Центр по защите персональных данных руководство

Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.

1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:
  • Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
  • Инструкция администратора безопасности
  • Инструкция ответственного за организацию обработки персональных данных
  • Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
  • Инструкция по реагированию на инциденты информационной безопасности
  • Инструкция пользователя государственной информационной системы
  • Приказ об утверждении внутренних нормативных актов по защите информации
  • Политика информационной безопасности в составе:
  • — Общие положения
  • — Технологические процессы обработки защищаемой информации в информационных системах
  • — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
  • — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
  • — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
  • — Правила и процедуры выявления, анализа и устранения уязвимостей
  • — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
  • — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
  • — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
  • — Форма задания на внесение изменений в списки пользователей информационной системы
  • — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
  • — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
  • — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
  • — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
  • — Форма списка разрешенного программного обеспечения в информационной системе
  • — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
  • — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
  • — Порядок резервирования информационных ресурсов
  • — План обеспечения непрерывности функционирования информационной системы
  • Приказ об организации контролируемой зоны
  • Положение о контролируемой зоне
  • План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
  • Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
  • Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
  • Форма журнала учета приема/выдачи съемных машинных носителей информации
  • Форма журнала учета средств защиты информации
  • Форма журнала учета периодического тестирования средств защиты информации
  • Форма журнала проведения инструктажей по информационной безопасности
  • Форма журнала учета мероприятий по контролю обеспечения защиты информации
2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:
  • Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
  • Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
  • Приказ о классификации государственной информационной системы
  • Форма акта классификации государственной информационной системы
  • Приказ о вводе в эксплуатация государственной информационной системы
3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:
  • Положение о защите и обработке персональных данных в составе:
  • — Общие положения
  • — Основные понятия и состав персональных данных
  • — Общие принципы обработки персональных данных
  • — Порядок сбора и хранения персональных данных
  • — Процедура получения персональных данных
  • — Передача персональных данных третьим лицам
  • — Трансграничная передача персональных данных
  • — Порядок уничтожения и блокирования персональных данных
  • — Защита персональных данных
  • — Согласие на обработку персональных данных
  • — Организация доступа работников к персональным данным субъектов
  • — Организация доступа субъекту персональных данных к его персональным данным
  • — Права и обязанности оператора персональных данных
  • — Права и обязанности работников, допущенных к обработке персональных данных
  • — Права субъекта персональных данных
  • — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  • Правила рассмотрения запросов субъектов персональных данных или их представителей
  • Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
  • Форма перечня лиц, допущенных к обработке персональных данных
  • Политика в отношении обработки персональных данных
  • Приказ об определении уровня защищенности персональных данных
  • Форма акта определения уровня защищенности персональных данных
  • Правила обработки персональных данных без использования средств автоматизации
  • Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
  • Форма акта уничтожения персональных данных
  • Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
  • Форма согласия субъекта на обработку его персональных данных
  • Положение о системе видеонаблюдения
  • Форма соглашения о неразглашении персональных данных
  • Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав
4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств
  • Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
  • Форма перечень сотрудников, допущенных к работе с СКЗИ
  • Инструкция по обеспечению безопасности эксплуатации СКЗИ
  • Форма акта об уничтожении криптографических ключей и ключевых документов
  • Схема организации криптографической защиты информации
5. Модель угроз безопасности информации

2.1. Обязательное назначение

2.1. Mandatory designation

Статья 37(1) GDPR требует назначать DPO в трех конкретных случаях [5]:

Article 37(1) of the GDPR requires the designation of a DPO in three specific cases [5]:

[5] Обратите внимание, что, согласно статье 37(4), законодательство Союза или государств-членов может требовать назначения DPO также и в других случаях.

[5] Note that under Article 37(4), Union or Member State law may require the designation of DPOs in other situations as well.

a) когда обработка персональных данных осуществляется государственным органом [6];

a) where the processing is carried out by a public authority or body [6];

[6] Исключением являются судебные органы при осуществлении правосудия. См. статью 32 Директивы (ЕС) 2016/680.

[6] Except for courts acting in their judicial capacity. See Article 32 of Directive (EU) 2016/680.

b) когда основная деятельность контролера или процессора включает в себя операции по обработке, которые требуют регулярного и систематического мониторинга субъектов данных в крупных масштабах; или

b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or

c) когда основная деятельность контролера или процессора включает в себя обработку в крупных масштабах специальных категорий персональных данных [7] или [8] персональных данных, касающихся судимостей и правонарушений [9].

c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data [7] or [8] personal data relating to criminal convictions and offences [9].

[7] В соответствии со статьей 9, к таким случаям относится обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

[7] Pursuant to Article 9 these include personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation.

[8] Статья 37(1)(с) использует союз ,em>«и». См. Раздел 2.1.5 ниже с разъяснением о применении союза «или» вместо «и».

[8] Article 37(1)(c) uses the word ‘and’. See Section 2.1.5 below for explanation on the use of ‘or’ instead of ‘and’.

[9] Статья 10.

[9] Article 10.

В нижеследующих подразделах WP29 приводит разъяснение критериев и терминологии, используемых в статье 37(1).

In the following subsections, the WP29 provides guidance with regard to the criteria and terminology used in Article 37(1).

За исключением случаев, когда отсутствие необходимости в назначении DPO является очевидным, WP29 рекомендует контролерам и процессорам документировать внутренний анализ, который проводится с целью определить необходимость назначения DPO, чтобы иметь возможность продемонстрировать надлежащий учет соответствующих факторов [10]. Этот анализ является частью процесса документирования в соответствии с принципом подотчетности. Результаты анализа могут быть истребованы надзорным органом и должны обновляться по мере необходимости, например, если контролеры или процессоры начали оказывать новые услуги, которые могут подпадать под случаи, перечисленные в статье 37(1).

Unless it is obvious that an organisation is not required to designate a DPO, the WP29 recommends that controllers and processors document the internal analysis carried out to determine whether or not a DPO is to be appointed, in order to be able to demonstrate that the relevant factors have been taken into account properly [10]. This analysis is part of the documentation under the accountability principle. It may be required by the supervisory authority and should be updated when necessary, for example if the controllers or the processors undertake new activities or provide new services that might fall within the cases listed in Article 37(1).

[10] См. статью 24(1).

[10] See Article 24(1).

Если организация назначает DPO на добровольной основе, то требования, предусмотренные статьями 37-39, будут применяться к его назначению, положению в организации и задачам так, как если бы его назначение было обязательным.

When an organisation designates a DPO on a voluntary basis, the requirements under Articles 37 to 39 will apply to his or her designation, position and tasks as if the designation had been mandatory.

Ничто не мешает организации, которой необязательно назначать DPO и которая не желает назначать его добровольно, нанимать сотрудников или внешних консультантов для поручения задач, связанных с защитой персональных данных. В таком случае важно обеспечить отсутствие путаницы в их должностях, статусе, роли и задачах. То есть должно быть четко обозначено, что при взаимодействии с сотрудниками компании, надзорными органами, субъектами данных и общественностью в целом данный сотрудник или консультант не является DPO [11].

Nothing prevents an organisation, which is not legally required to designate a DPO and does not wish to designate a DPO on a voluntary basis to nevertheless employ staff or outside consultants with tasks relating to the protection of personal data. In this case it is important to ensure that there is no confusion regarding their title, status, position and tasks. Therefore, it should be made clear, in any communications within the company, as well as with data protection authorities, data subjects, and the public at large, that the title of this individual or consultant is not a data protection officer (DPO) [11].

[11] Указанное верно и для ведущих инспекторов по вопросам приватности («CPOs») и других профессионалов в области приватности, которые в настоящий момент работают в некоторых компаниях и не соответствуют требованиям GDPR. Например, у них могут отсутствовать необходимое количество ресурсов и гарантии независимости при выполнении своих задач. В таких ситуациях их нельзя считать DPO.

[11] This is also relevant for chief privacy officers (‘CPO’s) or other privacy professionals already in place today in some companies, who may not always meet the GDPR criteria, for instance, in terms of available resources or guarantees for independence, and, if they do not, they cannot be considered and referred to as DPOs.

DPO, независимо от того, назначен ли он в обязательном или добровольном порядке, имеет дело со всеми операциями по обработке, осуществляемыми контролером или процессором.

The DPO, whether mandatory or voluntary, is designated for all the processing operations carried out by the controller or the processor.

