Почему соблюдение 152-ФЗ – это не опция, а необходимость?

Данные – это новая нефть. Такое утверждение становится все более и более актуальным с каждым годом.

Особую ценность для бизнеса имеют персональные данные. Они представляют стратегическую ценность для бизнеса, поскольку являются основой для персонализации услуг, точного таргетирования рекламы и оптимизации клиентского опыта, что напрямую влияет на повышение конверсии, лояльности и доходности.

Корректное управление данными обеспечивает соответствие законодательным требованиям и минимизирует репутационные и операционные риски, трансформируя информацию в капитализируемый актив компании.

Важно понимать: под действие закона подпадают не только гигантская корпорация с миллионной клиентской базой, но и небольшой интернет-магазин, собирающий телефоны для обратной связи, и даже ИП, нанимающий первого сотрудника. Несоблюдение требований ведет к серьезным рискам: административные штрафы по ст. 13.11 КоАП РФ достигают 500 000 рублей для юридических лиц, не говоря о репутационных потерях и исках от граждан.

Эта статья – пошаговый гид по ключевым требованиям 152-ФЗ, который поможет вам выстроить легальную и безопасную работу с персональными данными.

С чего начать?

Определите цели обработки персональных данных (далее также – ПДн)

В соответствии с ч. 1 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее также – ФЗ-152) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Что подразумевает законодатель под данным положением? Лицо, прочитав ваш документ, регулирующий процессы обработки персональных данных в вашей компании, должно четко понимать, для реализации какой именно цели вы запрашиваете у него персональные данные. Нельзя писать размытые и широкие формулировки, не дающие субъектам полное представление о том, как именно их информация будет использована.

Примеры плохих формулировок:

• Повышение эффективности работы компании

• Для любых целей, не запрещенных законом

• Обеспечение деятельности компании

Такие формулировки являются слишком широкими и абстрактными, т. к. субъекту персональных данных неясно, какие действия предпринимает оператор персональных данных для повышения эффективности своей деятельности или какими средствами и способами обеспечивает функционирование своей деятельности.

Как формулировать цели?

1. Проведите аудит бизнес-процессов в вашей компании, в рамках которых вы обрабатываете персональные данные.

Трудоустройство сотрудников, подбор кандидатов на вакантные должности, аналитика поведения пользователей на сайте, страхование сотрудников, предоставление корпоративной связи, служебного транспорта и многие другие – во всех этих процессах так или иначе фигурируют персональные данные различных субъектов.

2. Сформулируйте конкретную цель обработки персональных данных для каждого из этих бизнес-процессов.

Цель обработки персональных данных можно вывести из названия самого процесса и осуществляемых в ходе него действий. К примеру, цель для формирования и ведения кадрового резерва так и обозначить “формирование и ведение кадрового резерва работников”. Для тех или иных процессов может быть необходимо подробное, но емкое описание операций, осуществляемых в ходе процесса. Избегайте общих и размытых фраз!

3. Определите, данные каких субъектов обрабатываются для реализации той или иной цели.

К примеру, в процессе трудоустройства сотрудников могут обрабатываться данные не только самих сотрудников, но и их родственников. Перечень лиц также можно включить в цель обработки персональных данных.

Определите правовые основания обработки персональных данных (далее также – ПДн)

Бизнес часто прибегает к согласию на обработку персональных данных, игнорируя иные основания, установленные ФЗ-152. Согласия на обработку персональных данных (далее также – СОПД) берутся у субъектов ПДн и в том случае, когда на самом деле обработка персональных данных обеспечивается другими условиями (например, для исполнения требований законодательства).

Подробнее о существующих правовых основаниях обработки персональных данных вы можете прочитать здесь (здесь нужно вставить гиперссылку на статью в блоге).

