Персональные данные – личные сведения о физических лицах, которые могут быть получены в самых разных ситуациях. Эта информация находится под защитой закона, поэтому те, кто имеет к ней доступ, должны подавать уведомление об обработке персональных данных в Роскомнадзор.
До сентября 2022 года работодатели подпадали под исключение, то есть могли собирать, хранить и обрабатывать персональные данные своих работников без подачи такого уведомления. Но сейчас это исключение не действует, поэтому круг операторов ПД существенно увеличился.
Если вы никогда не подавали уведомление об обработке данных, но при этом нанимаете работников, или раньше указывали в уведомлении другие цели (кроме кадровых), стоит разобраться в этом вопросе. Ведь за нарушения при обработке ПД грозят немалые штрафы.
Какие данные относятся к персональным
Основной нормативный акт, который регулирует работу с персональными данными, это закон № 152-ФЗ от 27.07.2006. Но проблема в том, что этот документ не содержит полного перечня ПД, да и само понятие нельзя назвать однозначным.
Вот что написано в статье 3 закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
Есть также Указ Президента РФ от 06.03.1997 № 188, где персональными данными называют «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».
Кроме того, существуют Методические рекомендации Роскомнадзора (приказ от 30.05.2017 № 94), в котором перечислены некоторые персональные данные. К ним совершенно точно относятся:
- ФИО человека;
- полная дата и место рождения;
- адрес жительства;
- семейное, социальное и имущественное положение;
- образование, профессия, доходы.
По логике сюда же стоит добавить другие сведения, которые позволяют идентифицировать человека: номера телефонов, email, аккаунты в социальных сетях и мессенджерах, данные паспорта, номер СНИЛС, биометрия и др.
Отдельно стоит сказать про номер ИНН, по которому можно получить много другой информации о человеке. Это уникальный набор цифр, который присваивается один раз в течение жизни. По своей сути ИНН тоже должен относится к персональным данным, потому что позволяет однозначно идентифицировать физическое лицо.
При этом есть письма Минфина (от 28.01.2020 № 03-01-11/4925, от 12.02.2020 № 03-01-11/9505 и другие), в которых ведомство указывает, что ИНН применяется только для учёта налогоплательщиков и не может признаваться персональными данными.
Можно спорить, так это или нет, но надо знать, что мнения разных госорганов не всегда совпадают, а судебная практика по одной и той же ситуации бывает противоречивой. С учётом этого стоит всё-таки относить ИНН к персональным данным.
В некоторых случаях имеет значение сочетание ПД. Так, просто email или телефонный номер не поможет точно определить человека, для этого нужно знать его имя или другие данные. Если у вас есть сомнения по поводу того, относятся ли полученные вами данные к персональным, лучше задать этот вопрос в Роскомнадзор.
Действия с персональными данными
Персональные данные физлиц запрашиваются не из праздного любопытства. Так, если говорить о работниках, то статья 65 ТК РФ обязывает при приёме на работу предъявлять определённые документы (паспорт, трудовая книжка, СНИЛС, диплом и др.).
При подписании договора стороны указывают не только реквизиты компании, но и свои персональные данные, например, полное имя директора. Без этого договор не имеет юридической силы. Личные сведения о себе оставляет клиент или покупатель при заказе, а пользователь личного кабинета – при регистрации на сайте.
Таким образом, получение персональных данных – необходимое и обязательное условие многих гражданско-правовых и хозяйственных действий.
Субъекты, которые получают эти сведения, признаются операторами ПД. В отношении полученной информации они могут осуществлять разные действия: собирать, записывать, накапливать, хранить, использовать, передавать, анализировать, блокировать, уничтожать.
Очень важно не допускать при этом утечки персональных данных, потому что они могут использоваться третьими лицами в неблаговидных и даже преступных целях. Для полноценного контроля все операторы обязаны подавать уведомление об обработке персональных данных в Роскомнадзор. Только после этого действия с ПД могут признаваться легитимными.
Операторы персональных данных
Итак, мы выяснили, что ситуаций, при которых производятся действия с персональными данными, множество. И если говорить о бизнесе, то очень трудно найти такого субъекта, который в процессе деятельности в них не оказывался.
Ведь даже когда предпринимательская деятельность ведётся без работников, ПД поступают от покупателей и клиентов, посетителей сайта, при заключении сделок, продаже товаров, оказании услуг, выполнении работ. Сбор и хранение базы контактов потенциальных потребителей тоже сюда относится.
Чтобы не было никаких разночтений, законодатели перечислили в п. 2 статьи 22 закона № 152-ФЗ ситуации, при которых персональные данные можно обрабатывать без подачи уведомления:
- сведения используются органами защиты безопасности государства и общественного порядка;
- информация обрабатывается в целях безопасности объектов транспортного комплекса и транспорта;
- данные обрабатываются без использования средств автоматизации, то есть только на бумаге.
