия и что в них указать, чтобы не получить штраф от Роскомнадзора, читайте в отдельной рекомендации. Ниже вы можете скачать образцы согласий — они учитывают все новые требования закона.
Если Роскомнадзор найдет нарушения, он оштрафует оператора. Например, штраф за то, что компания не уведомила Роскомнадзор о начале работы с персональными данными, — до 5 тыс. руб.
При этом ведомство не может лишить статуса оператора, даже если компания не уведомила о начале работы с персональными данными или обрабатывала данные с нарушениями.
Как собирать персональные данные
Собирать персональные данные можно только с разрешения владельца. Для этого оператор обязан получить согласие того, чьи данные собирает. Такое согласие может быть получено в любой форме, которая позволяет установить, что согласие дал конкретный гражданин. Обычно используют письменную форму. Но в интернете письменную форму согласия заменяют на электронную. В качестве формы не обязательно должен быть электронный документ — достаточно окошка, куда пользователь введет свои данные, которые нужны вам для обработки. А также отметки о том, что он ознакомился с документами по защите и обработке персональных данных.
Если собираете персональные данные в электронной форме, приложите к форме политику конфиденциальности или пользовательское соглашение. В этих документах укажите цель сбора персональных данных. Еще опишите, что будет происходить с ними, кто будет хранить, обрабатывать и как долго. Там же укажите, как субъекту отозвать разрешение на обработку
Под формой рекомендуем добавить чек-бокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности» или «Регистрируясь, вы принимаете пользовательское соглашение».
ВНИМАНИЕ
Согласие на сбор персональных данных нужно не всегда
Без согласия владельца можно собирать обезличенные данные для статистики. Также собирать данные без согласия могут представители СМИ и работодатели. Полный список исключений смотрите в части 2 статьи 22 Закона № 152-ФЗ.
__________________________________________________________________________
Как хранить персональные данные
Закон № 152-ФЗ предъявляет много требований к порядку хранения персональных данных.
- Персональные данные нужно хранить столько, сколько достаточно для обработки.
- Персональные данные нужно хранить так, чтобы можно было определить субъекта.
- Если персональных данных не хватает для обработки или они неточные, то оператор обязан их уточнить или удалить.
- Если есть базы данных с разными персональными данными, которые собирали для разных целей обработки, их нельзя объединять.
- После обработки персональных данных их нужно уничтожить или обезличить.
- Если передаете персональные данные субъекта в другую страну, удостоверьтесь, что там есть подходящая система защиты, а субъект дал на это отдельное согласие.
Чтобы определить места хранения персональных данных, составьте приказ об утверждении таких мест. Приказ составьте в свободной форме и ознакомьте сотрудников, которых назначите ответственными за хранение, с ним под подпись.
На практике компании часто дублируют данную информацию и хранят данные одновременно на бумаге и в электронной форме. Бумажные носители персональных данных хранятся в сейфе, за ключ от которого отвечает руководитель организации, главный бухгалтер компании, начальник отдела кадров или другое ответственное лицо.
Хранение персональных данных на бумажном носителе
Бумажные документы с персональными данными храните в сейфах или металлических несгораемых шкафах с замками. Такое требование установлено, например, для хранения трудовых книжек. Другой вариант — хранить документы в специально оборудованных помещениях.
Определите режим доступа в помещения, где хранят персональные данные. Также установите перечень лиц, которые имеют право доступа в такие помещения. Это сотрудники, которые обрабатывают персональные данные. Например, кадровики и бухгалтеры (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687).
Таблица 1. Плюсы и минусы хранения персональных данных на бумаге
| Плюсы | Минусы |
|---|---|
| Плюсы | Минусы |
|
Облегчение учета личных данных — все они хранятся в одном месте |
Увеличение объема работы — регулярная прошивка, нумерация, внесение данных в опись, сверка представленных копий данных с оригиналами, архивирование дел |
|
Отсутствие необходимости оплачивать серверы для хранения персональных данных |
Необходимость в дополнительных ресурсах для хранения бумажных данных — приобретение сейфов, выделение специальных помещений для хранения дел |
| — |
Большой риск распространения конфиденциальных данных |
Хранение персональных данных в электронной форме
В электронном виде документы храните так, чтобы посторонние лица не могли получить к ним доступ. Чтобы выполнить это требование, проконсультируйтесь с ИТ-специалистами. Они подскажут, как правильно хранить документы в электронном виде с учетом специфики вашей компании. Требования к защите персональных данных при их обработке в информационных системах устанавливает постановление Правительства от 01.11.2012 № 1119.
