Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа

Введение

На позапрошлой неделе после поста директора по продуктам Notamedia Алексея Бородкина, что Тамбовский суд оштрафовал одного из клиентов их агентства за отсутствие согласия на обработку персональных данных в форме обратной связи на сайте, — среди участников digital-рынка поднялся серьёзный хайп.

Никто и подумать не мог, о том, что закон N 152-фз «О персональных данных» доберётся до сайтов. Хотя, на самом деле, такие случаи уже были. В феврале этого года случился инцидент с астраханскими сайтами с формой обратной связи, в которых не было согласия на обработку персональных данных. Компании-владельцы сайтов были оштрафованы на 10 000 рублей каждая.

notamedia_1

И это еще цветочки, ягодки начнутся 1 июля 2017 года, когда произойдёт серьёзное ужесточение законодательства в области персональных данных, которое затронет владельцев сайтов и агентства, их разрабатывающие и обслуживающие.

Почему это важно для digital-рынка?

Роскомнадзор отдельным блоком проверяет интернет-сервисы, сайты и мобильные приложения, а также договоры и взаимоотношения с разработчиками сайта и рекламными агентствами.

notamedia_2

И он считает, что если вы имеете обрабатываете данные пользователей и имеете доступ к администрируемому сайту, то вы обработчик персональных данных и должны их правильно обрабатывать и защищать.

Если ничего не делать, то ваш клиент или попадёт «благодаря» вам, или проверка может затронуть лично вас.

Ужесточение законодательства по персональным данным

Не смотря на то, что закону N 152-фз «О персональных данных» уже более 10 лет и многие успели о нем позабыть, в нём происходили постоянные изменения. Все они обусловлены не столько изменением политической обстановки, сколько общим мировом трендом на более плотное регулирование этого вопроса (например, в Евросоюзе с 25 мая 2018 годавступят новые, более жёсткие требования по обработке и защите персональных данных GDPR).

Какие изменения законодательства и позиции регулятора (Роскомнадзора) и судов уже влияют и повлияют в будущем на digital-рынок:

1. Суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным. Из-за этого уже попали LinkedIn и МГТС. Роскомнадзор того же мнения и в списке запрашиваемой информации у проверяемых организаций добавил трактовку того, что он относит к пользовательским (персональным) данным.

notamedia_3

2. Через 3 месяца, а именно 1 июля 2017 года, будут кратно увеличены число и размер штрафов за нарушения требований обработки персональных данных. Если раньше сумма штрафов в большинстве случаев не превышала 10 000 рублей, то теперь она может спокойно доходить до 300 000 рублей.

Теперь штрафовать Роскомнадзор может не по одной статье 13.11 Кодекса об административных правонарушениях (КоАП), а по семи.

3. Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.

Помимо этого, ещё с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках».

К чему это привело:

  • Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным;
  • закон защищал бизнес от частых проверок и «маски шоу». Теперь при проверках Роскомадзор регулирует свою деятельность только своим внутренним административным регламентом;
  • Роскомнадзор может блокировать сайты, которые незаконно собирают персональные данные (случай с Linkedin — явный тому пример).

4. Все базы персональных данных должны первоначально собираться и обрабатываться на территории Российской Федерации. С учётом того, что Роскомнадзор считает персональными данными также и данные посетителей сайта, то это касается практически любого сайта. За нарушение этого требования Роскомнадзор их блокирует.

Что является персональными данными?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Так выглядит трактовка термина в законе 152-ФЗ «О персональных данных» и она более чем размытая.

Исходя из позиции судов и Роскомнадзора, персональными данными является информация вплоть до пользовательских данных. Именно на позицию судов за неимением более чётких трактовок необходимо ссылаться.

Если в форме обратной связи есть поле «Имя» или «Представьтесь», то вкупе с автоматически передаваемыми cookie и другими метаданными это будет являться персональными данными.

Что делать игроку digital-рынка и владельцу сайта?

Чтобы не лить воду, опишу то, что как минимум нужно сделать агентствам, студиям и владельцам сайтов, чтобы не попасть на штрафы и не получить блокировку сайта.

  1. Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие. Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
  2. Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
  3. Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.
  4. Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.
  5. Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных (форма тут) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.
  6. Агентству/студии и владельцу сайта, в случае если агентство имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные агентство/студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.
  7. До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.

