Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что не указывают все информационные системы персональных данных или не могут предоставить договор с арендуемым дата-центром. Между тем, Роскомнадзор уделяет уведомлению большое внимание на проверках, сверяя описанный в нем порядок обработки персональных данных с фактическим.
Рассказывает:
Павел Новожилов,
руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»
Компания до начала обработки персональных данных (ПДн) обязана уведомить Роскомнадзор о своем намерении обрабатывать ПДн (кроме некоторых исключительных ситуаций). Это указано в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон № 152-ФЗ).
Если компания направит уведомление с ошибками, представители регулятора могут не отреагировать сразу на все несоответствия, заметив только наиболее грубые. Но когда в компании будет проверка, от внимания проверяющих не ускользнут даже мелкие ошибки. Обнаружив, что сведения в уведомлении не соответствуют фактическому порядку обработки ПДн, Роскомнадзор может выдать предписание об устранении нарушений, а в случае невыполнения этих требований в установленный срок и оштрафовать.
Форма для заполнения уведомления об обработке персональных данных
Что не стоит указывать в качестве правового основания для обработки ПДн?
Правовыми основаниями для обработки ПДн могут быть нормативные правовые акты:
- Гражданский и Трудовой кодексы,
- Федеральный закон «Об исполнительном производстве»,
- Приказы Минздравсоцразвития,
- положения и инструкции Банка России и т.д.
Кроме этого, к основаниям относятся учредительные документы оператора ПДн, договоры с субъектами ПДн и их согласия на обработку. О последних при заполнении уведомления часто забывают.
Многие указывают в качестве правового основания в уведомлениях и во внутренних документах сам Закон № 152-ФЗ. Это ошибка.
Как заполнить раздел об информационных системах персональных данных?
Для начала рекомендуем определиться с перечнем информационных систем персональных данных (ИСПДн). Ими могут быть, например, SAP HR, 1C ЗУП, Siebel и другие. Как правило, организации оформляют такой перечень документально.
Затем следует обратить внимание на группу ИСПДн. Как таковые группы нигде не определены, поэтому каждая компания самостоятельно принимает решение о группировке. На практике группировка выполняется по системам, имеющим схожую архитектуру и единую категорию обработки ПДн.
Хотя Закон № 152-ФЗ и допускает деление ИСПДн на группы, важно учитывать, что указываемые о них данные могут применяться не ко всем информационным системам. Приведем простой пример: трансграничная передача ПДн может осуществляться только в двух информационных системах из восьми, входящих в ИСПДн.
Что указать о месте размещения базы данных?
Не так давно появилось требование вносить в уведомление сведения о местонахождении базы данных ПДн граждан РФ (подп. 10.1 п. 3 ст. 22 Закона № 152-ФЗ). На практике это значит, что организация должна указать, какой использует центр обработки данных (ЦОД, дата-центр): собственный или арендованный.
Если организация арендует ЦОД, то нужно убедиться в наличии договора с арендованным дата-центром, так как в ходе проверки его придется предоставить специалистам Роскомнадзора. Информацией о размещении ЦОД обладают ИТ-специалисты.
Важно разобраться, где происходит первичный сбор ПДн россиян. При проверке представители Роскомнадзора будут обращать внимание на зарубежные дата-центры, указанные в уведомлении, и к этому стоит подготовиться заранее. Напомним, что за первичный сбор ПДн граждан РФ с использованием базы данных за пределами России компаниям грозят штрафы от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. за повторное (ч. 8 ст. 13.11 КоАП РФ).
На заметку
Если организация собирает ПДн граждан РФ с использованием базы данных действительно через иностранный ЦОД, то тогда будет штраф по ч. 8 ст. 13.11 КоАП РФ. Но бывает, что организации собирают ПДн на территории РФ, а потом выполняется их передача в информационные системы, размещенные в зарубежном ЦОД. То есть нарушения не будет, если актуализация данных и ввод осуществлялся в базах данных на территории РФ, так как дальнейшая передача в иностранные ЦОД не запрещена при соблюдении данного условия.
Как быть с трансграничной передачей ПДн?
В случае трансграничной передачи персональных данных при заполнении уведомления необходимо обратить внимание на два важных нюанса.
Во-первых, нужно убедиться в наличии договора с компанией, куда они передаются, поскольку он может понадобиться представителям Роскомнадзора во время проверки.
Во-вторых, следует проверить, какие именно страны в нем указаны. Дело в том, что в договоре могут быть прописаны как конкретные страны, так и указана их группа, объединенная по какому-либо признаку: СНГ, страны всего мира, страны Европы и т.д. Если в договоре используется общая формулировка, например, «страны Европы», то в уведомлении их необходимо перечислить. В противном случае проверяющие могут расценить это как нарушение и выписать организации соответствующее предписание.
Что указывать в описании мер и средств обеспечения безопасности?
Если смотреть раздел уведомления «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ», то тут указываются меры из постановлений Правительства от 06.07.2008 № 512, от 01.11.2012 № 1119, от 15.09.2008 № 687. Например, могут быть указаны следующие меры:
- в компании разработана модель угроз;
- определены уровни защищенности ПДн при их обработке в ИСПДн;
- определен перечень лиц, осуществляющих обработку ПДн неавтоматизированным и автоматизированным способами.
Если смотреть раздел «Описание мер, предусмотренных статьями 18.1. и 19 Закона № 152-ФЗ», то необходимо указать выполняемые оператором меры защиты, указанные в данных статьях. Например:
- назначено ответственное лицо за организацию обработки ПДн;
- в компании проводится оценка вреда субъектам ПДн;
- установлены правила доступа к ПДн.
