Как будет выглядеть электронная коммерция в 2021 г.?

По российским законам любая компания, работающая с личными данными своих пользователей в России, становится оператором ПДн, хочет она того или нет. Это накладывает на нее ряд формальных и процедурных обязательств, которые не каждый бизнес может или хочет нести самостоятельно.

Как показывает практика – совершенно правильно не хочет, потому что эта область знаний еще настолько новая и не обкатанная на практике, что сложности и вопросы возникают даже у профессионалов. Сегодня мы расскажем о том, как реализовывали проект под хранение персональных данных для нашего заказчика и с какими неочевидными сложностями столкнулись.

Изменения в Федеральный закон от 27. 2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30. 2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

В этой статье рассмотрим следующие вопросы:

• Что изменилось в обработке персональных данных с 1 марта
• Требования к обработке персональных данных
• За что и на какие суммы штрафуют в 2021 году
• Что делать владельцу сайта, чтобы избежать штрафов
• Конфиденциальность персональных данных: когда ее не нужно обеспечивать
• Когда не нужно получать согласие на обработку персональных данных
• Что такое портал персональных данных
• Как еще планируют ужесточить обработку персональных данных

Что нужно сделать перед тем, как начать собирать персональные данные

Нельзя просто начать собирать телефонные номера, имейлы, имена или даты рождения клиентов. Сначала нужно подготовить необходимые документы, уведомить Роскомнадзор о том, что вы будете хранить персональные данные, и назначить ответственных.

Что нужно сделать:

Шаг 1. Подготовьте документы. В законе нет конкретного перечня необходимых документов. Компании и ИП могут сами решать, как именно оформлять положения и приказы — главное, чтобы этих документов было достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона 152-ФЗ).

Обычно компании готовят документы:

● Политику обработки и защиты персональных данных. Это обязательный документ. Он может называться по-разному: политика конфиденциальности, политика защиты персональных данных или как-то ещё. Главное, чтобы в нём было указано, какие именно данные вы храните, в каких целях их собираете и как обеспечивает конфиденциальность.

Политику нужно разместить в открытом доступе, чтобы клиенты могли её прочитать. Обычно ссылку добавляют в формы регистрации и согласия на обработку данных, а также размещают в подвале сайта.

Как составить документ, читайте в рекомендациях Роскомнадзора. Также вы можете изучить политики других компаний — и на их основе составить свою. Например, политика обработки и защиты персональных данных компании «Эвотор», политика конфиденциальности Ozon, политика обработки персональных данных интернет-магазина Tasty Coffee.

● Положение о работе с персональными данными. Это правила, по которым ваши сотрудники будут хранить, обрабатывать и использовать информацию. Правила должны соответствовать закону 152-ФЗ. Документ можно объединить с политикой обработки персональных данных.

● Положение о неразглашении персональных данных. Этот документ должны подписать сотрудники. Таким образом все, кто будет иметь доступ к персональным данным, подтвердят, что не станут передавать информацию третьим лицам.

● Приказы и инструкции для ответственных сотрудников. В документах указывают, у кого есть доступ к информации, где хранятся данные и как с ними работать.

● Соглашение на обработку персональных данных. Это документ для клиентов. Например, соглашение на сайте «Летуаль». Можно не составлять отдельный документ, а условия согласия прописать в политике конфиденциальности. Как получить согласие на обработку данных, мы расскажем ниже.

Также компании используют и другие документы: список документов, которые могут понадобиться. Не обязательно готовить все 34, но чем яснее будут прописаны обязательства и правила работы с персональными данными, тем меньше вопросов возникнет у Роскомнадзора.

Шаг 2. Подайте уведомление в Роскомнадзор. В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами: распечатать уведомление и отправить в региональное управление Роскомнадзора, заполнить форму на сайте и подписать электронной подписью или подать через Госуслуги.

В течение 30 дней Роскомнадзор внесёт вас в реестр операторов персональных данных.

Если вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор.

Шаг 3. Для организаций — назначьте ответственных. Решите, кто в компании будет заниматься персональными данными и выпустите приказ. Например, техническим обслуживанием и защитой процесса обработки займётся системный администратор. Доработкой документов, например, если вы добавите в форму новое поле, — юрист. НR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами.