Сразу хочу сказать, что это только 10% требований Роскомнадзора к компаниям (полный перечень тут), но его достаточно, чтобы начать решать вопрос и в случае проблем не подставить клиента и себя.

Материал подготовлен на основании опыта работы компании Б-152 и лично Максима Лагутина.

Что ждет операторов персональных данных в 2017 году?

Начиная с конца этого года, принимаются новые законопроекты и изменения, затрагивающие обработку персональных данных. Более активно они будут рассматриваться и продвигаться уже в 2017 году. 

Так, например,

  • С 1 января 2017 года вступят в силу изменения, связанные не только с регулированием передачи и обработки персональных данных должников коллекторскими агентствами, но также с правами должника отзывать свои персональные данные. Новые требования возникли в связи с принятием федерального закона №230 «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях» от 3 июля 2016.
  • С прошлой недели, но более активно со следующего года, все юридические лица будут обязаны предоставлять по требованию налоговых органов сведения о бенефициарах своих владельцев, а это, во-первых, новый вид обрабатываемых персональных данных у многих юридических лиц, и, во-вторых, новые основания для их обработки. Данные корректировки появились из-за внесения изменений в федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», а также в Кодекс Российской Федерации об административных правонарушениях.
  • Уже в этом году Роскомнадзор объявил о создании проекта лучших практик по защите пользователей и их данных в сети Интернет «Цифровой дом». Это полностью подтверждает стратегию Роскомнадзора по повышению уровня влияния на выполнение требований 152-ФЗ «О персональных данных» со стороны ассоциаций и саморегулируемых организаций. На предстоящем Cyber Security Forum, который пройдет 7 февраля 2017 в Москве, состоится обсуждение с представителем Роскомнадзора на эту тему.
  • Ужесточится регулирование пользовательских данных в Интернете. Предполагается, что будут приняты поправки в текущий закон №152-ФЗ «О персональных данных», либо издан отдельный законопроект, инициатором которого выступит Институт Развития Интернета и Роскомнадзор.
  • Будут приняты поправки в законодательные акты, касающиеся телемедицины. Данные поправки повлекут за собой не только новый процесс сбора специальных персональных данных, но также добавят проблемы с электронным согласием и защитой таких данных.
  • Будет принята долгожданная Методика определения угроз безопасности информации в информационных системах от ФСТЭК . Ожидалось, что данный документ примут в этом году, но в настоящие время рассмотрение документа перенесено на 2017.

Особенности проверок Роскомнадзора в 2016 году

В 2006 году был издан закон №152-ФЗ «О персональных данных». Он определил ответственность компаний за деятельность по работе с персональными данными людей.

Несмотря на то, что закон был принят более 10 лет назад, для многих компаний проверки Роскомнадзора, представляются сложной и непонятной процедурой с неизвестным итогом.

Почему компании так боятся проверок?

  • В 2015 году вступил в силу закон ФЗ-242, который расширил полномочия Роскомнадзора по проведению проверок. Проверки теперь регулируются только административным регламентом Роскомнадзора, так как ФЗ-242 вывел проверки на соблюдение закона о персональных данных из-под действия ФЗ- 294 о защите прав юрлиц и ИП при проверках.
  • Вступили в силу требования о локализации баз данных на территории Российской Федерации, который добавил сложностей компаниям.
  • К плановым проверкам сложно подготовиться. Обычно в России в год проходят тысячи таких проверок. Несмотря на то, что сроки известны, но порой найти даты проверки, а также узнать, как проходит подготовка и что нужно сделать, затруднительно. Информации для подготовки в интернете мало или она устарела.
  • Роскомнадзор проводит внеплановые проверки. Например, по заявлению гражданина о нарушении его прав в данной компании. В этом случае сотрудники Роскомнадзора приходят неожиданно и просят предоставить документацию согласно закону в кратчайшие сроки. Что именно нужно предоставить, а главное, как это подготовить за 1 сутки, сотрудники компании не знают.
  • Законодательство в сфере защиты персональных данных постоянно меняется. Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу. В 2017 году вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и обработкой персональных данных должников.
  • Роскомнадзор в равной степени проверяет как крупные компании, так и микропредприятия, индивидуальных предпринимателей или представителей малого и среднего бизнеса. А значит, что от проверки не застрахован никто.
  • Штрафы за нарушение закона высоки. И в 2017 году планируется принять новый кодекс об административных правонарушениях (КоАП), который ужесточит наказания за нарушения в части роста количества штрафов и их размера — вплоть до 300 000 рублей.
  • С 2016 года Роскомнадзор стал запрашивать больше информации (около 30 документов), а проверки стали объемнее и тщательнее. Так, например, стали проверять информационные системы непосредственно, а не по скриншотам форм, страниц и полей, как было ранее.
  • Метаданные (IP, местонахождение, cookies и др.) являются тоже персональными данными, поэтому теперь нужно брать разрешение на их обработку с пользователей.
  • Уровень проверок стало более детальным. Эксперты с учетом прошлых проверок теперь хорошо разбираются в особенностях IT-систем, бизнес-процессов, интернет-сервисов.