В части подраздела «средства обеспечения безопасности» перечисляют подсистемы обеспечения защиты ПДн. Например, средства управления доступом, средства межсетевого экранирования, средства антивирусной защиты и др.
БЛИЦ-ОПРОС
Какую указывать дату начала обработки персональных данных в уведомлении? Если указать реальную дату, то есть позже начала работы, не будет ли это поводом для проверки Роскомнадзора из-за того, что компания не сразу подала уведомление?
— Как правило, указывается дата, с которой компания начала работать и, как следствие, обрабатывать ПДн. Если организация отправит уведомление гораздо позже, Роскомнадзор может сразу обратить на это внимание, расценить как несоответствие Закону № 152-ФЗ и выдать предписание о его устранении. В большинстве же случаев поводом для проверки становятся публикации об утечках в СМИ и обращения граждан, по которым выявлено нарушение.
Если компания обрабатывает cookies, то нужно ли указывать об этом в разделе «Другие категории персональных данных, не указанные в данном перечне»?
— Да, такую информацию необходимо указывать.
Что делать, если процесс обработки ПДн изменился после отправки уведомления?
Операторы персональных данных обязаны сообщать в Роскомнадзор обо всех изменениях, которые происходят после подачи уведомления (п. 7 ст. 22 Закона № 152-ФЗ). Для внесения изменений в ранее поданное уведомление я рекомендую выполнить следующее:
- зайти на сайт Роскомнадзора;
- заполнить обязательные поля информационного письма;
- заполнить поля информационного письма, в которые внесены изменения;
- после заполнения полей информационного письма отправить его в информационную систему Роскомнадзора;
- распечатать заполненную форму информационного письма и подписать внутри своей организации;
- направить по почте подписанную форму информационного письма в территориальный орган Роскомнадзора по месту регистрации организации.
Когда можно не подавать уведомление в Роскомнадзор?
Существует девять исключений, когда уведомление в Роскомнадзор можно не заполнять (п. 2 ст. 22 Закона № 152-ФЗ). Однако в большинстве случае воспользоваться ими и не отправлять уведомление в Роскомнадзор не получится.
- Компания обрабатывает ПДн только своего персонала. Но на практике компании зачастую обрабатывают персональные данные соискателей, посетителей, клиентов, пользователей личного кабинета, контрагентов и т.д. Поэтому большинству организаций это исключение не подойдет.
- Компания получает ПДн при заключении договора и использует их исключительно для его исполнения, а сами данные при этом не распространяются и не передаются третьим лицам без согласия субъекта. На деле выполнить эти условия не так просто. Ведь организация может передавать ПДн значительному количеству третьих лиц, а наличие согласий на такие действия не всегда отслеживает. ПДн могут обрабатываться и в целях, отличных от тех, что указаны в договоре, например, для рассылки в маркетинговых целях. В подобных случаях применить это исключение не получится.
- Общественные объединения и религиозные организации обрабатывают ПДн своих участников для достижения законных целей, предусмотренных в их учредительных документах. Здесь, как и в предыдущем примере, есть важное и вместе с тем трудновыполнимое условие: персональные данные не должны распространяться или раскрываться третьим лицам без письменного согласия субъектов. Так что и это исключение применимо не для каждой общественной или религиозной организации.
- Субъект сам сделал свои персональные данные общедоступными. Сложность здесь заключается в том, что наряду с общедоступными данными компании, как правило, обрабатывают и другие категории ПДн, в том числе специальные и биометрические. Поэтому практически для всех организаций это исключение не применимо.
- Персональные данные включают только ФИО. Как подсказывает опыт подготовки организаций к проверкам Роскомнадзора, зачастую компании обрабатывают гораздо больше сведений о гражданах, поэтому это исключение также не применимо в большинстве случаев.
- ПДн обрабатываются для однократного пропуска человека на территорию оператора. Здесь также есть подводные камни, ведь организации могут обрабатывать ПДн и в других целях, например, при подборе кадров, оказании материальной помощи персоналу и т. д.
- ПДн обрабатывают государственные информационные системы (ГИС), созданные для защиты безопасности государства и общественного порядка. Часть информационных систем действительно может иметь такой статус. При этом в организации могут быть и другие системы, для которых данное исключение не действует. Например, если в них обрабатываются персональные данные для внутренних целей: ПДн соискателей, контрагентов и т. д.
- Компания обрабатывает ПДн без использования средств автоматизации при их защите по всем нормативным требованиям. Однако сегодня сложно представить себе компании, которые могли бы обойтись без информационных систем для обработки ПДн.
- ПДн обрабатываются для обеспечения транспортной безопасности. Организации транспортного комплекса, например, ж/д или авиаперевозчики, как и компании из других отраслей, могут обрабатывать персональные данные в других целях, и в этом случае данное исключение для них будет не применимо.
Таким образом, практически всем операторам ПДн необходимо направлять уведомление в Роскомнадзор.
Статьи по теме
Ошибки в работе с персональными данными. За какие нарушения штрафует Роскомнадзор?
В 2017 году в КоАП РФ внесли поправки, ужесточающие административную ответственность за нарушения законодательства в области персональных данных. В результате...
Юридический аудит сайта: что проверить в первую очередь?
Провести аудит сайта и оценить юридические риски – комплексная задача. Есть некоторые общие требования для всех сайтов и есть индивидуальные...
Компания собирает данные пользователей через сайт: как это оформить?
За последний год существенный сегмент рынка перешел в онлайн. В результате компании начали гораздо активнее работать с персональными данными своих...
Ошибки в кадастровой стоимости: как их выявить и исправить?
Какие действия может предпринять собственник, если он обнаружил ошибку в кадастровой стоимости своего объекта недвижимости? Куда нужно обратиться для ее...