Риски при работе с персональными данными и способы их избежать. Часть 2

В предыдущей статье мы рассмотрели основы правового регулирования обработки персональных данных, категории персональных данных и уровни защищенности. Сегодня обратимся к практическим аспектам работы с персональными данными – узнаем, какие требования необходимо выполнить, чтобы избежать ответственности за нарушения, как правильно получить от субъекта согласие на обработку персональных данных, разработать необходимые локальные акты. Кроме того, рассмотрим возможности аутсорсинга обработки персональных данных в соответствии с действующим законодательством.

Основные требования к организации работы с персональными данными

Когда категория обрабатываемых персональных данных и требуемый уровень защищенности определены, нужно составить пошаговый план реализации управленческих действий, которые обеспечат законность при работе с персональными данными.

  • Первое, что необходимо сделать до начала сбора персональных данных, – определить объем данных, достаточный для целей, с которыми вы собираете персональные данные. Если стартап ведет рассылку информации по электронной почте или создает личный кабинет пользователя на сайте интернет-магазина, нельзя запрашивать избыточную информацию, например паспортные данные. Иначе это будет нарушением статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ, которая определяет принципы обработки персональных данных. Из нее следует, что допускается сбор только тех персональных данных, которые отвечают целям сбора, а обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки. За обработку персональных данных, несовместимую с целями обработки, ч. 1 ст. 13.11 КоАП РФ установлены административные штрафы.
  • Необходимо подготовить и разместить на сайте документ, который будет определять политику оператора в отношении обработки персональных данных (требование п. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Этот документ следует разрабатывать отдельно для каждой компании, поскольку объем данных и цели сбора, описанные в нем, должны отвечать особенностям именно вашей работы.
    Кроме того, нужно разработать локальные акты, связанные с обработкой персональных данных. В частности, даже для обеспечения четвертого уровня защищенности обязательно должен быть издан приказ по организации, в котором будет определен перечень сотрудников, имеющих доступ к персональным данным в целях исполнения трудовых обязанностей.
  • Необходимо назначить работника, ответственного за организацию работы с персональными данными в компании (требование п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ), и грамотно составить его должностную инструкцию.
  • Если вы собираете персональные данные неограниченного круга субъектов (а не только работников и клиентов, заключивших с вами договор), обычно требуется до начала сбора персональных данных уведомить об этом Роскомнадзор. Внимательно прочитайте п. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, где перечислены случаи, когда оператор освобождается от обязанности уведомлять Роскомнадзор. Если ваш бизнес подпадает под один из указанных случаев, уведомление можно не отправлять. Но, чтобы у проверяющих не возникло сомнений в законности ваших действий, четко укажите на сайте основания сбора персональных данных, дающие право не отправлять уведомление. Например, если вы обрабатываете персональные данные только в рамках исполнения договора, нужно включить в согласие на их обработку такую формулировку: «Оператор осуществляет сбор персональных данных в связи с заключением договора, стороной которого является субъект персональных данных. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».

Получение согласия на обработку персональных данных

Грамотное получение согласия на обработку персональных данных – это важнейшее условие законности обработки, ведь для частного бизнеса основанием для обработки персональных данных чаще всего служит именно согласие субъекта.

Персональные данные, на которые распространяется общий правовой режим, можно обрабатывать на основании согласия, полученного в любой форме, позволяющей подтвердить факт его получения. Для биометрических персональных данных и персональных данных специальных категорий необходимо письменное согласие или согласие, заверенное электронной подписью, причем содержание такого согласия должно соответствовать требованиям п. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ.

Закон не содержит формулировки, в которой должно быть дано согласие на обработку иных персональных данных. Сказано только, что согласие должно быть конкретным, информированным и сознательным. Чтобы обеспечить максимальную информированность субъекта, можно дать ссылку на документ, определяющий политику компании в области обработки персональных данных.

Согласно п. 3 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ на операторе лежит обязанность доказывания факта получения согласия на обработку персональных данных. При письменном согласии доказательством будет подписанный субъектом документ. А при получении согласия с помощью контактной формы в интернете необходимо заранее позаботиться о том, чтобы факт поучения согласия мог быть доказан. Для этого лучше всего использовать чек-бокс, в котором необходимо поставить галочку около надписи «Настоящим даю согласие на обработку моих персональных данных. С политикой оператора в области обработки персональных данных ознакомлен». Можно также установить кнопку согласия с условиями использования, без активации которой сделать заказ или отправить форму технически невозможно.
Для подстраховки можно заверить скриншоты сайта у нотариуса, сделав пометку, что на момент заверения представленные на скриншоте кнопки работали таким образом, что без их активации пересылка данных была технически невозможна.

Возможности аутсорсинга обработки персональных данных

П. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ позволяет оператору перепоручить обработку персональных данных другому лицу, если на это получено согласие субъекта персональных данных. Таким образом, если вы начали сбор своей клиентской базы самостоятельно, а потом решили отдать ее на аутсорсинг, передавать можно только те данные, при сборе которых от клиентов уже было получено согласие на передачу для обработки третьему лицу.

Важно отметить, что аутсорсинг не освобождает оператора от ответственности перед субъектом персональных данных. За все действия исполнителя ответственность все равно будет нести сам оператор (п. 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

То есть даже в случае аутсорсинга оператор должен самостоятельно определить цели обработки персональных данных и объем собираемой информации, а также операции, совершаемые с персональными данными (это следует из самого определения оператора, которое дано в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Косвенно из этих обязанностей следует необходимость самостоятельно разработать и опубликовать политику оператора в отношении обработки персональных данных, получить согласие субъекта на обработку его персональных данных оператором и третьим лицом.

Фигура «обработчика» персональных данных, который осуществляет операции с ними по поручению оператора, носит технический характер и не влияет на отношения между оператором и субъектом персональных данных.
Передача операций с персональными данными на аутсорсинг осуществляется на основании договора. В поручении определяются конкретные операции, передаваемые на аутсорсинг, цели обработки, обязательство «обработчика» соблюдать конфиденциальность и обеспечивать безопасность персональных данных, уровень защищенности и конкретные требования к защите персональных данных.

Без работы с персональными данными старт бизнеса в интернете практически невозможен. Любой продающий сайт требует интерактивности, а это влечет за собой необходимость сбора персональных данных. При этом законодатель достаточно жестко подходит к установлению ответственности за нарушение законодательства в области обработки персональных данных. Чтобы избежать штрафов, можно или разбираться с законодательными требованиями самостоятельно, изучая закон, подзаконные акты и документы других компаний, или обратиться к юристу. Юрист проведет аудит вашей модели работы с персональными данными и подготовит все необходимые документы, регламентирующие обработку персональных данных в компании.