2.1.1 «ГОСУДАРСТВЕННЫЙ ОРГАН»

2.1.1 ‘PUBLIC AUTHORITY OR BODY’

GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.

The GDPR does not define what constitutes a ‘public authority or body’. The WP29 considers that such a notion is to be determined under national law. Accordingly, public authorities and bodies include national, regional and local authorities, but the concept, under the applicable national laws, typically also includes a range of other bodies governed by public law [12]. In such cases, the designation of a DPO is mandatory.

[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).

[12] See, e.g. the definition of ‘public sector body’ and ‘body governed by public law’ in Article 2(1) and (2) of Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public-sector information (OJ L 345, 31.12.2003, p. 90).

Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.

A public task may be carried out, and public authority may be exercised [13] not only by public authorities or bodies but also by other natural or legal persons governed by public or private law, in sectors such as, according to national regulation of each Member State, public transport services, water and energy supply, road infrastructure, public service broadcasting, public housing or disciplinary bodies for regulated professions.

[13] Статья 6(1)(е).

[13] Article 6(1)(e).

В таких случаях персональные данные субъектов данных могут обрабатываться государственными органами для целей этих секторов. При этом субъекты данных часто не имеют возможности выбирать, будут ли обрабатываться их персональные данные, и если да, то какие. В связи с этим им может потребоваться дополнительная защита, которую может обеспечить назначение DPO.

In these cases, data subjects may be in a very similar situation to when their data are processed by a public authority or body. In particular, data can be processed for similar purposes and individuals often have similarly little or no choice over whether and how their data will be processed and may thus require the additional protection that the designation of a DPO can bring.

Даже в случаях, когда назначение DPO не является обязательным, WP29 рекомендует в качестве хорошей практики назначать его частным организациям, осуществляющим публичные функции. Деятельность DPO охватывает все осуществляемые операции по обработке персональных данных, в том числе и те, которые не относятся к выполнению публичных задач или общественного долга (например, управление базой данных сотрудников).

Even though there is no obligation in such cases, the WP29 recommends, as a good practice, that private organisations carrying out public tasks or exercising public authority designate a DPO. Such a DPO’s activity covers all processing operations carried out, including those that are not related to the performance of a public task or exercise of official duty (e.g. the management of an employee database).

2.1.2 «ОСНОВНАЯ ДЕЯТЕЛЬНОСТЬ»

2.1.2 ‘CORE ACTIVITIES’

Пункты (b) и (с) статьи 37 (1) GDPR упоминают «основную деятельность контролера или процессора». Преамбула 97 к данной статье уточняет, что основная деятельность контролера относится к его «основному виду деятельности и не относится к обработке персональных данных как вспомогательному виду деятельности». «Основную деятельность» можно представить как совокупность ключевых операций, необходимых для достижения целей контролера или процессора.

Article 37(1)(b) and (c) of the GDPR refers to the ‘core activities of the controller or processor’. Recital 97 specifies that the core activities of a controller relate to ‘primary activities and do not relate to the processing of personal data as ancillary activities’. ‘Core activities’ can be considered as the key operations necessary to achieve the controller’s or processor’s goals.

Однако «основную деятельность» не следует толковать как деятельность, исключающую неразрывную связь обработки персональных данных с деятельностью контролера или процессора. Например, основной деятельностью больницы является охрана здоровья. Однако в больнице не смогли бы безопасно и эффективно лечить пациентов без обработки данных о здоровье (например, истории болезни пациента). Следовательно, обработку таких данных следует включать в основную деятельность больниц, ввиду чего им необходимо назначать DPO.

However, ‘core activities’ should not be interpreted as excluding activities where the processing of data forms an inextricable part of the controller’s or processor’s activity. For example, the core activity of a hospital is to provide health care. However, a hospital could not provide healthcare safely and effectively without processing health data, such as patients’ health records. Therefore, processing these data should be considered to be one of any hospital’s core activities and hospitals must therefore designate DPOs.

Приведем другой пример. Частное охранное предприятие осуществляет наблюдение на территории ряда частных магазинов и общественных мест. Такое наблюдение является основной деятельностью предприятия и при этом неразрывно связано с обработкой персональных данных. Следовательно, такому предприятию также необходимо назначить DPO.

As another example, a private security company carries out the surveillance of a number of private shopping centres and public spaces. Surveillance is the core activity of the company, which in turn is inextricably linked to the processing of personal data. Therefore, this company must also designate a DPO.

С другой стороны, все организации осуществляют такую деятельность, как выплата заработной платы сотрудникам и поддержка IT-систем. Подобная деятельность выполняет функцию необходимой поддержки основной деятельности организации. И хотя она и является необходимой и существенной, однако обычно относится к вспомогательной функции, а не основной деятельности.

On the other hand, all organisations carry out certain activities, for example, paying their employees or having standard IT support activities. These are examples of necessary support functions for the organisation’s core activity or main business. Even though these activities are necessary or essential, they are usually considered ancillary functions rather than the core activity.

2.1.3 «КРУПНЫЙ МАСШТАБ»

2.1.3 ‘LARGE SCALE’

Пункты (b) и (с) статьи 37 (1) GDPR предписывают, что DPO необходимо назначать в случае, когда обработка персональных данных осуществляется в крупных масштабах. GDPR не разъясняет, когда обработка персональных данных признается крупномасштабной, хотя некоторое руководство на этот счет содержится в Преамбуле 91 [14].

Article 37(1)(b) and (c) requires that the processing of personal data be carried out on a large scale in order for the designation of a DPO to be triggered. The GDPR does not define what constitutes large-scale processing, though recital 91 provides some guidance [14].

[14] Согласно Преамбуле, такая обработка, в частности, имеет место в случае, когда есть «крупномасштабные операции, нацеленные на обработку значительного объема персональных данных на региональном, национальном или супранациональном уровне, которые могут оказать влияние на большое количество субъектов данных и способны привести к возникновению больших рисков». С другой стороны, Преамбула подчеркивает, что «обработку персональных данных не следует признавать крупномасштабной, если она касается персональных данных пациентов и клиентов, обрабатываемых индивидуальным врачом, иным профессионалом в области медицины или юристом». Важно отметить, что, хотя Преамбула и приводит примеры границ масштабов обработки (от обработки, осуществляемой индивидуальным врачом, до обработки данных со всей страны или по всей Европе), существует большая серая зона между этими границами. Более того, следует помнить, что данная преамбула касается оценки воздействия на защиту персональных данных. Это означает, что некоторые элементы могут зависеть от контекста и необязательно применимы тем же образом к назначению DPO.

[14] According to the recital, ‘large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk’ would be included, in particular. On the other hand, the recital specifically provides that ‘the processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer’. It is important to consider that while the recital provides examples at the extremes of the scale (processing by an individual physician versus processing of data of a whole country or across Europe); there is a large grey zone in between these extremes. In addition, it should be borne in mind that this recital refers to data protection impact assessments. This implies that some elements might be specific to that context and do not necessarily apply to the designation of DPOs in the exact same way.

Действительно, установить точный и применимый к любой ситуации показатель в отношении количества обрабатываемых данных или количества субъектов данных не представляется возможным. Однако это не исключает возможности того, что со временем будет выработана стандартная практика определения качественных и (или) количественных показателей «крупного масштаба» в отношении некоторых типичных обработок. WP29 также планирует внести вклад в развитие такой практики посредством опубликования примеров возможных минимальных порогов, влекущих необходимость назначить DPO.

Indeed, it is not possible to give a precise number either with regard to the amount of data processed or the number of individuals concerned, which would be applicable in all situations. This does not exclude the possibility, however, that over time, a standard practice may develop for identifying in more specific and/or quantitative terms what constitutes ‘large scale’ in respect of certain types of common processing activities. The WP29 also plans to contribute to this development, by way of sharing and publicising examples of the relevant thresholds for the designation of a DPO.

WP29 рекомендует учитывать следующие факторы для определения того, является ли обработка крупномасштабной:

In any event, the WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:

• количество субъектов данных — точное количество либо доля численности населения соответствующего региона

• the number of data subjects concerned — either as a specific number or as a proportion of the relevant population

• объем обрабатываемых данных или их элементов

• the volume of data and/or the range of different data items being processed

• продолжительность или постоянство обработки персональных данных

• the duration, or permanence, of the data processing activity

• географический охват обработки.

• the geographical extent of the processing activity.