Готово! Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах.

Для тех, кто с Эвотором

Покупайте приложения для Эвотора со скидкой 50%. Вас ждут сервисы для товарного учёта, маркировки, ЕГАИС, управления кафе, интеграции с 1С — и много чего ещё.

Узнать об акции

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

• ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
• срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными;
• включают только ФИО субъектов ПД;
• нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Ход работ

Первично согласование работ было произведено в июне 2019 года, что можно считать датой начала проекта. Все работы должны быть производиться на «живом» окружении с тысячами запросов в день. Естественно, требовалось выполнить проект, не прерывая штатный режим работы обеих систем.

Поэтому был составлен и согласован четкий план действий, разделенный на 4 этапа:

• подготовка,
• миграция,
• тестирование и проверка в реальных условиях,
• включение систем мониторинга и ограничения доступа.

На всякий случай мы предусмотрели процедуру восстановления в случае непредвиденной ситуации (DRP). По первоначальному плану работы не занимали много времени и ресурсов и должны были завершиться в июле 2019. Каждый из этапов предусматривал в конце полное тестирование сетевой доступности и функциональности систем.

Самым сложным этапом, в котором могло «что-то пойти не так», была миграция. Изначально мы планировали проводить миграцию путем переноса виртуальных машин целиком. Это был самый логичный вариант, поскольку он не требовал вовлечения дополнительных ресурсов для переконфигурирования. Казалось бы, что может быть проще vMotion.

Что такое портал персональных данных

Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.

Подытожим

Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи. За нарушение закона о персональных данных грозят штрафы.

Получайте раз в неделю подборку лучших статей Жизы

Рассказываем истории из жизни бизнесменов, следим за льготами для бизнеса и
даём знать, если что-то срочно пора сделать.

Нежданно-негаданно

Однако, как обычно бывает на проектах в относительно новой области, случилось то, чего не ждали.

Поскольку каждая виртуальная машина занимает 500 — 1 000 ГБ, копирование таких объемов даже в рамках одного дата-центра заняло около 3-4 часов на каждую машину. Как итог, мы не уложились в отведенное временное окно. Это произошло по причине физических ограничений дисковой подсистемы при переносе данных в vCloud.

Баг используемой версии vCloud не позволил организовать Storage vMotion в отношении виртуальной машины с разными типами дисков, поэтому диски пришлось менять. В результате перенести виртуальные машины получилось, но это заняло больше времени, чем планировалось.

Второй момент, который мы не предусмотрели, — ограничения по перемещению кластера БД (Failover Cluster MS SQLServer). В результате пришлось перевести кластер в работу с одним узлом и оставить его за рамками защищенной зоны.

Примечательно: по до сих пор непонятной причине в результате переноса виртуальных машин рассыпался кластер приложений, и его пришлось собирать заново.

В результате первой попытки мы получили неудовлетворительное состояние систем и вынуждены были заново браться за планирование и проработку вариантов.

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24. 2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб. , а за повторное — от 100 000 до 300 000 руб.

Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

ОснованиеРазмер штрафа

Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД
Для физлиц: штраф — от 2 000 до 6 000 руб. Для должностных лиц: штраф — от 10 000 до 20 000 руб. Для юрлиц: штраф — от 60 000 до 100 000 руб. При повторном нарушении Для физлиц: от 4 000 до 12 000 руб. ;Для должностных лиц: от 20 000 до 50 000 руб. ;Для ИП: от 50 000 до 100 000 руб. ;Для юрлиц: от 100 000 до 300 000 руб. Обработка ПД без письменного согласия субъекта 
Для физлиц: от 6 000 до 10 000 руб. Для должностных лиц: от 20 000 до 40 000 руб. Для юрлиц: от 30 000 до 150 000 руб. При повторном нарушении Для граждан: от 10 000 до 20 000 руб. ;Для должностных лиц: от 40 000 до 100 000 руб. ;Для ИП: от 100 000 до 300 000 руб. ;Для юрлиц: от 300 000 до 500 000 руб. Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД
Для физлиц: 1 500 до 3 000 руб. Для должностных лиц: от 6 000 до 12 000 руб. Для юрлиц: от 30 000 до 60 000 руб. Для ИП: от 10 000 до 20 000 руб. Непредоставление субъекту ПД информации по их обработке
Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб. Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб. Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)
Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб. Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб. При повторном нарушенииДля граждан: от 20 000 до 30 000 руб. Для должностных лиц: от 30 000 до 50 000 руб. Для ИП: от 50 000 до 100 000 руб. Для юрлиц: от 300 000 до 500 000 руб. Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования
Для физлиц: от 1 500 до 4 000 руб. Для должностных лиц: от 8 000 до 20 000 руб. Для юрлиц: от 50 000 до 100 000 руб. Для ИП: от 20 000 до 40 000 руб. Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД
Для должностных лиц: предупреждение или наложение административного штрафа — от 6 000 до 12 000 руб.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?

Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф

Если у вас интернет-магазин, блог с комментариями или имейл-рассылка, вы подпадаете под закон о хранении персональных данных. Вам нужно отчитываться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. Если этого не сделать, придётся заплатить штраф.

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих. Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18. 1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

Пример заполнения поля «Описание мер, предусмотренных статьями 18. 1 и 19 Федерального закона «О персональных данных»

Назначено лицо, ответственное за организацию обработки персональных данных. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных. Для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства. На сайте www. example. ru опубликована политика в отношении обработки персональных данных. Для информационной системы персональных данных разработано техническое задание на создание системы защиты информации и эскизный проект системы защиты информации, предусматривающий выполнение определенных законодательством мер для информационной системы третьего уровня защищенности, а также мер, направленных на нейтрализацию угроз, определенных как актуальные в модели угроз безопасности. Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности. Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации). В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Пожбезопасность: что делать, чтобы не оштрафовали

Предприниматель персонально отвечает за пожарную безопасность в компании. Если приедет проверка и найдёт нарушения, к собственнику придут с вопросами и могут оштрафовать на сумму до 400 000 ₽. Рассказываем, что нужно делать, чтобы избежать претензий пожнадзора.

Как продавать товары онлайн и не нарушить права потребителей

Когда покупатель делает заказ через интернет, он не видит товар вживую. А закрыться интернет-магазин может за минуту, в отличие от обычного. Из-за этих особенностей для розничных онлайн-продавцов есть специальные правила.

Кассовая книга: кому нужна и как вести

Если предприниматель работает с наличкой, он должен вести кассовую книгу. Разбираемся, в каких случаях кассовая книга точно нужна и как правильно её заполнять.

Семь сервисов для проверки подрядчика

Новый заказчик с чертовски привлекательным предложением может оказаться мошенником или фирмой-однодневкой. Вот шесть сервисов, которые позволят вам понять, кто перед вами.

СОУТ: выбрали компанию-оценщика, что дальше

Выбрать подходящего оценщика — только полдела. Вам нужно организовать работу экспертов, а после оценки — забрать отчёт и заполнить декларацию соответствия. Показываем по шагам.

Что предпринимателю надо знать про СОУТ

По закону работодатели обязаны проводить оценку условий труда. Они не знают, что с этим делать, и боятся штрафов. Наш налоговый консультант успокоила: всё не так страшно.

Уголок потребителя: нужен или нет

Часто мошенники звонят, пугают проверками Роспотребнадзора и предлагают купить стенд для уголка потребителя. Мы разобрались, какой должен быть уголок потребителя и нужен ли он вообще.

Электронные трудовые книжки: когда и как нужно перейти

До 30 июня 2020 года каждый работодатель должен рассказать сотрудникам о новых правилах ведения трудовых книжек. А с 1 января 2021 года новые правила начнут работать. Мы разобрались, что нужно сделать уже сейчас.

Анкета Росстата: всем ИП придётся отчитаться

Предпринимателя могут оштрафовать на 10 000 ₽, если он вовремя не заполнит анкету для Росстата. В 2020 году её заполняют не все, а только те, кто попал в выборку. Разобрались, кому нужно отчитаться перед Росстатом, и как это сделать.

