Персональные данные

Персональные данные подпадают под регулирование многих законодательных актов, требования которых необходимо соблюдать как юридическим, так и физическим лицам. Надзор за правильной обработкой персональных данных занимается Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

С 1 сентября 2022 года вступили в силу очередные изменения в закон ФЗ-152 «О персональных данных» (далее — Закон). Теперь оператором персональных данных являются практически все, кто использует персональные данные в работе, даже если это только данные ваших сотрудников. Иностранные организации и граждане, которые обрабатывают персональные данные россиян, теперь также должны соблюдать требования Закона. В настоящей статье постараемся кратко объяснить, что такое персональные данные, какие произошли изменения с 1 сентября 2022 года, а также как правильно собирать и обрабатывать персональные данные нашим клиентам и партнерам.

Как правило, в работе данных о клиенте обрабатывается много. Согласно Закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу, субъекту персональных данных (далее — Субъект). То есть это практически любая информация о человеке, а также совокупность данных, позволяющих его идентифицировать. Это персональные данные и сотрудников, и клиентов, и партнеров и третьих лиц. Если сомневаетесь, являются ли данные персональными, не сомневайтесь — это персональные данные и их нужно правильно обрабатывать. Оператором обработки персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что нового?

1. До 1 сентября 2022 года обрабатывать персональные данные для целей заключения или исполнения договора можно было без согласия Субъекта. Теперь же на данные действия необходимо получать согласие. Также расширились требования к форме согласия — согласие Субъекта должно быть не только конкретным, информированным и сознательным, а теперь еще и предметным и однозначным, то есть клиент/сотрудник/третье лицо должны точно знать цель (для каких действий) обрабатываются его данные, самостоятельно выбрать какие действия будут производиться с его данными, и перечень этих данных, а также что клиент дает свое однозначное согласие на обработку вышеуказанных данных и понимает это.

2. Нельзя обрабатывать персональные данные несовершеннолетних, кроме случаев, установленных законодательством РФ. Это значит, что вы не можете получить на обработку данные ребенка от ребенка, также его согласие на обработку будет ничтожным.

3. Нельзя обрабатывать избыточных персональных данных. Например, если вы записываете клиента в салон на стрижку, не обрабатывать его домашний адрес.

4. Сокращен срок реагирования на запросы до 10 рабочих дней с возможностью продления до 15 рабочих дней при мотивированном уведомлении о необходимости продления срока.

5. Новые правила трансграничной передачи (передача персональных данных через границу иностранному лицу — юридическому или физическому). Правила применяются, в том числе, если компания до вступления в силу изменений осуществляла трансграничную передачу данных. Если компания передает данные за границу, необходимо направить Роскомнадзору отдельное уведомление до 1 марта 2023 года. Причем правила уведомления о трансграничной передаче отличаются в зависимости от того, в какую страну направляются данные. Роскомнадзор может принять решение о запрете передачи персональных данных иностранному лицу. В таком случае иностранное лицо должно уничтожить ранее полученные персональные данные, а оператор должен будет предоставить подтверждение этого.

6. Новые правила к поручению обработки персональных данных от оператора другому оператору (обработчику). Обработчик — это оператор персональных данных, осуществляющее обработку персональных данных строго по поручению оператора. Данный термин не введен в Закон, но для понятия процесса обработки в статье используем данный термин. Обработчик не собирает согласия субъектов персональных данных, этим должен заниматься оператор. Обработчик обязан соблюдать конфиденциальность, действовать строго в рамках поручения оператора, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом. Более того, если обработчиком является иностранная компания, то оператор и обработчик несут ответственность наравне. Например, YCLIENTS обрабатывает часть персональных данных по поручению салона. Это и данные сотрудников, данные клиентов, собранных и внесенных в Сервис силами салона, иные данные. Согласия Субъектов на обработку этих данных должны собирать салоны как операторы персональных данных, а также получать согласие на обработку персональных данных YCLIENTS по поручению. Поручение — это договор между Обработчиком и оператором персональных данных.