Примерами крупномасштабной обработки являются, в частности:

Examples of large-scale processing include:

• регулярная обработка данных пациента больницей

• processing of patient data in the regular course of business by a hospital

• обработка данных о путешествиях физических лиц посредством использования городской системы общественного транспорта (например, при помощи проездных билетов)

• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)

• обработка в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания, осуществляемая для статистических целей процессором, специализирующимся на оказании таких услуг

• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in providing these services

• обработка данных клиентов в рамках обычной деятельности страховой компании или банка

• processing of customer data in the regular course of business by an insurance company or a bank

• обработка данных для целей поведенческой рекламы с помощью поисковой системы

• processing of personal data for behavioural advertising by a search engine

• обработка данных (контент, трафик, местонахождение) поставщиком услуг телефонной связи и Интернет-услуг.

• processing of data (content, traffic, location) by telephone or internet service providers.

Крупномасштабная обработка данных отсутствует, в частности, в следующих случаях:

Examples that do not constitute large-scale processing include:

• обработка персональных данных, осуществляемая индивидуальным врачом

• processing of patient data by an individual physician

• обработка персональных данных, касающихся судимостей и правонарушений, осуществляемая индивидуальным адвокатом.

• processing of personal data relating to criminal convictions and offences by an individual lawyer.

2.1.4 «РЕГУЛЯРНЫЙ И СИСТЕМАТИЧЕСКИЙ МОНИТОРИНГ»

2.1.4 ‘REGULAR AND SYSTEMATIC MONITORING’

Понятие регулярного и систематического мониторинга субъектов данных не дано в GDPR, однако понятие «мониторинг поведения субъектов данных» упоминается в Преамбуле 24 [15] и четко включает в себя все формы отслеживания и профилирования в Интернете, в том числе для целей поведенческой рекламы.

The notion of regular and systematic monitoring of data subjects is not defined in the GDPR, but the concept of ‘monitoring of the behaviour of data subjects’ is mentioned in recital 24 [15] and clearly includes all forms of tracking and profiling on the internet, including for the purposes of behavioural advertising.

[15] «Для того чтобы определить, является ли деятельность по обработке мониторингом поведения субъектов данных, необходимо проверить, отслеживаются ли физические лица в Интернете, в том числе посредством потенциального последующего использования методов обработки персональных данных, нацеленных на профилирование физического лица, в частности, для принятия решений, касающихся этого лица, или для предсказания его личных предпочтений и поведения».

[15] ‘In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes’.

Однако понятие мониторинга не ограничивается онлайн-средой, и онлайн-трекинг следует рассматривать только в качестве примера мониторинга поведения субъектов данных [16].

However, the notion of monitoring is not restricted to the online environment and online tracking should only be considered as one example of monitoring the behaviour of data subjects [16].

[16] Следует отметить, что Преамбула 24 посвящена экстерриториальному применению GDPR. Кроме того, существует разница между формулировками «мониторинг поведения» (статья 3(2)(b)) и «регулярный и систематический мониторинг субъектов данных» (статья 37(1)(b)), которые, следовательно, могут рассматриваться как разные понятия.

[16] Note that Recital 24 focuses on the extra-territorial application of the GDPR. In addition, there is also a difference between the wording ‘monitoring of their behaviour’ (Article 3(2)(b)) and ‘regular and systematic monitoring of data subjects’ (Article 37(1)(b)) which could therefore be seen as constituting a different notion.

WP29 толкует слово «регулярный» в следующих значениях:

WP29 interprets ‘regular’ as meaning one or more of the following:

• происходящий с определенными интервалами в определенный период

• ongoing or occurring at particular intervals for a particular period

• повторяющийся в определенное время

• recurring or repeated at fixed times

• постоянно или периодически происходящий.

• constantly or periodically taking place.

WP29 трактует «систематический» в следующих значениях:

WP29 interprets ‘systematic’ as meaning one or more of the following:

• происходящий в соответствии с системой

• occurring according to a system

• заранее организованный или методичный

• pre-arranged, organised or methodical

• происходящий в рамках общего плана по сбору данных

• taking place as part of a general plan for data collection

• проводимый в рамках стратегии.

• carried out as part of a strategy.

Примеры видов деятельности, представляющих собой регулярный и систематический мониторинг субъектов данных: управление телекоммуникационной сетью; предоставление телекоммуникационных услуг; ретаргетинг по электронной почте; основанная на обработке персональных данных маркетинговая деятельность; профилирование и скоринг для целей оценки рисков (например, для целей кредитного скоринга, установления страховых премий, предотвращения мошенничества, обнаружения отмывания денег); отслеживание местоположения, например, с помощью мобильных приложений; программы лояльности; поведенческая реклама; мониторинг спортивных и медицинских данных через носимые устройства; кабельное телевидение; подключаемые устройства, например, умные счетчики, умные автомобили, домашняя автоматизация и т.д.

Examples of activities that may constitute a regular and systematic monitoring of data subjects: operating a telecommunications network; providing telecommunications services; email retargeting; data-driven marketing activities; profiling and scoring for purposes of risk assessment (e.g. for purposes of credit scoring, establishment of insurance premiums, fraud prevention, detection of money-laundering); location tracking, for example, by mobile apps; loyalty programs; behavioural advertising; monitoring of wellness, fitness and health data via wearable devices; closed circuit television; connected devices e.g. smart meters, smart cars, home automation, etc.

2.1.5 СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ДАННЫХ И ДАННЫЕ О СУДИМОСТЯХ И ПРАВОНАРУШЕНИЯХ

2.1.5 SPECIAL CATEGORIES OF DATA AND DATA RELATING TO CRIMINAL CONVICTIONS AND OFFENCES

Статья 37(1)(с) регулирует обработку специальных категорий данных в соответствии со статьей 9, а также персональных данных, касающихся судимостей и правонарушений, в соответствии со статьей 10. Хотя положения этой статьи используют союз «и», но при этом отсутствуют основания для их применения лишь при наличии обоих критериев. Таким образом, текст следует читать так, будто он использует союз «или».

Article 37(1)(c) addresses the processing of special categories of data pursuant to Article 9, and personal data relating to criminal convictions and offences set out in in Article 10. Although the provision uses the word ‘and’, there is no policy reason for the two criteria having to be applied simultaneously. The text should therefore be read to say ‘or’.

2.2. DPO процессора

2.2. DPO of the processor

Статья 37 применяется как к контролерам [17], так и к процессорам [18] при назначении DPO. В зависимости от того, кто отвечает критериям обязательного назначения DPO, последнее может быть обязательным только для контролера или только для процессора, а может быть обязательным и для контролера, и для процессора (в таком случае их DPO должны сотрудничать друг с другом).

Article 37 applies to both controllers [17] and processors [18] with respect to the designation of a DPO. Depending on who fulfils the criteria on mandatory designation, in some cases only the controller or only the processor, in other cases both the controller and its processor are required to appoint a DPO (who should then cooperate with each other).

[17] Контролер определяется статьей 4(7) как физическое лицо или организация, которые определяют цели и средства обработки.

[17] The controller is defined by Article 4(7) as the person or body, which determines the purposes and means of the processing.

[18] Процессор определяется статьей 4(8) как физическое лицо или организация, которые обрабатывают данные от имени контролера и по его поручению.

[18] The processor is defined by Article 4(8) as the person or body, which processes data on behalf of the controller.

Важно подчеркнуть, что даже если контролер подпадает под критерии обязательного назначения DPO, его процессору не обязательно тоже назначать его. Однако это можно считать хорошей практикой.

It is important to highlight that even if the controller fulfils the criteria for mandatory designation its processor is not necessarily required to appoint a DPO. This may, however, be a good practice.

• Небольшой семейный бизнес, занимающийся распродажей бытовой техники в одном городе, пользуется услугами процессора, чья основная деятельность заключается в предоставлении веб-аналитики и помощи с таргетированной рекламой и маркетингом. Деятельность семейного бизнеса и его клиенты не приводят к возникновению крупных масштабов обработки данных, учитывая небольшое количество клиентов и относительную ограниченность такой деятельности. Однако деятельность процессора, имеющего много таких же клиентов, как это малое предприятие, вместе взятых, приводит к возникновению крупномасштабной обработки. Поэтому процессор должен назначить DPO в соответствии со статьей 37(1)(b). В то же время, сам семейный бизнес не обязан назначать DPO.