Как ИП подключиться к ЕГАИС

Чтобы торговарть алкоголем, предприниматель должен подключиться к ЕГАИС — государственной базе данных. В статье рассказываем, как это сделать.

Как законно провести конкурс среди покупателей

Предприниматели проводят конкурсы и акции ради повышения продаж и узнаваемости производителя. Но если сделать это неправильно, то можно попасть на штраф. Рассказываем, как провести акцию или конкурс и ничего не нарушить.

Как Роструд проверяет работодателей

По правилам Роструда инспектор может прийти на плановую и внеплановую проверку. Мы разобрались, кого и почему проверяют, и рассказываем, как подготовиться к проверке.

Как законно рекламировать алкоголь: четыре способа

В законе о рекламе десятки запретов для продвижения алкоголя и штрафы до 500 000 ₽. Рассказываем, как можно и нельзя рекламировать алкоголь, и даём четыре законных способа обойти запреты.

Как опубликовать вакансию и не получить штраф

Желание дать людям работу может довести до суда. Указал в объявлении, что нужен водитель со своим автомобилем — штраф. Не сообщил государству про вакансию — снова штраф. Рассказываем, за что ещё могут оштрафовать работодателя.

Что будет за работу без ИП

Тех, кто печёт торты, шьёт одежду или делает маникюр на дому и не платит налоги, могут оштрафовать и заставить заплатить налоги. Рассказываем, кого могут обвинить в незаконном предпринимательстве и как вычисляют нарушителей.

Размер штрафа за нарушение охраны труда

Два года назад штрафы за нарушение норм охраны труда были небольшими, поэтому бизнесмены предпочитали платить, а не возиться с документами. Но всё изменилось.

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30. 2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

• ФИО;
• контактные данные;
• перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Конфиденциальность персональных данных

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Как собирать данные, чтобы не попасть на штраф

Главное правило: пока клиент не согласится на обработку данных, собирать информацию о нём нельзя (ст. 9 закона 152-ФЗ). Даже если человек сам выложил свой номер телефона или имейл на странице в соцсетях, использовать такие данные без разрешения запрещено (ст. 1 закона 152-ФЗ).

Получить согласие можно в любой форме, но важно, чтобы клиент мог ознакомиться с политикой конфиденциальности до того, как отправит вам свои данные.

Проще всего сразу указать, в каком случае клиент подтверждает согласие на обработку персональных данных.

Клиент подтверждает согласие на обработку данных, когда подписывается на рассылку. Ничего дополнительно нажимать не нужно

Если вы собираете персональные данные клиентов на точке, например, когда выдаёте бонусные карты, вам тоже нужно получать разрешения. Распечатайте условия, чтобы клиенты могли поставить подпись и подтвердить согласие.

Собирать можно только те данные, на обработку которых вы получили разрешение. Например, в политике конфиденциальности компании написано, что она собирает только имена, телефоны и имейлы. Если компания попросит клиента указать адрес, должность или паспортные данные, это будет нарушением закона.

Как Роскомнадзор проверяет хранение персональных данных

Роскомнадзор присваивает всем компаниям уровни риска и в соответствии с уровнем определяет тип и график проверок.

Уровень рискаТип проверкиПериодичность проверок
ВысокийИнспекционный визит или выездная проверкаРаз в два года
ЗначительныйИнспекционный визит или выездная проверкаРаз в три года
СреднийИнспекционный визит, документарная проверка или выездная проверкаРаз в четыре года
УмеренныйДокументарная проверка или выездная проверка Раз в шесть лет
НизкийНе проверяют—

Оценка риска — сложный параметр. Его рассчитывают, исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина и передаёт их на территорию иностранного государства — это самая тяжёлая группа. Если компания к тому же уже нарушала закон о персональных данных в течение последних двух лет, она попадёт в первую группу вероятности. Такой компании присвоят высокий уровень риска, а значит, проверять её будут чаще.

Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей, до тысячи человек, и раньше не нарушала закон.