Необходимо проанализировать каждый из бизнес-процессов на предмет выбора правового основания обработки персональных данных. К примеру, правовым основанием обработки персональных данных при трудоустройстве сотрудников будет являться п. 2 ч. 1 ст. 6 152-ФЗ – исполнение требований законодательства, а именно – требований Налогового кодекса РФ, Трудового кодекса РФ, Федерального закона №27–ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

Если вы предоставляете услуги клиентам (физическим лицам) (например, по организации мероприятий), вы можете снять с себя необходимость собирать с клиентов согласия на обработку персональных данных, если включите в договор (оферту) с клиентом раздел, регулирующий порядок обработки персональных данных клиента. Правовым основанием в данном случае будет являться п. 5 ч. 1 ст. 6 ФЗ-152.

На практике именно на этапе выбора правового основания бизнес чаще всего допускает критические ошибки: согласия используются на всякий случай, договоры не закрывают обработку, а обязанности по закону подменяются формальными документами.

Если важно понять, какие основания действительно применимы в ваших процессах, где согласия избыточны, а где без них нельзя, можно начать с прикладного анализа и аудита обработки персональных данных.

Разработайте корректные формы согласий на обработку персональных данных

Выделите бизнес-процессы, в которых правовым основанием обработки персональных данных является согласие субъекта на обработку его персональных данных.

В соответствии с ч. 1 ст. 9 ФЗ-152 согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Какие реквизиты включить в согласие, чтобы оно соответствовало данному законодательному требованию?

• наименование оператора, его юридический адрес;

• цель обработки персональных данных;

• перечень персональных данных, подлежащих обработке;

• сведения о третьих лицах, которым данные будут переданы;

• описание действий с персональными данными (сбор, хранение, обработка, передача и др.);

• информацию о третьих лицах, которым могут быть переданы персональные данные;

• способы обработки персональных данных;

• срок действия согласия и порядок его отзыва.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом.

Это означает, что не всегда обязательно получать согласие от субъекта исключительно в письменной форме, можно получить согласие устно (проблема может возникнуть лишь при доказывании факта получения этого согласия), чек-боксом на сайте и иными способами.

Законодательно установлено требование получать именно письменное согласие по требованиям ч. 4 ст. 9 ФЗ-152 лишь в следующих случаях:

• согласие на включение персональных данных в общедоступные источники;

• согласие на обработку специальных категорий ПДн;

• согласие на обработку биометрических ПДн;

• согласие на исключительно автоматизированную обработку ПДн, в результате которой принимаются юридически значимые решения в отношении субъекта ПДн;

• согласие работника на передачу ПДн третьим лицам.

Необходимо отметить, что именно законодательство понимает под «письменной формой».

В современном российском праве понятие «письменная форма» не ограничивается только традиционным бумажным документом с собственноручной подписью. В соответствии с ч. 4 ст. 9 152-ФЗ равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Таким образом, компании могут оптимизировать процесс сбора согласий на обработку персональных данных и уменьшить количество бумажных документов посредством введения электронных форм согласий.

В таком случае согласие должно быть получено строго в соответствии с реквизитами, указанными в ч. 4 ст. 9 ФЗ-152, а именно:

• фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

• наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта персональных данных;

• цель обработки персональных данных;

• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

• подпись субъекта персональных данных.

Внедрите в организации меры, направленные на обеспечение выполнения обязанностей ФЗ-152

Перечень таких мер изложен в ст. 18.1-19 ФЗ-152.

Что необходимо сделать?

1) назначить в компании ответственного за организацию обработки персональных данных;

2) ввести в компании:

• политику в отношении обработки персональных данных;

• локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных; категории субъектов, персональные данные которых обрабатываются; способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;

• локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, на устранение последствий таких нарушений;

3) внедрить правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона, а именно:

• определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

• применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, к примеру, установить на корпоративные компьютеры сотрудников антивирус;

• применять средства защиты информации, прошедшие процедуру оценки соответствия;

• осуществлять оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

• вести учет машинных носителей персональных данных;

• обеспечить своевременное обнаружение фактов несанкционированного доступа к персональным данным и принять меры, в том числе меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

• обеспечить возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• установить правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

• контролировать принимаемые меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4) осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам оператора;

5) проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ-152, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных; соотносить указанный вред и принимаемые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ-152;

6) обеспечить ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, внутренней политикой обработки персональных данных и положением об обработке персональных данных.