• A small family business active in the distribution of household appliances in a single town uses the services of a processor whose core activity is to provide website analytics services and assistance with targeted advertising and marketing. The activities of the family business and its customers do not generate processing of data on a ‘large scale’, considering the small number of customers and the relatively limited activities. However, the activities of the processor, having many customers like this small enterprise, taken together, are carrying out large-scale processing. The processor must therefore designate a DPO under Article 37(1)(b). At the same time, the family business itself is not under an obligation to designate a DPO.

• Фирма среднего размера по производству плитки заказывает услуги по охране труда у внешнего процессора, который имеет большое количество подобных клиентов. Процессор назначает DPO в соответствии со статьей 37(1)(с) при условии, что обработка производится в крупных масштабах. Тем не менее, производитель может быть не обязан назначить DPO.

• A medium-size tile manufacturing company subcontracts its occupational health services to an external processor, which has a large number of similar clients. The processor shall designate a DPO under Article 37(1)(c) provided that the processing is on a large scale. However, the manufacturer is not necessarily under an obligation to designate a DPO.

DPO, назначенный процессором, также осуществляет надзор за деятельностью, осуществляемой организацией-процессором в качестве самостоятельного контролера (например, HR, IT, логистика).

The DPO designated by a processor also oversees activities carried out by the processor organisation when acting as a data controller in its own right (e.g. HR, IT, logistics).

2.3. Назначение единого DPO для нескольких организаций

2.3. Designation of a single DPO for several organisations

Статья 37(2) позволяет группе предприятий назначить единого DPO при условии, что он «легко доступен из каждой организационной единицы». Понятие доступности относится к задачам DPO в качестве контактного лица для субъектов данных [19], надзорного органа [20], а также внутри самой организации, поскольку в задачи DPO входит «информировать и консультировать контролера, процессора и осуществляющих обработку сотрудников по вопросам об их обязанностях в соответствии с настоящим Регламентом» [21].

Article 37(2) allows a group of undertakings to designate a single DPO provided that he or she is ‘easily accessible from each establishment’. The notion of accessibility refers to the tasks of the DPO as a contact point with respect to data subjects [19], the supervisory authority [20] but also internally within the organisation, considering that one of the tasks of the DPO is ‘to inform and advise the controller and the processor and the employees who carry out processing of their obligations pursuant to this Regulation’ [21].

[19] Статья 38(4): «субъекты данных могут обратиться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных и осуществлением их прав согласно настоящему Регламенту».

[19] Article 38(4): ‘data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation’.

[20] Статья 39(1)(е): «выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой персональных данных, в том числе в рамках предварительной консультации, упомянутой в статье 36, и при необходимости консультироваться по любому другому вопросу».

[20] Article 39(1)(e): ‘act as a contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36 and to consult, where appropriate, with regard to any other matter’.

[21] Статья 39(1)(а).

[21] Article 39(1)(a).

Для того чтобы гарантировать, что DPO, будь то внутренний или внешний, является доступным, важно убедиться, что имеются их контактные данные в соответствии с требованиями GDPR [22].

In order to ensure that the DPO, whether internal or external, is accessible it is important to make sure that their contact details are available in accordance with the requirements of the GDPR [22].

[22] См. также Раздел 2.6 ниже.

[22] See also Section 2.6 below.

Он или она (если необходимо — с помощью команды) должны быть в состоянии эффективно взаимодействовать с субъектами данных [23] и сотрудничать [24] с надзорными органами. Это также означает, что такое взаимодействие должно происходить на языке или языках, используемых надзорными органами и субъектами данных. Доступность DPO (будь то физически на одном уровне с остальными сотрудниками, по горячей линии или посредством иного безопасного средства связи) имеет важное значение для обеспечения того, чтобы субъекты данных имели возможность связаться с DPO.

He or she, with the help of a team if necessary, must be in a position to efficiently communicate with data subjects [23] and cooperate [24] with the supervisory authorities concerned. This also means that this communication must take place in the language or languages used by the supervisory authorities and the data subjects concerned. The availability of a DPO (whether physically on the same premises as employees, via a hotline or other secure means of communication) is essential to ensure that data subjects will be able to contact the DPO.

[23] Статья 12(1): «Контролер принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легкодоступной форме, с использованием ясного и простого языка, — особенно когда информация адресована ребенку».

[23] Article 12(1): ’The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child’.

[24] Статья 39(1)(d): «сотрудничать с надзорным органом»

[24] Article 39(1)(d) : ‘to cooperate with the supervisory authority’

В соответствии со статьей 37(3), единый DPO может быть назначен для нескольких государственных органов с учетом их организационной структуры и размера. Применяются те же самые соображения в отношении ресурсов и связей. Учитывая, что DPO отвечает за множество задач, контролер или процессор должны гарантировать, что единый DPO (при необходимости — с помощью команды) сможет выполнять эти задачи эффективно, несмотря на то, что он назначен несколькими государственными органами.

According to Article 37(3), a single DPO may be designated for several public authorities or bodies, taking account of their organisational structure and size. The same considerations with regard to resources and communication apply. Given that the DPO is in charge of a variety of tasks, the controller or the processor must ensure that a single DPO, with the help of a team if necessary, can perform these efficiently despite being designated for several public authorities and bodies.

2.4. Доступность и местонахождение DPO

2.4. Accessibility and localisation of the DPO

В соответствии с Разделом 4 GDPR, доступность DPO должна быть действительной.

According to Section 4 of the GDPR, the accessibility of the DPO should be effective.

Для того чтобы гарантировать, что DPO доступен, WP29 рекомендует DPO находиться в пределах Европейского Союза, независимо от того, находится ли там контролер или процессор.

To ensure that the DPO is accessible, the WP29 recommends that the DPO be located within the European Union, whether or not the controller or the processor is established in the European Union.

Тем не менее, нельзя исключать, что в некоторых ситуациях, когда контролер или процессор не имеет организационной единицы в рамках Европейского Союза [25], DPO может быть в состоянии действовать более эффективно, если он находится за пределами ЕС.

However, it cannot be excluded that, in some situations where the controller or the processor has no establishment within the European Union [25], a DPO may be able to carry out his or her activities more effectively if located outside the EU.

[25] См. статью 3 GDPR о территориальной сфере действия.

[25] See Article 3 of the GDPR on the territorial scope.

2.5. Опыт и навыки DPO

2.5. Expertise and skills of the DPO

Статья 37(5) предусматривает, что DPO «должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в области защиты персональных данных, а также способности выполнять задачи, указанные в статье 39». Преамбула 97 предусматривает, что необходимый уровень экспертных знаний должен определяться в соответствии с выполняемыми операциями по обработке персональных данных и защитой, которая требуется для обрабатываемых контролером или процессором персональных данных.

Article 37(5) provides that the DPO ‘shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39’. Recital 97 provides that the necessary level of expert knowledge should be determined according to the data processing operations carried out and the protection required for the personal data being processed.

Уровень знаний

Level of expertise

Необходимый уровень знаний не является строго определенным, но он должен быть соизмерим с чувствительностью, сложностью и объемом данных, обрабатываемых организацией. Например, когда деятельность по обработке данных является особенно сложной или когда в нее вовлечено большое количество чувствительных персональных данных, DPO может потребоваться более высокий уровень знаний и поддержки. Существует также разница в зависимости от того, передает ли организация персональные данные за пределы Европейского Союза регулярно или эпизодично. Таким образом, кандидата на должность DPO следует тщательно подбирать с учетом вопросов относительно защиты персональных данных, которые возникают в рамках организации.

The required level of expertise is not strictly defined but it must be commensurate with the sensitivity, complexity and amount of data an organisation processes. For example, where a data processing activity is particularly complex, or where a large amount of sensitive data is involved, the DPO may need a higher level of expertise and support. There is also a difference depending on whether the organisation systematically transfers personal data outside the European Union or whether such transfers are occasional. The DPO should thus be chosen carefully, with due regard to the data protection issues that arise within the organisation.

Профессиональные качества

Professional qualities

Хотя статья 37 (5) не определяет профессиональные качества, которые следует учитывать при назначении DPO, важным является наличие у DPO знания национальных и европейских законов и практики в области защиты персональных данных, в том числе углубленного понимания GDPR. Также является полезным предоставление надзорными органами адекватного и регулярного обучения для DPO.