Чтобы сориентироваться, к какой группе риска вас может отнести Роскомнадзор, изучите критерии в самом конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

План проверок Роскомнадзора

Нюансы

Я храню и обрабатываю cookie-файлы. Я оператор персональных данных?

В законе нет ясного перечня персональных данных, но позиция Роскомнадзора и судов такова, что cookie также относят к персональным данным. Поэтому зарегистрируйтесь в качестве оператора и добавьте на сайт сообщение, в котором спросите согласия пользователей на хранение cookie.

Я собираю геоданные пользователей. Я оператор персональных данных?

Геоданные относятся к персональным данным, когда они в «связке». Если вы не приписываете к ним имя или номер телефона, закон может обойти вас стороной. Но так как точного определения персональных данных нет, лучше перестраховаться и уточнить у Роскомнадзора, что делать в вашей ситуации.

Сервера с данными находятся за границей. Мне подавать уведомление? Переносить ли данные на российские сервера?

Персональные данные должны храниться на серверах, расположенных на территории России. Подать уведомление в Роскомнадзор тоже нужно. Есть лишь несколько исключений: они касаются международных договоров России, органов власти, научной, творческой или профессиональной деятельности журналиста и СМИ. В остальных случаях базы данных должны храниться в России.

Как мы помогали защитить данные по 152-ФЗ

В начале 2019 года к нам обратилась компания ООО «Смарт-Сервис», разработчик платформы для управления сервисным обслуживанием HubEx и приложения для обмена контактами myQRcards.

Первое решение позволяет автоматизировать процесс обслуживания оборудования в самых разных областях – от настройки кофемашин и кондиционеров в офисных помещениях до ремонта газовых турбин. Второе – онлайн-конструктор для создания электронных визитных карточек на базе QR-кодов.

Онлайн-визитка myQRcards.

Обе системы хранят и обрабатывают данные пользователей, подпадающие под классификацию «персональных» в соответствии с 152-ФЗ. В этом случае закон диктует ряд ограничений к системам хранения таких персональных данных для того, чтобы обеспечить требуемый уровень их защищенности и исключить риск несанкционированного доступа с целью хищения или неправомерного использования.

Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн. Поэтому сервисы и данные, которыми делились их пользователи, «переехали» в Linxdatacenter. «Смарт-Сервис» перенес серверные мощности рабочего окружения в отдельную защищенную сетевую зону нашего дата-центра, аттестованную в соответствии с заявленными в 152-ФЗ требованиями – так называемое «Защищенное облако».

КАК УСТРОЕНО ЗАЩИЩЕННОЕ ОБЛАКО

Любая информационная система, обрабатывающая персональные данные, должна удовлетворять трем основным требованиям:

• доступ к серверам хранения и обработки данных должен производиться через VPN-канал с шифрованием согласно ГОСТ;
• серверы хранения и обработки данных должны находиться под постоянным мониторингом антивирусной защитой на отсутствие уязвимостей;
• СХД должен быть расположен в изолированных сетях.

Мы размещаем серверные мощности заказчика в отдельных зонах, удовлетворяющих требованиям 152-ФЗ, и помогаем получить заключение о соответствии.

Архитектура защищенной виртуальной инфраструктуры для ООО «Смарт Сервис».

Как еще планируют ужесточить обработку персональных данных

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам:

• использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
• помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
• деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

Пять базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Не пропустите новые

публикации

За нарушение закона о персональных данных грозят штрафы (ст. 11 КоАП).

За что можно получить штраф:

● Данные собраны и хранятся без согласия пользователей: штрафы для физлиц 6000–10 000 ₽, для должностных лиц — 20 000–40 000 ₽, для организаций — 30 000–150 000 ₽.

● Данные собраны не с той целью, которая была заявлена: штрафы для физлиц 2000–6000 ₽, для должностных лиц — 10 000–20 000, для организаций — 60 000–100 000 ₽.

● Политики обработки данных нет в публичном доступе: штрафы для физлиц 1500–3000 ₽, для должностных лиц — 6000–12 000 ₽, для ИП — 10 000–20 000 ₽, для юрлиц — 30 000–60 000 ₽.