Советую периодически создавать резервную копию электронной базы и хранить ее на флешке или внешнем жестком диске.
Таблица 2. Плюсы и минусы хранения персональных данных электронно
| Плюсы | Минусы |
|---|---|
|
Снижение расходов на приобретение дополнительных ресурсов для хранения данных |
Высокая стоимость оборудования и программ, обеспечивающих безопасность персональных данных, которые хранятся на электронном носителе |
|
Высокая скорость поиска, обработки и использования данных |
Необходимость создавать резервные копии баз данных |
|
Защищенность конфиденциальных данных от несанкционированного доступа |
— |
|
Автоматическая архивация данных |
— |
По общему правилу оператор должен обрабатывать персональные данные на территории России, то есть локализовать их в России (п. 5 ст. 18 Закона № 152-ФЗ, подп. 7 п. 4 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», далее — Закон № 149-ФЗ).
Закон предусматривает исключения. Например, организация может обрабатывать персональные данные за границей, если это предусматривает закон или международный договор. Но пока ни в законе, ни в международных соглашениях таких возможностей нет. Поэтому используйте только российские серверы. Все исключения перечисляет часть 5 статьи 18 Закона № 152-ФЗ.
Так, обязанность локализовать персональные данные не возникает, если есть одно из условий.
Оператор не собирал персональные данные самостоятельно. Под сбором понимают целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц. Нет сбора — нет обязанности локализации. Так, требование о локализации не распространяется на персональные данные, которые оператор получил не в результате сбора, например, на данные, полученные от другого оператора.
Оператор использует обезличенные данные. Персональные данные — это информация, которая прямо или косвенно относится к определенному гражданину. Если данные обезличены, оператор не сможет понять, кому они принадлежат.
Компания, у которой есть доступ к персональным данным, — не оператор. Требование о локализации не распространяется на лиц, которые не являются операторами. Например, на провайдеров «облачных» сервисов, организации, которые рассчитывают зарплату, и т. д.
Оператор не собирает персональные данные, а использует их по-другому. Требование о локализации не распространяется на такие операции с персональными данными, как использование, передача, обезличивание, блокирование, удаление, уничтожение персональных данных.
Требование о локализации применяется к иностранным компаниям, у которых нет офиса в России, но при этом их деятельность направлена на территорию России. Например, если у зарубежной компании есть сайт, которым пользуются многие граждане России. О наличии направленности сайта на территорию России может свидетельствовать:
- использование доменного имени, которое связано с Россией: .ru, .рф., .москва. и т. д.;
- наличие русскоязычной версии сайта;
- возможность осуществлять расчеты на сайте в рублях;
- использование на сайте рекламы на русском языке.
За нарушение правил локализации персональных данных оператора внесут в реестр нарушителей и оштрафуют по части 8 или 9 статьи 13.11 КоАП. Максимальный штраф для компании за первое нарушение — 6 млн руб., за повторное — 18 млн руб.
Но если у проверяющих нет подтверждения, что оператор нарушает правила локализации, они не вправе штрафовать по статье 13.11 КоАП. В этом случае оператору могут выписать штраф за отказ предоставить Роскомнадзору информацию. Максимальная сумма штрафа — 5 тыс. руб. (ст. 19.7 КоАП).
ПРИМЕР
Судебные споры с участием иностранных компаний, которые не локализовали персональные данные в России
Дело социальной сети LinkedIn. Суд обязал Роскомнадзор внести доменные имена, адреса страниц сайта и IP-адреса социальной сети LinkedIn в реестр нарушителей прав субъектов персональных данных. После внесения сведений о сайте в указанный реестр операторы связи до сих пор ограничивают доступ к этому ресурсу по статье 15.5 Закона от 27.07.2006 № 149-ФЗ (определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016).
Дела Twitter и Facebook*. Суд оштрафовал Twitter и Facebook* по жалобе Роскомнадзора на 3000 руб. Компании отказались предоставить Роскомнадзору информацию, подтверждающую выполнение требования о локализации по статье 19.7 КоАП (постановление Верховного суда от 27.12.2019 по делу № 5-АД19/239).