Although Article 37(5) does not specify the professional qualities that should be considered when designating the DPO, it is a relevant element that DPOs must have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR. It is also helpful if the supervisory authorities promote adequate and regular training for DPOs.

Полезно знать деловой сектор и организационные процессы контролера. DPO должен также иметь хорошее понимание операций по обработке персональных данных, а также информационных систем и потребностей в области безопасности и защиты данных контролера.

Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have a good understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller.

В случае с государственным органом DPO также должен иметь хорошие знания административных норм и процедур внутри такой организации.

In the case of a public authority or body, the DPO should also have a sound knowledge of the administrative rules and procedures of the organisation.

Способность выполнять свои задачи

Ability to fulfil its tasks

Способность выполнять задачи, возложенные на DPO, должна толковаться со ссылкой как на их личные качества и знания, так и на их положение в организации. Личные качества должны включать в себя честность и верность высокой профессиональной этике; основной заботой DPO должно быть обеспечение соблюдения требований GDPR. DPO играет ключевую роль в развитии культуры защиты персональных данных в рамках организации и помогает реализовать такие существенные элементы GDPR, как, например, принципы обработки данных [26], права субъектов данных [27], защита персональных данных спроектированная и по умолчанию [28], учет деятельности по обработке персональных данных [29], безопасность обработки [30], а также направление уведомлений и коммуникация по вопросам о нарушении безопасности персональных данных [31].

Ability to fulfil the tasks incumbent on the DPO should be interpreted as both referring to their personal qualities and knowledge, but also to their position within the organisation. Personal qualities should include for instance integrity and high professional ethics; the DPO’s primary concern should be enabling compliance with the GDPR. The DPO plays a key role in fostering a data protection culture within the organisation and helps to implement essential elements of the GDPR, such as the principles of data processing [26], data subjects’ rights [27], data protection by design and by default [28], records of processing activities [29], security of processing [30], and notification and communication of data breaches [31].

[26] Глава II.

[26] Chapter II.

[27] Глава III.

[27] Chapter III.

[28] Статья 25.

[28] Article 25.

[29] Статья 30.

[29] Article 30.

[30] Статья 32.

[30] Article 32.

[31] Статьи 33 и 34.

[31] Articles 33 and 34.

DPO, действующий на основании договора оказания услуг

DPO on the basis of a service contract

Функции DPO также могут осуществляться на основании договора оказания услуг, заключенного с физическим лицом или организацией, не относящимися к организации контролера или процессора. В этом случае очень важно, чтобы каждый сотрудник организации, осуществляющей функции DPO, соответствовал всем применимым требованиям раздела 4 GDPR (например, очень важно, чтобы никто не имел конфликта интересов). Не менее важно, чтобы каждый такой сотрудник был защищен положениями GDPR (например, не допускается необоснованное прекращение договора оказания услуг за осуществление функций DPO, необоснованное увольнение любого отдельного сотрудника организации за выполнение задач DPO). В то же время индивидуальные навыки и сильные стороны нескольких сотрудников могут быть объединены для командной работы, в связи с чем организация может более эффективно обслуживать своих клиентов.

The function of the DPO can also be exercised on the basis of a service contract concluded with an individual or an organisation outside the controller’s/processor’s organisation. In this latter case, it is essential that each member of the organisation exercising the functions of a DPO fulfils all applicable requirements of Section 4 of the GDPR (e.g., it is essential that no one has a conflict of interests). It is equally important that each such member be protected by the provisions of the GDPR (e.g. no unfair termination of service contract for activities as DPO but also no unfair dismissal of any individual member of the organisation carrying out the DPO tasks). At the same time, individual skills and strengths can be combined so that several individuals, working in a team, may more efficiently serve their clients.

Для целей юридической ясности, хорошей организации процесса и предотвращения конфликтов интересов среди членов команды рекомендуется четко распределять задачи внутри команды DPO и назначать одного человека в качестве главного контактного лица, «ответственного» за каждого клиента. Целесообразно указывать эти пункты в договоре оказания услуг.

For the sake of legal clarity and good organisation and to prevent conflicts of interests for the team members, it is recommended to have a clear allocation of tasks within the DPO team and to assign a single individual as a lead contact and person ‘in charge’ for each client. It would generally also be useful to specify these points in the service contract.

2.6. Публикация и передача контактных данных DPO

2.6. Publication and communication of the DPO’s contact details

Статья 37 (7) GDPR обязывает контролера или процессора:

Article 37(7) of the GDPR requires the controller or the processor:

опубликовать контактные данные DPO и

to publish the contact details of the DPO and

передавать контактные данные DPO соответствующим надзорным органам.

to communicate the contact details of the DPO to the relevant supervisory authorities.

Цель этих требований — обеспечить, чтобы субъекты данных (как внутри оганизации, так и вне ее) и надзорные органы могли легко и непосредственно связаться с DPO без необходимости связываться с другими подразделениями организации. Не менее важна и конфиденциальность: например, сотрудники могут неохотно направлять свои жалобы DPO, если конфиденциальность их общения не гарантируется.

The objective of these requirements is to ensure that data subjects (both inside and outside of the organisation) and the supervisory authorities can easily and directly contact the DPO without having to contact another part of the organisation. Confidentiality is equally important: for example, employees may be reluctant to complain to the DPO if the confidentiality of their communications is not guaranteed.

DPO ограничен в своей деятельности требованием о секретности или конфиденциальности в отношении выполнения им своих задач в соответствии с законодательством Союза или государств-членов (статья 38(5)).

The DPO is bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law (Article 38(5)).

Контактные данные DPO должны включать в себя информацию, позволяющую субъектам данных и надзорным органам связаться с DPO простым способом (почтовый адрес, специальный телефонный номер и (или) специальный адрес электронной почты). При необходимости, для целей связи с общественностью, также могут быть предусмотрены другие средства связи, например, специальная горячая линия или специальный контактный формуляр на имя DPO на веб-сайте организации.

The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postal address, a dedicated telephone number, and/or a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website.

Статья 37(7) не требует включать в опубликованные контактные данные имя DPO. Хотя это может быть хорошей практикой, но именно контролер или процессор, а также DPO принимают решение о том, является ли это необходимым или полезным в конкретных обстоятельствах [32].

Article 37(7) does not require that the published contact details should include the name of the DPO. Whilst it may be a good practice to do so, it is for the controller or the processor and the DPO to decide whether this is necessary or helpful in the particular circumstances [32].

[32] Следует отметить, что статья 33 (3)(b), описывающая информацию, которую необходимо предоставлять ​​надзорным органам и субъектам данных в случае нарушения безопасности персональных данных, в отличие от статьи 37 (7), дополнительно требует указывать имя (а не только контактные данные) DPO.

[32] It is notable that Article 33(3)(b), which describes information that must be provided to the supervisory authority and to the data subjects in case of a personal data breach, unlike Article 37(7), specifically also requires the name (and not only the contact details) of the DPO to be communicated.

Тем не менее, сообщение имени DPO надзорному органу является существенным для того, чтобы DPO мог служить в качестве контактного лица между организацией и надзорным органом (статья 39 (1)(е)).

However, communication of the name of the DPO to the supervisory authority is essential in order for the DPO to serve as contact point between the organisation and the supervisory authority (Article 39(1)(e)).

В качестве хорошей практики WP29 также рекомендует организациям информировать своих сотрудников об имени и контактных данных DPO. Например, имя и контактные данные DPO могут быть опубликованы во внутренней Интернет-сети организации, внутренней телефонной сети и организационных материалах.

As a matter of good practice, the WP29 also recommends that an organisation informs its employees of the name and contact details of the DPO. For example, the name and contact details of the DPO could be published internally on organisation’s intranet, internal telephone directory, and organisational charts.

Россертификация, Росконтроль – мошенничество в сфере оказания услуг по защите ПДн или нет?

Время на прочтение
11 мин

Количество просмотров 43K

Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС «Росконтроль». Там все по классике – пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история эта началась гораздо раньше, и я бы хотел сначала провести небольшую ретроспективу.

2018 год. Россертификация

В 2018 году в нашу организацию, которая тоже занимается, в том числе, защитой персональных данных, начали поступать многочисленные запросы от юридических лиц о том, что им пришло электронное письмо от какой-то Россертификации и как им на него реагировать.

У нас сохранился образец DOCX-файла , который был прикреплен к тем письмам. Потратив некоторое время и проведя небольшое расследование, мы пришли к выводу, что это мошенники. Извиняюсь, что так вот сходу отменил интригу заголовка, но, поверьте, дальше в статье будет много интересного.

