Сколько документов по работе с персданными должен утвердить оператор
Операторами персональных данных (здесь и далее — персданных или ПД) теперь являются все работодатели практически без исключений, а также предприниматели и самозанятые, которые заключают с физлицами сделки и хранят их личные сведения. Каждый из операторов должен встать на учет в Роскомнадзоре и утвердить целый пакет документации, регламентирующей его работу с персданными. Отсутствие указанных документов влечет применение серьезных административных санкций, в том числе многомиллионные штрафы.
Содержание статьи
Коротко о требованиях к документации оператора
Операторы должны получать, обрабатывать и защищать личную информацию граждан в строгом соответствии с законом 152-ФЗ и утвержденной внутренней документацией.
До начала сбора и обработки личных сведений граждан оператору следует направить сообщение Роскомнадзору (уведомление утвержденной формы).
До подачи уведомления в РКН оператор должен разработать и утвердить необходимый комплект документации по работе с ПД.
Всего в нормативных актах поименовано более полусотни различных документов, касающихся работы с персданными.
Перечень конкретных документов по персданным зависит от целей сбора информации и специфики бизнес-процессов оператора.
Операторы несут гражданскую ответственность перед субъектами ПД (возмещают вред). Также к ним применяются административные и уголовные санкции за несоблюдение 152-ФЗ.
Примеры штрафов по ст. 13.11 КоАП:
• получение и обработка персданных при отсутствии согласия субъекта — штраф для компаний 300 000 – 700 000 ₽;
• отсутствие на веб-ресурсе компании политики по работе с персданными — штраф 30 000 - 60000 ₽.
Уведомления для Роскомнадзора
Начинать работать с личной информацией граждан оператор должен не ранее, чем уведомит Роскомнадзор о таких намерениях. Информирование осуществляется по строго установленной форме. Причем форма уведомления уже содержит поля, где оператору необходимо указать документы, которыми он будет руководствоваться при работе с персданными. Получается, оператору первым делом нужно не Роскомнадзор информировать, а утверждать внутренние документы по персданным.
Это важно: сначала нужно подготовить внутреннюю документацию по работе с личными данными и только потом направлять уведомление в РКН.
Уведомление о намерении осуществлять работу с персданными можно назвать первым сообщением в РКН, на основе которого регулятор вносит оператора в специальный реестр.
Если какие-либо сведения, из указанных в данном сообщении, с течением времени поменяются, нужно будет направить в Роскомнадзор соответствующую корректировку (тоже по утвержденной форме, срок — до середины следующего месяца). О прекращении работы с персданными также следует сообщить в РКН (срок — 10 дней).
Игнорирование указанной обязанности (равно как и нарушение сроков извещения РКН) наказывается штрафом в сумме 100 000–300 000 ₽. Причем штрафные санкции за данное нарушение одинаковые для юрлиц и ИП. Для физлиц суммы ниже — 5 000-10 000 ₽.
Помимо указанных уведомлений операторы обязаны незамедлительно сообщать в РКН о фактах компрометации персданных (24 часа) и результатах внутреннего расследования по данному происшествию (72 часа).
За «утаивание» информации об утечке ПД введен штраф 1 000 000-3 000 000 ₽ (для граждан 50 000-100 000 ₽). За сам факт компрометации персданных штрафы составляют от 3 000 000 000 ₽ до 15 000 000-20 000 000 ₽, при повторных происшествиях — до 3% выручки за год.
Внутренние документы по персданным
Все операторы обязаны иметь внутренние документы, руководствуясь которыми они будут получать и обрабатывать личные данные физлиц, а также обеспечивать их защиту и хранение. Такие документы нужно разработать и утвердить в точном соответствии с положениями закона 152-ФЗ.
Таких внутренних документов может быть более 50 наименований в зависимости от того, какие сведения и зачем собирает оператор данных. Обязательный минимум обычно выглядит следующим образом:
a) документ о правилах работы с личными данными собственных сотрудников (положение о ПД работников);
b) документ о принципах работы с личными данными клиентов, в том числе пользователей вебсайта (политика конфиденциальности);
c) документы, определяющие алгоритмы защиты информации и порядок действий в случае ее утечки (положение о защите ПД);
d) иные внутренние документы, касающиеся правил доступа к сведениям, хранения и уничтожения информации и т. д. (различные регламенты, порядки).
Помимо документов, определяющих общие принципы и правила, потребуются также конкретизирующие локальные акты, как то:
- приказы (об ограничении доступа к персданным, об определении ответственных лиц);
- инструкции (о назначении ответственных сотрудников, о правилах их ознакомления с требованиями 152-ФЗ);журналы учета;
- обязательства о неразглашении и прочее.
Также желательно заранее разработать типовые формы часто используемых документов. Пригодятся в работе шаблоны писем, запросов, ответов, актов и др.
Обязательно нужно утвердить форму согласия, которую дает субъект: а) на обработку его личной информации, б) на распространение полученных личных сведений.
Документы для интернет-ресурсов
Владельцы сайтов, онлайн-магазинов, соцсетей, приложений и других интернет-сервисов должны размещать в открытом доступе документы, в соответствии с которыми они осуществляют обработку персданных. То есть любой пользователь должен иметь возможность знакомиться с данной информацией.
Во-первых, каждый интернет-продавец должен «вывесить» о себе полную информацию, включая название/ФИО, ОГРН/ОГРНИП, телефон/мейл, адрес (см. правила продажи товаров, закон о рекламе).
Во-вторых, для онлайн-продаж необходима Оферта. Это условия владельца интернет-ресурса, на которых он заключает сделки с пользователями при продаже товаров и услуг (обучающие курсы, онлайн-кинотеатры и др.). Любой желающий должен иметь возможность до совершения покупки ознакомиться с содержанием оферты.
В-третьих, нужна Политика конфиденциальности. В этом документе владелец ресурса сообщает пользователям, какую информацию он собирает и зачем.
В-четвертых, потребуются согласия. Субъекты должны дать свое согласие как на получение и обработку личных сведений, так и на их передачу (распространение). Также нужно заручиться согласием клиента на получение рекламных материалов и рассылок. Молчание не может считаться согласием, а конкретное действие — может, например, проставление галочки в специальном чек-боксе при заполнении формы сбора ПД.
В-пятых, желательно уведомить пользователей о том, что производится сбор кукис (куки-файлов), так как суды часто приравнивают эту информацию к персданным.
Что касается пользовательского соглашения, то данный документ не считается обязательным, но является очень важным, так как регламентирует отношения пользователей с владельцем веб-ресурса (помогает решать конфликты и защищать права в спорных ситуациях). Иногда предприниматели включают в текст данного соглашения элементы других документов, например оферты или политики конфиденциальности.
Сколько документов нужно именно вам утвердить в компании или разместить на сайте, подскажут эксперты «Консалт-групп» в рамках предварительной консультации.