Для того чтобы избавиться от страхов, необходимо обратиться за помощью к экспертам и вовремя подготовить документы.

При проверках Роскомнадзор руководствуется своим регламентом, размещенном на сайте, а также сложившейся практикой. В конце 2016 — начале 2017 года будет принят законопроект, который позволит Роскомнадзору самому определять порядок проверок. Минусы этого закона для компаний в том, что данный орган по сути никто не будет контролировать.

В данной статье мы расскажем вам об особенностях проверок и о том, к чему вам готовиться.

Итак разберем виды проверок:

  1. Плановая проверка проводится в конце года, предшествующего году проверки по истечении трех лет с момента регистрации компании или индивидуального предпринимателя, либо с момента последней проверки. План проверок выкладывается на сайтах территориальных органов Роскомнадзора. При этом с 2016 года РКН перестал предоставлять планы проверок в Прокуратуру, поэтому найти из через порталы прокуратуры не получится.

Плановые проверки бывают двух типов:

  • Выездные проверки проводят не менее двух представителей Роскомнадзора, которые выезжают в офис проверяемой компании, изучают обстановку, общаются с ответственным лицом и другими сотрудниками компании, забирают запрошенные ранее документы и уезжают. Если проверяемая компания крупная — представители Роскомнадзора выезжают на ее объекты чаще одного раза за проверку.
  • Документарные проверки проводятся удаленно через запрос необходимых документов. Их оператор персональных данных направляет в Роскомнадзор по электронной почте для анализа.
  1. Внеплановая проверка проводится только на выезде с обязательным уведомлением компании о посещении не менее чем за сутки.

Выезд сотрудников с внеплановой проверкой происходит по следующим основаниям:

  • физические или юридические лица (пользователи, клиенты, конкуренты и т.д.) подали жалобу на компанию в Роскомнадзор, где рассказали о нарушениях прав субъектов персональных данных;
  • по требованию прокурора (в органы прокуратуры поступили материалы и обращения о нарушении законодательства по персональным данным);
  • представители Роскомнадзора увидели информацию о нарушениях в СМИ, либо получили ее от государственных органов (например, Трудовой инспекцией);
  • компания не устранила обнаруженные нарушения в установленный в предписании срок, либо компания не уведомила об этом надзорный орган;
  • Президент или Правительство поручили провести проверку;
  • компания-оператор персональных данных предоставила неполные/недостоверные ответы на запросы Роскомнадзора, либо не ответила в течение 30 дней;
  • в ходе мероприятий систематического наблюдения были обнаружены нарушения законодательства;
  • сведения в уведомлении об обработке персональных данных компанией не соответствуют действительности (например, адрес местонахождения баз данных).
  1. Мероприятия систематического наблюдения также проводятся представителями Роскомнадзора в режиме онлайн в рамках целой отрасли. В ходе наблюдения анализируют изменения в ЕГРЮЛ, актуальность сведений о базах данных в уведомлениях, изучают сайт компании, отзывы в интернете, в СМИ. На основании этих факторов делают вывод, может ли компания потенциально нарушать закон. В случае подозрений сотрудники Роскомнадзора письменно просят дать разъяснения. Если ответ был несвоевременный или неполный, то представители Роскомнадзора могут инициировать внеплановую проверку и наложить штрафы. Это способ контроля Роскомнадзором выполнения требований законодательства, который начал активно применяться с 2015 года.