Сразу же с ходу в теме письма начинаются психологические манипуляции, давящие на страх и беспокойство, которые кроются в словах «Предписание Рос… чего-то там». Среднестатистический работник бухгалтерии, знающий, что госорганы готовы выписывать предписания и штрафы за каждый чих, конечно, в первую очередь почувствует запах неприятностей, а потом уже начнет думать и осознавать происходящее.

В самом вложении также в шапке красуется «Россертификация». Пока не понятно, это действительно госконтора или ООО, или еще что-то другое. А вот ниже уже интереснее – указаны реквизиты ИНН, КПП, ОГРН и ОКПО. Быстрый поиск в ЕГРЮЛ дает нам результат – это данные некоего ООО «Единый центр сертификации». Запомним это и едем дальше, осознавая, что подобные «предписания» без каких-либо договоров, например на аттестационные испытания, не имеет права выдавать ни одно ООО.

Далее нам вешают лапшу о «начале внеплановых проверок с 1 апреля 2018 года», как будто ранее РКН не проводил внеплановых проверок по персональным данным. В этом же предложении жирным шрифтом акцентируется, что якобы все организации должны уведомить РКН об обработке персональных данных, хотя в части 2 статьи 22 Федерального закона №152-ФЗ «О персональных данных» приводится целых 9 пунктов исключений, когда оператор ПДн может не подавать такое уведомление.

По штрафным санкциям опять недостоверная на тот момент информация. Нижняя граница штрафа для юридических лиц – 15 тысяч рублей, а не 45.

И под конец моё любимое – страшилка про закрытие предприятия на 90 суток за невыполнение закона «О персональных данных». Я думал, что недобросовестные коллеги оставили эту байку в 2010 году как максимум. И, конечно же, такой нормы нет в упомянутой статье 13.11 КоАП РФ – здесь просто прямое вранье (с этого момента можно начинать считать сколько раз в этой статье будет употреблено слово «вранье»)! А тем, кто не знает/не помнит откуда пошла эта страшилка, добро пожаловать под спойлер.

Откуда пошла страшилка про закрытие предприятия на 90 суток

Страшилка про закрытие предприятия на 90 суток пошла из статьи 19.5 КоАП РФ «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль».

Статья очень большая, описывает разные санкции за невыполнение предписания всех возможных органов надзора. И, видимо, по логике придумавших эту страшилку всем будет лень читать статью целиком и они просто поверят, что за невыполнение предписания РКН организацию закроют на срок до 90 суток (коммерческой организации можно сразу закрываться навсегда). И самое интересное, что возможность быть закрытым на 90 суток в статье 19.5 КоАП РФ действительно есть, только эта санкция предусмотрена за:

  • невыполнение предписания строительного надзора;

  • невыполнение требований карантина;

  • повторное невыполнение предписания пожарного надзора;

  • невыполнение законодательства о защите детей от «плохой» информации.

Смотрим дальше текст вложения.

И снова вранье, которое заключается в том, что никакой льготной федеральной программы по разработке документации по защите ПДн не существует и никогда не существовало.

Кстати, в этом месте документа по идее должна быть гиперссылка на сайт, но ее нет. Но тогда, в 2018 году, он нашелся методом беглого гугления, сайт находился по адресу 152-фз.россерт.рф. Находился, т. к. сайт больше недоступен, Wayback Machine выдает что-то внятное только за 2019 год. А мы их анализировали и успели наделать скриншотов в 2018-м (судя по архивному отпечатку, в 2019 году текст сильно поменялся, но не суть), и там тоже много чего важного, что поможет нам в будущем сделать кое-какие выводы, давайте посмотрим.

Читатель, ты, возможно, не понимаешь, зачем я тебе показываю скриншоты уже неработающего сайта, но поверь, это важно для понимания полной картины в наши дни.

Итак, снова у нас тут «Федеральная программа», которой не существует, «главный орган по сертификации Россерт» (а это тоже самое, что и Россертификация или другое? пока не понятно) и прочие громкие фразы типа «Федеральная программа развития бизнеса в России. При аккредитации Росстандарта». Но самое главное – номер телефона в правом верхнем углу совпадает с номером в приложении к письму, а значит, мы точно попали через поиск куда надо.

Дальше нас учат, как же соответствовать закону о персональных данных. Якобы нужно разработать пакет документов и получить на них сертификат соответствия ГОСТ. Стоп, чего? Про пакет документов, в общем-то, правда, да только вот кроме документов, чтобы соответствовать 152-ФЗ нужно еще и выполнить технические мероприятия, поэтому будем считать, что тут не вранье, а недоговорка. А вот про необходимость соответствия комплекта документов по защите персональных данных какому-либо ГОСТ это чистой воды вранье.

Далее нас ожидаемо пугают штрафами. То, что эти цифры не соответствуют действительности сейчас и не соответствовали тогда, мы уже разобрали, но обратите внимание что нижние и верхние границы штрафов не соответствуют таковым в спам-письме. Снова бородатая страшилка про закрытие организации на 90 суток. И лютейший бред про возможное лишение свободы руководителя на срок до 4 лет по 137 УК РФ за нарушение закона «О персональных данных» (эта статья о злонамеренном сборе и распространении данных о частной жизни физического лица с использованием служебного положения – за уши конечно можно притянуть, но все же надо понимать, что такое деяние и отсутствие в организации необходимых документов по 152-ФЗ это совсем разные вещи).

Дальше нам предлагают скачать даже на тот момент сильно устаревшую версию 152-ФЗ. И, конечно же, классика – мошенники предупреждают о мошенниках.

Но самое интересное ждало нас в конце сайта.

В разделе «Лицензия и аккредитация» собственно нет никакой лицензии (да неужели? нас опять обманывают?), зато есть свидетельство о регистрации системы добровольной сертификации «Россертификация». Помните, в самом начале я говорил, что мы не понимаем что такое «Россертификация» и «Россерт» — теперь понятно, это СДС (система добровольной сертификации).

Что такое СДС? В соответствии с 21 статьей ФЗ «О техническом регулировании» любое юрлицо или ИП могут учредить такую систему сертификации, например… орехов. Вы определяете параметры (вкус, форма, цвет) орехов, на которые вы будете выдавать сертификат и те, кто хотят сертифицировать свои орехи в вашей СДС (которую вы конечно же зарегистрировали в Федеральном агентстве по техническому регулированию и метрологии) заключают с вами договор, проводят необходимые испытания и получают или не получают сертификат.

Нужно еще отметить, что зарегистрировать ООО с приставкой «Рос-» ой как не просто. Есть целый список требований, чтобы это было возможно. Видимо, у СДС с этим все гораздо проще. Отмечаем так же, что свидетельство о регистрации СДС выдано ООО «Единый центр сертификации». Реквизиты (ИНН, ОГРН) ООО с таким же названием фигурировали и в шапке спам-письма.

2020 год. Росконтроль

В 2020 году снова активизировалась похожая спам рассылка. В письме ожидаемо грозились штрафами за невыполнение требований по защите персональных данных, давались ссылки на пару проплаченных статей, и предлагалось пройти по ссылке, вбить ИНН своей организации и получить якобы вручную подготовленный отчет по выполнению вашей организацией требований закона «О персональных данных». Пример такого отчета здесь. Но это уже было от лица некого Федерального центра по защите персональных данных СДС «Росконтроль».

К счастью, мы с вами уже знаем, что такое СДС и префиксом «Федеральный центр» нам мозги не запудрить. Но вам ничего не напоминает? Опять СДС, опять в названии «Рос-», опять попытка мимикрии под госорганизацию? У меня подозрение, что на манеже все те же закрались сразу. Но мы же не будем делать бездоказательных выводов, правда?

Давайте посмотрим, чем это письмо отличается от образца 2018 года.

Во-первых, теперь это не «предписание», а «отчет по результатам проверки». Теперь не «Россертификация», а «Росконтроль» и явно указано, что это СДС. Ссылка на другой сайт -rkn.expert (он по сравнению с предыдущим ну совсем маленький и не интересный, поэтому даже подробно анализировать там нечего). Другой телефон. Другой адрес (хотя тоже Питер). Также обращаем внимание на URL сайта, попахивает мимикрией под официальный сайт РКН (rkn.gov.ru).