7. Теперь обработка биометрических персональных данных возможна только в исключительных случаях — это различные сведения о физиологических и биологических особенностях человека, по которым можно установить его личность, за исключением случаев, которые указаны в ч. 2 ст. 11 Закона. На обработку биометрических данных обязательно нужно письменное согласие гражданина. В Законе будет четко зафиксировано, что человек должен сообщить такие данные о себе только в случаях, которые перечислены в ч. 2 ст. 11 Закона. Во всех остальных ситуациях предоставление биометрических данных не может быть обязательным.

8. Необходимо выстроить взаимодействие с ГосСОПКой. ГосСОПКА — это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданная в 2013 году. ГосСОПКА расследует инциденты кибератак, выявляет уязвимости информационных систем безопасности. ФСБ в скором времени должны принять подзаконный акт, который конкретизирует как именно нужно взаимодействовать с ГосСОПКой. ФСБ в подзаконных актах могут также определить дополнительную ответственность за отказ подключаться к ГосСОПКе. После принятия акта ФСБ необходимо: принять регламент взаимодействия с ГосСОПКой, а также выполнить иные требования.

9. Также теперь Законом закреплена обязанность операторов персональных данных в течение 24 часов с момента утечки персональных данных — неправомерной или случайной передачи обрабатываемых персональных данных, уведомить ФСБ об инциденте, сообщить предполагаемые причины утечки и предполагаемый вред. А также течение 72 часов провести расследование инцидента и сообщить о его результатах.

10. Планируется принятие нового регламента проведения «оценки вреда» — определение уровня вреда Субъекту персональных данных на основании учета причинённых убытков и морального вреда в результате нарушения безопасности персональных данных (конфиденциальности, целостности и доступности). На данный момент особых требований Роскомнадзора нет, их планируют принять к 1 марта 2023 года. Возможно, в них будет закреплена процедура оценки вреда, а также правило о том, как часто нужно будет ее проводить. Сейчас регулярно проводить «оценку вреда» не обязательно, компания сама выбирает какие именно меры по обеспечению безопасности персональных принимать. Роскомнадзор, однако, может проводить проверки, и давать предписания провести оценку вреда. Выполнение предписаний обязательно.

И что же делать?

Краткое пособие пользователям YCLIENTS

Нам часто приходят запросы, что же делать с персональными данными, как правильно уведомить Роскомнадзор, как сделать все правильно. В одной статье мы не сможем досконально описать все нюансы работы с персональными данными, это целая отрасль, этим занимаются ИБ (информационные безопасники), а также юристы и технические специалисты, обучающиеся информационной безопасности не один год. Но постараемся описать понятным языком, что надо сделать для начала законной обработки персональных данных в части их обработки компаниями, использующие Систему YCLIENTS.

ООО “УАЙКЛАЕНТС” является правообладателем Программы для ЭВМ “Система YCLIENTS”, ввиду этого является оператором персональных данных (регистрационный номер в реестре 77-22-021415), строго соблюдая законодательство в сфере персональных данных и конфиденциальности.

Обрабатывая персональные данные своих сотрудников, пользователей системы, осуществляющих онлайн-запись на услуги компаний, использующих YCLIENTS, персональные данные партнеров и третьих лиц, YCLIENTS самостоятельно получает согласие данных Субъектов персональных данных, на сайте или в письменном виде. Также YCLIENTS обрабатывает персональные данных сотрудников и мастеров компаний, использующих YCLIENTS, персональные данные клиентов компаний, их партнеров и третьих лиц — по поручению компаний-пользователей YCLIENTS. В этом случае обработка персональных данных осуществляется с согласия Субъекта персональных данных, полученного непосредственно самой компанией без привлечения Систему YCLIENTS.

Одна из основных целей обработки персональных данных YCLIENTS — выполнение обязательств перед пользователями Системы, в том числе и обеспечение работоспособности Системы. Данные россиян локализованы на территории Российской Федерации. ЦОДы: https://selectel.ru, https://www.servers.ru, https://cloud.yandex.ru.