Что проверяет Роскомнадзор

С 2015 года Роскомнадзор запрашивает информацию блоками, изучая их в офисе компании последовательно в разные дни:

  1. Общие вопросы. Сюда входят регистрационные данные организации, категории обрабатываемых персональных данных, цели этих действий, системы, где происходит хранение и передача сведений, документация, касающаяся работы с персональными данными.
  2. Кадровый блок. К нему относятся методы подбора персонала, формы согласия на обработку персональных данных, получаемых от клиентов и сотрудников, все справки и договоры о порядке получения и хранения сведений от субъектов персональных данных.
  3. Информационные системы персональных данных. Здесь Роскомнадзору понадобится информация обо всем программном обеспечении, используемом для обработки персональных данных, его подробное описание и назначение, операции, совершаемые им, а также сведения о создании, хранении и уничтожении резервных копий.
  4. Интернет-сервисы. Сюда относят информацию о веб-ресурсе предприятия, его базах данных, используемых на нем системах сбора и обработки персональных данных, статистике посещений как через браузер, так и с помощью мобильных приложений.

Ссылка на список запрашиваемых документов.

Давайте рассмотрим некоторые блоки более подробно.

Информационные системы

В этом блоке проверяют все IT-системы, где происходят действия с персональными данными. Практически всегда специалисты запрашивают не просто устное описание программы и ее функций, а блок-схему работы ПО, хранения персональных данных. Выглядеть она может, например, таким образом: подробный разбор того, как персональные данные попадают в систему, путь, по которому проходит информация во время обработки, передача личных сведений конечному пользователю.

Также запрашивается документальная информация обо всех участниках процесса. Особо внимательно эксперты изучают роль трансагентов: необходимо как можно подробнее объяснить, каким образом они получают информацию и для каких целей. Часто требуются договоры с этими партнерами.

Еще один важный момент — необходимо документально подтвердить место, где находится система обработки персональных данных. Также надо быть готовым к тому, что Роскомнадзор может напрямую запросить сведения о локализации IT-службы или базы данных у поставщика этих услуг.

Стоит иметь в виду, что инспекторы могут потребовать наглядно продемонстрировать работу информационной системы. Для этого необходимо, чтобы ваш сотрудник в присутствии специалиста Роскомнадзора показал все операции, совершаемые с персональными данными: получение, обработку, передачу, уничтожение и т.д. Кроме того, могут быть запрошены скриншоты, чтобы убедиться, что заявленный в документах объем личной информации соответствует фактическому.

Помните, что эксперты проверяют не только основную базу данных, но и все сопутствующие ей системы: мобильные приложения, сайты, сведения из Яндекс.Метрики и Google Analytics, Flurry, рекламных систем. Для них используются все вышеописанные методы анализа: составление блок-схем, изучение местонахождения, ручная проверка. Для веб-ресурса также могут запросить информацию о том, на чем он написан и кем поддерживается.

Отдельное внимание стоит обратить на почтовые сервисы. Они не являются системой обработки персональных данных до тех пор, пока электронная почта не используется для сбора личных сведений (например, для приема откликов на вакансии).  

С недавних пор все IP-адреса, сведения из cookie-файлов и мобильных приложений также относятся к персональным данным. При работе с ними необходимо следить за соблюдением требований закона.

Процессы обработки персональных данных

Здесь Роскомнадзор изучает действия, связанные с персональными данными.

Основная цель — понять все происходящие в организации процессы по обработке личных сведений. Для этого специалисты могут потребовать подробное описание всех работ, проводимых с персональными данными и детально рассказать о каждом его этапе – сборе, удалении, пересылке и т.д.

Если какое-либо действие выходит за рамки обязанностей оператора, то в этом случае  Роскомнадзор может потребовать предоставить блок-схему этого процесса. Также проверяется цель обработки персональных данных и ее соответствие заявленной в документации.

Документарная проверка

На этом этапе происходит изучение и анализ всех корпоративных актов, справок и договоров, относящихся к персональным данным. Кроме документов, указанных в первоначальном запросе, необходимо предоставлять подтверждающие бумаги на для подтверждения всех заявленных фактов в ходе дальнейшей инспекции.

В этом году особо часто Роскомнадзор запрашивал информацию о том, кто имеет доступ к персональным данным, а также детально изучал документы о текущей деятельности компании и требовал много дополнительных данных по этому вопросу.