Установить связь СДС «Россертификация» и СДС «Росконтроль» не составляет особого труда. Просто лезем на сайт Росстандарта и ищем «Росконтроль», находим одну запись и выясняем, что свидетельство, номер которого совпадает с номером в «отчете» выдано ООО «Единый центр сертификации», ОГРН которого совпадает с ОГРН, фигурирующем в спам-письме от 2018 года. На этом, думаю, связь старого спама и нового можно считать установленной. Давайте же дальше смотреть новое письмо.

Кстати, обратите внимание, что свидетельство выдано на СДС «Росконтроль» и никакого префикса «Федеральный центр чего-то там» в реестре нет, поэтому «Федеральный центр» это чистая отсебятина, призванная запутать доверчивых граждан.

Давайте закончим с шапкой письма, ведь здесь самое важное отличие от спама 2018 года – теперь здесь фигурирует персоналия, некий Келлерманн А. М. Вот это уже интересно!

Давайте проверим по реестру, не связан ли этот Келлерманн А. М. с нашими старыми знакомыми ООО «Единый центр сертификации»? Идем в любой каталог организаций и ищем по ИНН. Вот черт! Генеральный директор этой организации некий Катричко Александр Максимович, мимо!

Ладно, не унываем, смотрим дальше «отчет». Смысл там, в общем, такой: этот Росконтроль типа проверил организацию и выяснил, что ее нет в реестре операторов персональных данных. Из чего сделаны выводы:

  • уровень нарушений – высокий (они не имеют права делать такой вывод, так как, возможно, организация попадает под исключения, когда оператор может не подавать уведомление);

  • вероятность проверки – высокая (с чего это они взяли тоже абсолютно не понятно, но мы с вами уже предполагаем, что это манипуляция запугивания).

Дальше у меня глаз зацепился за этот блок:

А именно верхний правый буллет. Кто знает, что это за сертификация такая, которая уменьшает риск проведения проверки (кроме противозаконных)? Поделитесь, пожалуйста, в комментариях.

Ну и левый нижний буллет я, как специалист, не могу не прокомментировать. Здесь проблема в том, что подать за вас уведомление никто не имеет права, т. к. уведомление подается в бумажном виде с подписью руководителя и печатью организации (если есть). А вот помочь подготовить можно, но можно подготовиться и самостоятельно, прочитав нашу статью здесь.

В четвертом разделе нас пугают уже многомилионными штрафами. Вот как Гермиона штрафы измениласьись за лето два года!

Как вы догадались, тут тоже вранье. Такими штрафами наказывают за отказ хранить данные граждан РФ на территории РФ, так называемая статья против фейсбука и им подобных. Обычное ООО, которое хранит базы 1С у себя на локальном сервере таким санкциям уж точно не подвержено, но звучит-то страшно, правда? 6 миллионов! А чего тогда господин Келлерманн не ссылается на п. 9 статьи 13.11 КоАП РФ, там за повторное нарушение по п.8 штраф аж до 18 миллионов. Еще страшнее!

Кто-то здесь может возразить, что обычное ООО может попасть под эту статью, если будет хранить свою базу 1С на заграничном облаке. В принципе да, такое возможно, да вот только услуги, которые предлагает г-н Келлерманн (разработка пакета документов) при выявлении такого нарушения проверяющими не спасут.

Еще в этом же четвертом пункте «отчета» приводится список документов. В целом, список как список. Почему нет единого стандарта по составу комплекта документов можно узнать из нашей статьи, но меня смутил вот этот пункт:

Дело в том, что разработка документа «Модель угроз безопасности» являются частью лицензируемого ФСТЭК России вида работ «проектирование систем в защищенном исполнении». Сами для себя вы можете разработать этот документ без лицензии, но если разрабатываете его как услугу, то необходимо получать лицензию ФСТЭК на проведение работ по технической защите конфиденциальной информации (ТЗКИ). ООО «Единый центр сертификации» такой лицензии не имеет, это легко проверить по реестру.

Ладно, долистываем это письмо до конца. Помните, я говорил про персоналию в этом письме? Ниже он подписывается уже более подробно, теперь мы знаем его имя и у нас есть его фото.

Обратите внимание на эволюцию спама — возможно с «Россертификацией» что-то пошло не так и в дело включился «Росконтроль», а для повышения доверия это уже не обезличенное «предписание», а «отчет», подписанный конкретным лицом. Ну что ж, раз этот персонаж решил все же засветиться, считаю незазорным прогуглить его и покопаться в открытых данных с целью установить реальное ли это лицо вообще и может быть найдем еще какую интересную информацию.

Сначала из найденного я зашел на fl.ru. Фото другое, но «rossertrf» кричит нам, что это он. Там 6 фрилансеров ставят этому заказчику «+», мол, молодец, платит вовремя и все такое. Видимо, там он заказывает сайты типа старого уже закрытого и rkn.expert . Ну, что ж, я надеюсь, что фрилансеры искренне не понимали, что помогают дурить людей.

А потом я зашел в его Instagram (профиль открыт) и тут началось. То, что это именно он, сомнений нет, там есть та же фотка, что и в «отчете» и фото с fl.ru тоже имеется. Бегло пролистав фотки с тачкой и котиком (котик классный, да), взгляд, конечно, же остановился на этой фотке и на посте под ней:

Ну, во-первых — «Росконтроль». Обратите внимание на сайт на табличке (rkn.moscow) – опять мимикрия под официальный сайт РКН (он просто редиректит на rkn.expert). Во-вторых, сам пост в стиле «Вы все дураки и не лечитесь…». Тут я не удержался и написал комментарий. Я, честно говоря, ни на что не надеялся, был уверен, что комментарий проигнорируют или удалят, но нет.

На что было получено 2 ответа и второй говорит сам за себя.

Кстати, да, Роскомнадзор действительно в курсе.

А еще в курсе другой Росконтроль, который СМИ.

Вместо заключения

Зачем это все нам (как компании) и зачем я писал всю эту статью (кроме того, что никто не любит мошенников и нужно их выводить на чистую воду)?

Дело в том, что когда наши добросовестные коллеги предлагают людям свои услуги, нам потом не пишут и не звонят с вопросами «Нам позвонил лицензиат ФСТЭК, предлагает свои услуги по защите информации, подскажите, стоит ли с ними работать?». И совершенно другая картина, когда людей заваливает спамом от рос-гос-чего-то-там со словами «предписание» и «штраф до 6 млн. рублей», вот тогда мы можем терять много драгоценного рабочего времени на такие консультации, за которые мы денег не берем.

Кто-то может сказать, что г-н Келлерманн правильно написал в комментарии, что у него все зарегистрировано и так далее, и называть его мошенником не правильно, но у нас регистрировать ООО и ИП могут и «экстрасенсы» с гадалками, а гомеопаты совершенно официально продают в аптеках сахар по цене золота.

В конце концов, мы установили, что «Россертификация» и «Росконтроль» это одна и та же лавочка, поэтому все их грехи можно суммировать, давайте подытожим, какие признаки мошенничества можно выделить:

  • регистрация и использование СДС с приставкой «Рос-», что вводит незадачливых пользователей в заблуждение, причем в случае с «Россертификацией» спамеры даже не добавляли «СДС» в начале, видимо потом им дали понять, что так делать нехорошо;

  • грубая эксплуатация страха адресата манипулятивными методами: «вам выдано предписание», «вас оштрафуют», «к вам придет проверка». Напоминаю, что никаких предписаний эти жулики выдавать не имеют права;

  • попытка замещения функций государственных органов с помощью несуществующих «Федеральных программ» и «Федеральных центров»;

  • притягивание за уши санкций для операторов персональных данных (штраф 6 миллионов, статья 137 УК РФ, закрытие организации на 90 суток), абсолютно не применимых или никак не связанных с услугами, предлагаемыми спамерами;

  • фишинговые техники. Вряд ли рядовой пользователь помнит точно домен РКН, в крайнем случае, если он ходил когда-то на их сайт, может помнить, что это rkn.»че-то там». Таким образом, использование доменов rkn.expert и тем более rkn.moscow призваны ввести пользователей в заблуждение;

  • использование безаппеляционного «все организации должны подать уведомление об обработке персональных данных», хотя закон предполагает ряд исключений;

  • безаппеляционное утверждение того, что комплект документов по защите персональных данных должен соответствовать каким-либо ГОСТ, что противоречит действующему законодательству;

  • оказание услуг по разработке проектной документации на систему защиты информации (Модель угроз) без лицензии ФСТЭК России;

  • заверение о проведении какой-то сертификации вашей организации (какой именно сертификации спамеры умалчивают), которая уменьшит риск проведения проверки, что не соответствует действительности (никаких индульгенций от проверок не существует);

  • ну и вишенка на торте — пост и комментарий в Инстаграме причастного лица (я уж не знаю, один ли он работает или в составе группы). Пост о том, что люди не умеют читать документы, сайты, договора говорит о вполне сознательных и намеренных описанных выше манипуляциях.