Считается, что персональные данные хранят за границей, если вы используете зарубежные серверы. Поэтому если у вас свой сайт, перенесите его на российский хостинг. Если Роскомнадзор обнаружит, что сервер с вашим сайтом расположен за рубежом, сайт заблокируют, а вам могут выписать штраф.
Под расположением хостинга подразумевается физическое местонахождение центра обработки данных, на котором размещен сайт. То есть если хостинг-провайдер зарегистрирован в России, а его центры обработки расположены, например, в Латвии, вы нарушаете закон и попадаете под блокировку сайта.
ВНИМАНИЕ
Если компания хранит персональные данные россиян за рубежом, ее оштрафуют на сумму до 6 млн руб.
За нарушение правил локализации персональных данных должностным лицам грозит штраф от 100 тыс. до 200 тыс. руб. Компании заплатят от 1 млн до 6 млн руб. Также накажут, если используете базы данных, которые находятся за границей, чтобы записывать, систематизировать, накапливать, уточнять или извлекать персональные данные россиян (ч. 8 ст. 13.11 КоАП).
Штрафы за повторное нарушение достигают 18 млн руб. (ч. 9 ст. 13.11 КоАП).
___________________________________________________________________________
По общему правилу хранить персональные данные можно не дольше, чем это нужно для цели их обработки. Когда оператор достигает цели обработки, он должен уничтожить или обезличить персональные данные (п. 7 ст. 5 Закона № 152-ФЗ).
При этом некоторые персональные данные нужно хранить определенный период времени, который определяет закон.
ПРИМЕР
Срок хранения документов по личному составу
По общему правилу данные уволенных сотрудников нужно обрабатывать в течение трех лет после даты увольнения.
Важно не путать хранение персональных данных и хранение архивных документов. Документ с персональными данными становится архивным только после того, как оператор принял решение об отнесении документов к архивным. После этого Закон № 152-ФЗ не распространяется на такие документы и персональные данные, которые в них содержатся (п. 2 ч. 2 ст. 1 Закона № 152-ФЗ).
Так, срок хранения в архиве документов по личному составу (личные карточки сотрудников и их личные дела) зависит от того, когда их создали. Если их создали до 2003 года, хранить документы нужно не менее 75 лет. Если после 1 января 2003 года, то не менее 50 лет (ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ).
___________________________________________________________________________
ПРИМЕР
Срок хранения согласия на обработку персональных данных
Согласие на обработку данных хранят в течение срока его действия, а после архивирования — еще три года (ст. 441 перечня, утв. приказом Росархива от 20.12.2019 № 236).
Если вы достигнете цели обработки раньше, то согласие надо уничтожить.
___________________________________________________________________________
Как защитить персональные данные
|
Для защиты персональных данных сотрудников организация должна обеспечить безопасное хранение этих данных. Для этого нужно утвердить локальный акт о работе с персональными данными, назначить ответственное за работу с персональными данными лицо, назначить сотрудников, у которых будет доступ к персональным данным, и взять с них обязательства о неразглашении. |
Выделяют угрозы 1-го, 2-го и 3-го типа — из-за них третьи лица могут получить несанкционированный доступ к персональным данным. Как определить тип угрозы, смотрите в пунктах 6, 7 Требований к защите персональных данных, которые утвердило Правительство постановлением Правительства от 01.11.2012 № 1119, далее — Требования № 1119.
Тип угрозы зависит от программного обеспечения, которое используете для обработки и хранения персональных данных. Закон не регламентирует, как оператору установить тип угрозы. Поэтому рекомендуем привлечь для этого специалистов в области информационной безопасности.
Когда определили тип угрозы, установите один из четырех уровней защиты. Подробнее о том, какой уровень выбрать, читайте в пунктах 8–16 Требований № 1119. Например, средней компании или владельцу небольшого сайта достаточно обеспечить минимальный — четвертый уровень защиты персональных данных.
ПРИМЕР
Какие меры должен принять владелец сайта, чтобы обеспечить минимальный — четвертый уровень защиты персональных данных
1. Защитить помещение от неконтролируемого проникновения или пребывания лиц, которые не имеют права доступа. Например, установить специальные пропуска для кабинетов с компьютерами, на которых содержит персональные данные.