Отдельное внимание уделяется передаче персональных данных третьим лицам и получению данных от третьих лиц. Например, подрядчикам (дилерские центры, банки, IT-системы, системы бронирования отелей, кадровые службы и пр.). Особенно в США. Это связано с тем, что Роскомнадзор считает, что Соединенные штаты не способны как следует защитить информацию, и поэтому такую пересылку можно делать только с согласия владельца персональных данных. Кроме того, инспекторы интересуются целью передачи личных сведений за рубеж.

Напомним, что эксперты имеют право смотреть сами персональные данные.

Рекомендуем подготовить как можно больше запрашиваемых документов до начала проверки. В ходе мероприятия, скорее всего, понадобится предоставить много дополнительной информации, и заниматься сбором основных сведений просто не будет времени.

Как и в какие сроки проводится проверка

Проверки длятся 30 календарных  дней в зависимости от размера бизнеса. У Роскомнадзора есть возможность продлить проверку еще на 30 календарных дней. Но общая длительность не должна превышать 60 рабочих дней.

Перед проверкой регулятор посылает в компанию уведомление в виде копии приказа почтой или иным доступным способом, например, на официальный e-mail, курьером.

Если проверка плановая или внеплановая документарная, уведомление придет не менее чем за трое суток перед проверкой. Если проверка внеплановая выездная, компанию обязаны предупредить не менее чем за сутки.

В уведомлении будет указаны ФИО проверяющих, даты и тип проверки, к нему прилагается перечень необходимых документов и протокол запрашиваемой информации. Перечень вопросов, запрашиваемых документов и сведений может отличаться, и не всегда понятно, какая информация требуется.

Роскомнадзор имеет право переносить начало выездной проверки. Например, приехать не в первый день проверки, а на седьмой, или даже ближе к концу.

В офисе

Первый визит обычно не очень длительный: инспекторы просто придут и заберут всю подготовленную информацию для анализа. Именно поэтому лучше готовить ее заранее и как можно детальнее.

В офисе компании представители общаются с сотрудниками, осматривают территорию, помещения, особое внимание уделяют хранению персональных данных на бумажных носителях. Им важно понять, как в компании хранятся и обрабатываются данные, кто к ним имеет доступ, в каком виде они хранятся и где.

Компания предоставляет регулятору данные в виде заверенных копий документов, шаблонов, форм договоров и информационных писем.

После визита

После визита в офис и запроса документов представители регулятора анализируют полученную информацию. В том случае, если представленных фактов недостаточно, специалисты будут запрашивать дополнительные документы и задавать уточняющие вопросы. Так будет до тех пор, пока инспекторы полностью не составят полную картину по процессам обработки персональных данных в компании.

Роскомнадзор может сообщать о каких-то нарушениях еще в ходе проверки. Например, сказать, каких документов не хватает, какие не соответствуют требованиям, что они требуют сделать. После проверки представители Роскомнадзора составляют и вручают акт о проведенной проверке и ее итогах. Если были выявлены нарушения, они выдают предписания их устранить, составляют протоколы об административных правонарушениях и пересылают в органы прокуратуры.

Таким образом, возможны три исхода проверки:

  1. Нарушений не выявлено.
  2. Проверка продлена для выяснения дополнительных деталей.
  3. Обнаружены нарушения. На их устранение дается от 1 до 6 месяцев. Общение с Прокуратурой, суд, уплата штрафа.

Основные нарушения за последний год:

  1. Отсутствие разрешения на передачу данных третьим лицам.
  2. Не удаление персональных данных по окончанию срока их обработки.
  3. Неактуальные сведения в Реестре операторов персональных данных.
  4. Отсутствие разрешения на передачу персональных данных за рубеж.
  5. Отсутствие локальных актов на обработку персональных данных.
  6. Расположение баз данных за пределами РФ.