● Клиентам не предоставили информацию о том, какие их данные и как обрабатываются: штраф для физлиц 2000–4000 ₽, для должностных лиц — 8000–12 000 ₽, ИП — 20 000–30 000 ₽, юрлиц — 40 000–80 000 ₽.

● Из-за неправильного хранения данных произошла утечка: штраф для физлиц 1500–3000 ₽, должностных лиц — 8000–20 000 ₽, ИП — 20 000–40 000 ₽, юрлиц — 50 000–100 000 ₽. В 2022 году штрафы планируют повысить и взимать не фиксированную сумму, а процент от оборота компании. В таком случае для крупных компаний с большим годовым оборотом штрафы могут увеличиться в миллионы раз.

● Клиент попросил изменить или удалить его данные, потому что они неточные или получены незаконным путём, а компания этого не сделала (ст. 21 закона 152-ФЗ): штраф для граждан 2000–4000 ₽, для должностных лиц — 8000–20 000 ₽, для ИП 20 000–40 000 ₽, для юрлиц — 50 000–90 000 ₽.

Если вовремя не подать уведомление в Роскомнадзор, тоже будет штраф: для граждан — до 300 ₽, для должностных лиц — до 500 ₽, для юрлиц — до 5000 ₽.

В 2022 году штраф за утечку персональных данных планируют повысить. Размер штрафа будет зависеть от оборота компании. Сколько именно придётся платить, пока неизвестно — вопрос ещё обсуждается. Сначала речь шла о штрафе в размере 1% от годового оборота и 3% — если компания своевременно не сообщила об утечке Роскомнадзору. Но позже Минцифры решило уменьшить штраф и не наказывать за первую утечку.

Когда не нужно получать согласие на обработку персональных данных

Согласно п. 2-11 ч. 1 ст. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

• осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
• осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
• осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
• необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
• необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
• осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
• осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Что называют персональными данными

Данные — это любая информация о человеке и его деятельности:

— фамилия, имя, отчество;
— дата рождения;
— телефон;
— адрес;
— электронная почта;
— ссылки на социальные сети;
— место работы;
— должность.

Точного определения, что считать персональными данными, нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: чаще всего персональные данные — это информация в связке. Например, имя, телефон или электронная почта по отдельности — простая информация. А если взять имя и телефон вместе, эта информация станет персональной:

— Ульяна, 8 (100) 000-00-01;
— Иван, 10. 1990, визажист;
— Наталья, главный бухгалтер, ООО «Берёзка».

Всё это — информация в связках, её Роскомнадзором точно посчитает персональными данными.

У интернет-магазина есть имейл-рассылка. Покупатели оставляют свои данные — имена и имейлы — и раз в неделю получают письма о скидках и акциях. Интернет-магазин хранит персональные данные и должен отчитываться перед Роскомнадзором.

Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.

Попытка №2

Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.

В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.

Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07. 2017 № 13-ФЗ внес поправки в ст. 11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27. 2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

• организующие и (или) осуществляющие обработку ПД;
• определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

• ФИО
• дата рождения
• адрес
• телефон
• электронный адрес
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Результативный исход и полезный урок

В итоге, совместными усилиями вместе с заказчиком удалось внести значительные изменения в существующую серверную инфраструктуру, что позволило повысить надежность и защищенность хранения ПДн, существенно снизить риски несанкционированного доступа к ним, получить аттестат выполнения требований к хранению — достижение, к которому пришли еще далеко не все разработчики аналогичного ПО.

В сухом остатке комплекс работ по проекту выглядел так:

• Организована выделенная подсеть;
• Суммарно мигрировано два кластера, состоящих из пяти виртуальных машин: Failover кластер баз данных (две виртуальные машины), Service Fabric кластер приложений (три виртуальные машины);
• Произведены настройки систем защиты и шифрования данных.

Выглядит вроде бы все понятно и логично. На практике же все оказывается немного сложнее. Мы еще раз убедились, что при работе с каждой отдельной задачей такого плана требуется высочайший уровень внимания к «мелочам», которые на поверку оказываются никакими не мелочами, а определяющими факторами успеха всего проекта.