2. Обеспечить сохранность носителей персональных данных.
3. Утвердить перечень лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей.
4. Использовать средства защиты информации, которые прошли процедуру оценки соответствия. Например, установить антивирус.
Такие меры устанавливает пункт 13 Требований № 1119.
___________________________________________________________________________
Операторы разрабатывают документ, где описывают существующие угрозы, анализируют, насколько они реалистичны, и прогнозируют последствия. Этот документ называется моделью угроз информационной безопасности персональных данных, далее — модель угроз.
Разработка такого документа — не желание операторов, а их обязанность по закону (п. 2 ст. 19 Закона № 152-ФЗ, приказы ФСТЭК от 11.02.2013 № 17, от 18.02.2013 № 21, от 14.03.2014 № 31 и от 25.12.2017 № 239).
На основе модели угроз формируют требования к защите персональных данных. А на базе этих требований создают систему защиты персональных данных. В модели угроз операторы обосновывают, почему лучше использовать определенные меры защиты.
Закон не закрепляет специальную форму модели угроз — операторы могут разработать ее самостоятельно. При этом в законе есть требования к такой модели. Так, в модели угроз безопасности персональных данных нужно указать:
- на основании каких нормативно-методических документов ее разработали;
- какую информацию она содержит;
- при решении каких задач ее можно использовать;
- как часто ее нужно актуализировать и пересматривать;
- для кого она предназначена.
Кроме этого, включите в модель угроз:
- описание информационной системы персональных данных, включая описание информационно-технологической инфраструктуры;
- структурно-функциональные характеристики;
- описание угроз безопасности;
- возможные уязвимости;
- способы реализации угроз;
- последствия нарушения безопасности информации.
Такие требования к модели угроз установила Федеральная служба по техническому и экспортному контролю (далее — ФСТЭК). Рекомендую операторам за основу для подготовки собственного документа брать модель угроз, которую разработала ФСТЭК. Этот документ называется «Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных».
Как передавать персональные данные
Передавать персональные данные можно только с согласия их владельца. Для этого оператор должен получить согласие на распространение персональных данных. Это новый вид согласия, который появился в законе с 1 марта 2021 года.
Чтобы получить согласие на передачу персональных данных, направьте специальный запрос. В нем укажите, для каких целей запрашиваете разрешение, кому будете передавать данные, как можно будет отозвать согласие.
Если компания не хочет обрабатывать персональные данные самостоятельно, это можно поручить сторонней организации. Тогда вы будете передавать данные сотрудников или клиентов компании этой организации для обработки. Для этого нужно заключить договор на обработку персональных данных.
В договоре укажите:
- перечень персональных данных, которые будете передавать для обработки;
- срок передачи;
- цель обработки;
- обязанности сторон;
- способы хранения и защиты персональных данных от третьих лиц;
- срок действия договора.
Включите в договор положения о конфиденциальности и предусмотрите штрафы за разглашение персональных данных. Это позволит вам уберечь персональные данные ваших клиентов или сотрудников от незаконного использования.
ВНИМАНИЕ
Если организация незаконно распространит персональные данные ваших сотрудников или клиентов, отвечать перед ними будете вы.
Свои убытки вы сможете позже взыскать с контрагента по договору поручения на обработку персональных данных (п. 5 ст. 6 Закона № 152-ФЗ).
__________________________________________________________________________
Закон не определяет точного срока, в течение которого нужно хранить договор поручения на обработку персональных данных. Храните его до тех пор, пока обрабатываете данные граждан. В любой момент они могут запросить информацию о компании, которая обрабатывает данные, способах обработки или отозвать свое согласие.
Учтите, чтобы передавать данные, одного договора будет недостаточно. Вы вправе передавать данные только тех граждан, которые дали на это согласие. Передавать третьим лицам данные граждан без их согласия нельзя. За это могут оштрафовать на 150 тыс. руб. (ч. 2 ст. 13.11 КоАП).
Однако в некоторых случаях на передачу персональных данных не нужно согласия. Например, когда обязанность передачи сведений установили законом (ст. 6 Закона № 152-ФЗ).