Обратите внимание на собственный сайт

Мораторий на плановые проверки бизнеса действует до конца 2029 года (п. 11.1 Постановления Правительства РФ № 336 от 10.03.2022 г.). Это касается в том числе проверок Роскомнадзора (далее также – РКН). Внеплановые проверки проводят с ограничениями по согласованию с прокуратурой.

Основаниями для внеплановой проверки могут выступить жалобы субъектов персональных данных и нарушения (к примеру, случаи утечек персональных данных или неустраненные в срок нарушения от предыдущей проверки).

Однако, помимо указанных мероприятий, РКН также осуществляет контрольные мероприятия без взаимодействия; он может полуавтоматически сканировать сайты на соответствие законодательству.

РКН обращает внимание на наличие и состав политики обработки персональных данных на сайте, наличие юридических оснований обработки ПД (пользовательские соглашения, согласия, чекбоксы при регистрации и рассылках), а также на наличие сервисов Google на сайте и хостинг сайта.

Алгоритм ваших действий:

1. Проверка сайта на локализацию

Самые частые нарушения:

• использование на сайте Google Analytics

• использование на сайте Google reCAPTCHA

• сбор персональных данных посредством Google Forms

• использование иностранных хостингов

РКН также рекомендует отказаться от использования на сайте CloudFlare, поскольку оно обходит ограничения доступа к запрещенной в России информации.

2. Проверка наличия правовых оснований обработки персональных данных

Самые частые нарушения:

• отсутствие согласий на обработку персональных данных в формах сбора обратной связи (= отсутствие ссылки на СОПД в фразе «Я даю согласие на обработку персональных данных»)

• предустановленные галочки в чек-боксе с СОПД

• ссылка только на политику обработки персональных данных (по смыслу п. 1 ч. 1 ст. 6 ФЗ-152 обработка персональных данных допускается именно с согласия субъекта на такую обработку, ознакомление субъекта с политикой такое основание не обеспечивает)

• СОПД есть, но в нем неправильно указаны цели обработки ПДн, указано бессрочное хранение ПДн

• отсутствие в Оферте, размещенной на сайте, раздела о порядке обработки персональных данных (в отсутствие СОПД на сайте)

• для исполнения оферты не требуется обрабатывать заявляемые Оператором персональные данные (в отсутствие СОПД на сайте)

3. Размещение Политики обработки персональных данных на сайте

В соответствии с ч. 2 ст. 18.1 ФЗ-152 Оператор, осуществляющий сбор персональных данных с использованием сайтов, обязан опубликовать на страницах такого сайта документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить доступ к такому документу.

Политику обработки персональных данных обычно размещают в подвале сайта, а также в разделе «Правовая информация». Если вы не хотите «светить» порядок обработки персональных данных в ходе внутренних процессов, вы можете разработать отдельную политику обработки персональных данных, собираемых посредством вашего сайта с указанием только тех целей, для исполнения которых собираются данные пользователей и посетителей. Данная позиция поддерживается РКН.

4. Проверка наличия баннера о сборе cookie

Самые частые нарушения:

• отсутствие уведомления о сборе cookie-файлов на сайте;

• баннер об уведомлении о сборе cookie-файлов закрывается сам по себе, без взаимодействия с посетителем сайта. Cookie-баннер должен быть виден на каждой странице сайта до тех пор, пока пользователь не скроет его.

• отсутствие в Политике обработки персональных данных указания на обработку cookie-файлов на сайте

• отсутствие указания на использование любых систем аналитики (в т.ч. Яндекс.Метрики) на сайте

Практика применения 152-ФЗ меняется быстрее, чем обновляются внутренние регламенты компаний.

В условиях ужесточения контроля за обработкой персональных данных многие компании сталкиваются с необходимостью приведения своих процессов в строгое соответствие требованиям 152-ФЗ.

Комплексное решение этой задачи может обеспечить ООО «Б-152». Мы предлагаем профессиональный аудит, разработку необходимой документации и внедрение эффективных систем защиты информации, что позволяет вам минимизировать юридические риски и сосредоточиться на основных операционных задачах.