Компании, использующие YCLIENTS, являются отдельными операторами персональных данных, самостоятельно определяющими порядок обработки персональных данных, самостоятельно обрабатывающими полученные персональные данные, и самостоятельно направляющие уведомления в Роскомнадзор исключительно о своей деятельности. В рамках работы, компании, могут использовать не одно программное обеспечение, иметь свои сервера, быть компанией в сетке салонов, следовательно, персональные данные могут обрабатываться сторонними организациями. Это означает, что информация о вас, как операторе персональных данных, ваши методы и способы обработки персональных данных, цели обработки и т.д., не будут совпадать с методами, способами и целями YCLIENTS, и копировать информацию о YCLIENTS не нужно, более того, могут возникнуть вопросы Роскомнадзора, почему используются и указаны неспецифичные вашей деятельности цели, методы обработки персональных данных.

Итак, для надлежащей и законной обработки персональных данных компании, использующей YCLIENTS (напоминаем, что это касается не только юридических лиц, но и физических лиц), как и любому Оператору персональных данных, осуществляющему обработку персональных данных, прежде всего необходимо:

1. Определить, какие персональные данные обрабатываете именно вы, для каких целей, каким способом их собираете, как получаете согласие, кому передаете либо поручаете обработку этих персональных данных. Есть ли трансграничная передача персональных данных, нет ли избыточного сбора персональных данных, нет ли данных несовершеннолетних.

2. Определить, какие сотрудники имеют доступ к персональным данным, назначить внутри компании ответственного за обработку персональных данных, разработать внутренние локальные документы по обработке персональных данных и разместить их в доступном для клиентов месте. Минимальный пакет документов это:

• согласие на обработку персональных данных;
• приказ о назначении ответственного за организацию обработки персональных данных;
• политика обработки персональных данных;
• согласие на обработку персональных данных, разрешенных субъектом для распространения (если такое есть);
• согласие на обработку персональных данных по поручению, и т. д.

У многих компаний также обязательно будут и дополнительные документы, например если вы обрабатываете специальные категории персональных данных (медорганизации).

3. В политике обработки персональных данных для каждой цели обработки теперь необходимо прописать категории и перечень персональных данных, способы, сроки их обработки и хранения, порядок уничтожения. По новым правилам необходимо разместить политику обработки персональных данных в общедоступном месте, например на каждой странице сайта, на которой осуществляется сбор персональных данных либо в доступе для клиентов, если собираются согласия в бумажном виде.

4. До начала обработки персональных данных получить согласие Субъекта, как на обработку данных (это все действия с данными), на поручение на обработку персональных данных третьим лицам, так и на распространение или передачу собранных данных Субъекта. Нельзя получать согласия путем бездействия субъекта и ограничивать права и свободы субъектов персональных данных. То есть согласие не может даваться путем молчания, непредоставления ответа в течение какого-то времени и т.д. Согласие может быть дано:

• в форме отдельного бумажного документа, подписанного Субъектом;
• путем подписания его электронной цифровой подписью Субъекта;
• активация субъектом специального флажка «чекбокса» напротив политики конфиденциальности.

5. До начала обработки персональных данных подать в Роскомнадзор уведомление об обработке персональных данных (о том, как направить уведомление, см. письмо Роскомнадзора от 19 августа 2022 г. № 08-75348).

6. Уничтожить персональные данные по достижении цели их обработки либо при получении соответствующего требования Субъекта.

7. В случае изменения целей или порядка обработки персональных данных, своевременно уведомлять об этом Роскомнадзор путем подачи соответствующего уведомления. Уведомление об изменении персональных данных оператор обязан направить в течение 15 дней, о прекращения обработки персональных данных — в течение 10 дней.

До конца 2022 года вероятность привлечения к ответственности низкая, так как пока на плановые проверки Роскомнадзора наложен мораторий (внеплановые проверки есть), тем более на данный момент отсутствуют пояснения госорганов и практика по внесенным изменениям, следовательно, не на что ориентироваться. Но это не значит, что приводить в порядок свою документацию, соблюдать новые требования Закона, не надо.