Так, не нужно получать согласие владельца персональных данных на передачу данных по запросу:
- в прокуратуру;
- правоохранительные органы;
- государственные инспекции труда;
- налоговые инспекции;
- иные органы, которые уполномочены запрашивать информацию в соответствии с законом.
Закон не определяет срок, в течение которого нужно ответить на запрос по требованию госорганов, кроме Роскомнадзора. Если получили запрос от Роскомнадзора, у вас есть 30 дней на ответ (п. 4 ст. 20 Закона № 152-ФЗ).
В остальных случаях ориентируйтесь на срок, который указан в запросе. Если в запросе нет информации о сроке предоставления сведений, используйте 30-дневный срок по аналогии закона.
Прежде чем отвечать на запрос, проверьте, есть ли в нем необходимые сведения. Мотивированный запрос должен содержать указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, который направил запрос, а также перечень информации, которую он запрашивает. Если этих сведений нет, вы вправе не предоставлять данные. При этом лучше ответить на запрос — это убережет от лишнего внимания со стороны госорганов. В ответе укажите, почему вы не можете передать персональные данные.
Закон запрещает совершать любые сделки с персональными данными. Нельзя продавать, дарить или обменивать данные одних пользователей на другие. Даже если гражданин дал согласие на передачу своих данных, это не значит, что вы можете распоряжаться ими по своему усмотрению. Передавать данные можно только третьим лицам, которых указали в согласии на распространение. Причем цель передачи должна совпадать с той, которую указали в согласии. Если в согласии не указали цель и третьих лиц, кому будете передавать данные, такое согласие будет недействительным. Оператора могут оштрафовать на 150 тыс. руб. по части 2 статьи 13.11 КоАП.
За нарушение правил передачи персональных данных могут привлечь не только к административной, но и к уголовной ответственности.
Уголовная ответственность грозит за сделки с персональными данными граждан. Например, за продажу клиентской базы, где указаны Ф. И. О., номера телефонов или адреса проживания. К уголовной ответственности могут привлечь сотрудника организации, который передал данные клиента, или руководителя, который знал о сделке с персональными данными, но не помешал ей. Максимальное наказание за такие нарушения — лишение свободы до четырех лет (ч. 2 ст. 137 УК).
Как уничтожать персональные данные
Вы обязаны уничтожить данные в четырех случаях.
1. Субъект персональных данных потребовал уничтожить их (п. 1 ст. 14, п. 3 ст. 20 Закона № 152-ФЗ).
В этом случае уничтожить данные нужно в течение семи рабочих дней с даты, когда от субъекта персональных данных или его представителя поступила информация об одном из двух фактов.
Первый: вы получили персональные данные незаконно. Например, гражданин сообщил, что не передавал свои данные, и вы не можете пояснить, откуда у вас телефон для рассылки спама.
Второй: персональные данные не относятся к необходимым для заявленной цели обработки. Например, гражданин заключил договор на техническое обслуживание автомобиля, а оператор собрал и обрабатывает данные о его дате рождения и месте проживания. Такие данные очевидно не нужны для оказания услуги потребителю.
2. Вы самостоятельно обнаружили, что неправомерно обрабатывали персональные данные (п. 3 ст. 21 Закона № 152-ФЗ).
В этом случае уничтожьте данные в течение 10 рабочих дней с даты, когда выявили неправомерную обработку.
3. Вы достигли цели обработки персональных данных (п. 4 ст. 21 Закона № 152-ФЗ).
Уничтожьте данные в течение 30 дней с даты достижения цели обработки.
4. Субъект персональных данных отозвал согласие на обработку персональных данных (п. 5 ст. 21 Закона № 152-ФЗ).
Уничтожьте данные в течение 30 дней с даты поступления отзыва, если для целей обработки персональных данных больше не нужно их сохранять.
Для двух последних случаев есть исключение. Вы вправе не уничтожать данные при одном из двух условий. Первое: если договорились об этом с субъектом персональных данных. В качестве документа, разрешающего не уничтожать данные, может выступать как отдельное соглашение, так и договор, когда гражданин — сторона, выгодоприобретатель или поручитель.
Второе: если вы по закону вправе осуществлять обработку персональных данных без согласия субъекта.
В законе нет правил уничтожения персональных данных. Поэтому такой порядок вы вправе разработать самостоятельно и закрепить в локальном акте, например, положении о порядке уничтожения персональных данных.