Кто-то может сказать, что несведущие люди сами виноваты, что их обманывают, но это уже самый настоящий victim-blaming (насильник тоже не виноват, это девушка надела короткую юбку). В наше время невозможно быть специалистом во всем. Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову.

Если у вас есть знакомые бухгалтеры, руководители небольших фирм (или даже больших) и другие лица, которым могла быть интересна эта статья, покажите им её.

Заполните форму ниже, чтобы продолжить.

Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .

Заполните форму ниже, чтобы продолжить.

Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .

Узнайте, какие правовые риски угрожают вашему сайту!

В рабочее время перезвоним
в течение 15 минут!

LegalBox

Статья

Персональные данные

Документы на обработку персональных данных
для сайта и организации

1) для защиты от штрафов (до 6 580 000 ₽ с 27.03.2021 г.);
2) для успешного прохождения проверок и профилактических визитов Роскомнадзора;
3) для соответствия новым требованиям Закона №152-ФЗ (от 01.09.2022 г.
и
01.03.2023 г.), в частности:

  • требования к согласиям на обработку ПДн;
  • требования к политике конфиденциальности и локальным актам;
  • требования к сроку реагирования на запросы субъектов;
  • требования к поручению обработки ПДн;
  • требования к уведомлению Роскомнадзора об обработке ПДн;
  • требования к трансграничной передачи;
  • требования к оценке степени вреда и уничтожению ПДн.

На этой странице вы сможете найти перечень необходимых документов для соответствия требованиям Федерального закона №152-ФЗ «О персональных данных» и прохождения проверок Роскомнадзора.

Поможем бизнесу выполнить новые требования 152-ФЗ

Напишите нам, мы свяжемся с вами
и ответим на все ваши вопросы!

Тема охраны персональных данных касается всех, кто работает с кадровыми документами. В этой статье разберем, какие требования установлены на законодательном уровне и что может стать объектом проверки Роскомнадзора

На какие документы опираться работодателю

Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты».В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.

Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.

В конце статьи есть шпаргалка

К владельцам персональных данных относятся:

  • работники;
  • соискатели;
  • члены семьи и родственники работников;
  • третьи лица, с кем заключаются гражданско-правовые договоры;
  • иные физические лица, чьи данные вы обрабатываете как оператор персональных данных.

Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как хранить такие данные, на каких носителях, как их защищать и пр.

Что проверяет Роскомнадзор

Постановка на учет

Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.

Обратите внимание: с 1 сентября 2022 года перечень исключений, при которых можно не вставать на учет в органах Роскомнадзора, был скорректирован. Сейчас есть только три основания — исключения, когда можно не уведомлять Роскомнадзор. К ним относятся:

  • обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обработка персональных данных в случае, если оператор обрабатывает их исключительно без средств автоматизации;
  • обработка персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, а также защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

При направлении уведомления в Роскомнадзор необходимо для каждой цели обработки персональных данных указать:

  • категории персональных данных;
  • категории субъектов, персональные данных которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональных данных;
  • способы обработки персональных данных.

Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес. А после сентябрьских изменений это касается практически всех компаний.

Как проверить, стоит ли организация на учете

Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.

Ответственный за организацию работы с персональными данными

В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора. 

О том, как работать с персональными данными, читайте в интервью Марии Финатовой.

Внутренняя политика по персональным данным

Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.

Напоминаем, что с 1 сентября 2022 года в политике для каждой цели обработки персональных данных необходимо указать категории и перечень обрабатываемых данных, категории субъектов, чьи данные обрабатываются, способы, сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Такие же требования касаются и локальных нормативных актов по персональным данным. В них также необходимо указать все перечисленные условия под все цели обработки персональных данных.

Ключевое условие для политики в отношении обработки персональных данных — размещение документа на сайте компании, если у нее есть сайт. Если сайта нет, то в открытом доступе, например при входе в офис, чтобы любой желающий мог прочитать.

Локальные нормативные акты

Это те документы, которые содержат конкретные правила и условия работы:

  • какие данные обрабатываются и с какой целью,
  • кто субъекты персональных данных в компании,
  • куда персональные данные передаются,
  • какие информационные системы используются,
  • как обеспечивается защита информационных систем,
  • какой класс присваивается информационной системе,
  • как хранятся документы, содержащие персональные данные,
  • как осуществляется сбор персональных данных,
  • как уничтожаются персональные данные и пр.

Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.

Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу  и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.

Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:

  • в соответствии с требованиями действующего законодательства — согласия не нужно;
  • для достижения целей, которые ставит для себя работодатель как оператор персональных данных, — согласие обязательно. 

Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.

Напоминаем, что согласие на обработку персональных данных должно быть не только конкретным, информированным, сознательным, но еще и предметным и однозначным. Требование появилось еще 1 сентября 2022 года.

Если организация размещает персональные данные в открытых источниках, где информация доступна неограниченному кругу лиц, необходимо от сотрудников получить согласия на распространение их персональных данных. Этот документ оформляется отдельно от согласия на обработку персональных данных.

Хранение и уничтожение персональных данных

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

  • достигнуты цели;
  • истек срок хранения, указанный в согласии;
  • сам субъект попросил уничтожить персональные данные;
  • данные обработали неправомерно, например с другими целями. 
  • субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить акт, который защитит интересы компании перед Роскомнадзором. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях. 

Информационные системы

Курсы для кадровика

Повышение квалификации, профпереподготовка. Онлайн-тесты. Удостоверения и дипломы

Посмотреть программы

Специалисты Роскомнадзора при проведении проверок имеют право исследовать информационные системы операторов персональных данных. Как правило, при проверках инспекторы действуют парами: один проверяет документы, второй — информационные системы. Специалист, который работает с электронными ресурсами, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации. 

Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.

В конце статьи есть шпаргалка

Жалобы о нарушении прав субъектов персональных данных

Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:

  • проводились ли до этого проверки и какие нарушения были выявлены;
  • исправил ли их работодатель;
  • не увеличился ли масштаб нарушения, например, в прошлый раз пожаловался один человек, а сейчас нарушение касается уже всех сотрудников.

Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.

Новая обязанность оператора

Еще одна обязанность появилась у оператора персональных данных с 1 сентября 2022 года (ст. 21 ч. 3.1 Федерального закона № 152-ФЗ от 27.07.2006): если установлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента уведомить Роскомнадзор:

  • В течение 24 часов об инциденте, предполагаемых причинах и потенциальном вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента. В этот же срок надо предоставить сведения об уполномоченном сотруднике, который будет взаимодействовать с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.
  • В течение 72 часов о результатах внутреннего расследования инцидента. Также надо предоставить сведения о лицах, чьи действия стали причиной инцидента.

Изменение и прекращение обработки персональных данных

Если вы меняете сведения, вы должны не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, уведомить Роскомнадзор.

Если прекращаете обрабатывать персональные данные — в течение 10 рабочих дней с даты прекращения обработки.

Организация может прекратить обрабатывать персональные данные в случаях:

  • ликвидации организации;
  • прекращения деятельности в результате реорганизации;
  • аннулирования лицензии на определенный вид деятельности;
  • вступления в законную силу решения суда о прекращении организацией обработки персональных данных и др.

Вместо заключения

Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.

Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:

  1. Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
  2. Убедиться, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях. 
  3. Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными за компьютерами и ноутбуками.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

  • Перечень НПА для оператора персданных
    630.2 КБ

  • Правила поведения за компьютером
    624.3 КБ

Скачать

Понравилась статья? Поделить с друзьями:
  • Бона форте удобрение для цитрусовых инструкция по применению
  • Вниикр официальный сайт руководство
  • Профессиональное рекомендация от руководство
  • Квадроцикл стелс 400 мануал
  • Как установить драйвер для принтера pantum m6500w без диска инструкция