Все остальные ситуации из этого перечня исключили с 1 сентября 2022 года. Это, как мы уже говорили, обработка ПД в рамках трудового законодательства, а также:
- получение информации только для исполнения договора, заключённого с субъектом персональных данных;
- оформление разового пропуска для прохода на охраняемую территорию;
- распространение личной информации с согласия самого субъекта;
- обработка данных, включающих только имя, отчество, фамилию человека;
- обработка данных участников общественных объединений и религиозных организаций.
С учётом всего сказанного к операторам ПД, обязанным подать уведомление, относятся государственные и муниципальные органы, организации, физические лица, производящие с персональными данными любые действия. Немногочисленные исключения приводятся в п. 2 статьи 22 закона № 152-ФЗ.
Если при обработке ПД допущены нарушения, оператора могут наказать по статье 13.11 КоАП РФ (штраф до 75 тысяч рублей). Отдельная санкция предусмотрена за хранение данных граждан РФ за пределами России: 6 млн рублей и до 12 млн рублей, если нарушение повторное. Отсутствие самого уведомления о начале обработке ПД наказывается по статье 19.7 КоАП РФ (штраф до 5 000 рублей).
Как подать уведомление
А теперь о том, как заполнить и подать уведомление об обработке ПД. Для этого надо перейти на сайт Роскомнадзора.
Как видим, есть несколько способов подготовки и подачи уведомления:
- на бумаге;
- с использованием электронной цифровой подписи;
- через портал Госуслуг.
Мы рассмотрим первый способ, то есть подготовим уведомление, которое потом надо распечатать и направить в территориальное подразделение РКН лично, почтой или курьером.
Верхняя часть уведомления заполняется довольно просто, надо ввести стандартные реквизиты заявителя (выбрав сначала тип оператора).
Дальше стоит воспользоваться всплывающими подсказками, потому что не все термины могут быть понятными. Например, вот что понимается под правовыми основаниями обработки ПД.
Приведём примерные формулировки по разделам.
- Правовое основание обработки персональных данных: политика обработки ПД, устав организации, публичная оферта, договоры с контрагентами, согласие на получение рассылок, нормативно-правовые акты с реквизитами (указывайте законы, постановления, приказы, имеющие отношение к вашей ситуации).
- Цель обработки персональных данных: регистрация пользователей в личном кабинете, техподдержка пользователей, работа онлайн-сервисов, обработка обращений и звонков потребителей, сбор и составление статистики заказов, заключение и исполнение договоров, взаимодействие с контрагентами, выполнение определённых работ, исполнение требований ТК РФ, публикация личных данных работников, осуществление управленческих и кадровых решений, оформление социальных льгот, организация командировок.
- Описание мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ: используйте формулировки из самого закона, но с учётом своей ситуации. Например, для организации можно указать: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных».
- Перечень действий с персональными данными: выбирайте формулировки из закона № 152-ФЗ, такие как, накопление, запись, хранение, уточнение, использование, передача удаление, уничтожение. В полях ниже выберите способы обработки данных. Например, смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
- Категории персональных данных. Сначала приводится стандартный перечень, в котором надо проставить галочки в отношении тех сведений, которые вы будете обрабатывать. Но часто этих категорий недостаточно, поэтому в поле ниже надо вписать недостающие. Так, в отношении работников дополнительно обрабатываются: паспортные данные, СНИЛС, место проживания, номер телефона, email, сведения о стаже, о составе семьи, реквизиты банковского счёта для выплаты зарплаты и др.
- Категории субъектов, ПД которых обрабатываются. Это могут быть: работники и члены их семей, покупатели и клиенты, контактные лица деловых партнеров, пользователи сервисов и сайтов.
Если затрудняетесь с формулировками, обратитесь за поддержкой к сотрудникам территориального отделения Роскомнадзора. Можно также найти в реестре операторов схожую по виду деятельности компанию и воспользоваться её описаниями в качестве примера.
Как дополнить уведомление новыми основаниями
Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).
В таком случае новое уведомление подавать не требуется, но необходимо дополнить уже поданное. Для этого сайт Роскомнадзора разработал специальную форму информационного письма.
Но предварительно стоит проверить, внесены ли вы в реестр операторов, а также какие основания обработки персональных данных вы уже указывали. Поиск проводится по ИНН, названию компании или регистрационному номеру в реестре.
Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.
Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.
Ведомство сообщает, что предельный срок подачи уведомления персональных данных не определён. Но при этом стоит помнить, что если вы обрабатываете новые ПД или категории субъектов без уведомления, можно получить административный штраф. Так что лучше сделать это как можно раньше.
Мы не гарантируем бесплатных ответов по сложным кейсам.