Подводим итог

Проверка Роскомнадзора — сложное и долгое мероприятие, требующее большой подготовки. Важно помнить несколько моментов, чтобы значительно облегчить процесс ее прохождения. Начните следовать нашим рекомендациям прямо сейчас:

  1. Решите вопрос локализации данных в России. Нерешенный вопрос парализует ваш бизнес не менее чем на 1 месяц. Если данные все же уходят за рубеж, берите разрешение с пользователей прямо сейчас.
  2. Проведите аудит взаимоотношений с подрядчиками, с которыми вы обмениваетесь данными. Нужен пункт в договоре или разрешение от каждого пользователя.
  3. Почистите информационные системы от устаревших персональных данных.
  4. Проверьте актуальность подготовленных вами документов по ФЗ-152 с учетом нововведений.
  5. Актуализируйте информацию в Реестре операторов персональных данных.
  6. Готовьте все необходимые документы заранее в момент завершения каких-либо внутренних работ, связанных с персональными данными (например, создания веб-сайта). Тогда не придется эти же сведения собирать в срочном порядке за пару дней до приезда инспекции.
  7. Соберите документы для проверки заранее. Как только было получено уведомление о предстоящем мероприятии, нужно тут же начинать сбор документации. Позже времени уже не будет, так как специалисты потребуют еще больше дополнительных сведений.
  8. Сотрудничайте с Роскомнадзором. Не стоит забывать, что инспекторы просто делают свою работу. Чем более детальную информацию вы им дадите, тем быстрее закончится проверка. Соблюдайте сроки и будьте открытыми.

Если вы не еще не подготовили документы или хотите их актуализировать, обратитесь за консультацией к нашей службе Экспертной поддержки  support@b-152.ru

Linkedin: казнить нельзя помиловать!

Деловая социальная сеть Linkedin будет внесена Роскомнадзором в Реестр нарушителей прав субъектов персональных данных и заблокирована на территории России.

Гражданский иск был подан Роскомнадзором на социальную сеть еще летом, и в августе суд признал, что Linkedin нарушает права субъектов персональных данных (физических лиц). Нарушение связано с тем, что социальная сеть без согласия на обработку персональных данных собирает и иными способами обрабатывает персональные данные физических лиц, которые не зарегистрированы в социальной сети (пользователи Интернета, зашедшие на сайт), а именно данные из cookie.
Также социальная сеть нарушила требования по локализации баз персональных данных на территории России, как это сделали Samsung, Apple, Google, Booking.com и другие международные ИТ-компании.

Ссылка на решение суда

Апелляция Linkedin, рассматриваемая Таганским районным судом г. Москвы 10 ноября этого года, была отклонена, и социальную сеть ждет блокировка.
Ранее рассматривались 2 варианта развития событий:

1) Linkedin будет общаться с представителями регулятора, намереваясь договориться о локализации и выполнении требований закона №152-ФЗ «О персональных данных». О таком намерении социальной сети упоминали СМИ на прошлой неделе.

2) Роскомнадзор все же заблокирует социальную сеть и только после этого будет разбираться. Представители Роскомнадзора в конце прошлого года и начале этого заявляли, что будут общаться со всеми международными компаниями и сервисами, с целью помочь выполнить требования закона о локализации персональных данны. Но, видимо, такая тактика не принесла должных результатов.

Однако сегодня стало известно, что что социальная сеть Linkedin все же начала блокироваться в России.
«На основании вступившего в законную силу решения суда социальная сеть LinkedIn внесена в реестр нарушителей прав субъектов персональных данных и направлена для блокировки операторам связи», — говорится на сайте Роскомнадзора.
Первым ограничил доступ к Linkedin оператор связи Ростелеком.

Зачем необходимо обновлять документы по персональным данным?

Всегда стоит помнить, что обновлять документы по персональным данным необходимо не время от времени, а на ежегодной основе.

Почему? Расскажем вам о наиболее важных причинах.

1. Участились внеплановые проверки Роскомнадзора в ответ на жалобы физических лиц.

С 2009 года доля обращений граждан, касающихся вопросов защиты персональных данных, ежегодно увеличивается. В 2015 году в Роскомнадзор и территориальные органы поступило 33 000 обращений граждан по поводу нарушений в обработке персональных данных. Таким образом, по сравнению с 2014 годом число обращений возросло в 60,4% c 20 389 до 33 000. Аналогичная тенденция наблюдается в 2016 году.

Обращения граждан касаются не только крупных и государственных учреждений, но и микропредприятий и компаний малого и среднего бизнеса:

Статистика обращений с разбиением по типу организаций, к которым обращаются

Таким образом, от внеплановой проверки не застрахована ни одна компания. На каждую жалобу Роскомнадзор должен отреагировать незамедлительно и обратиться за разъяснениями в компанию, на которую написана жалоба. Она, в свою очередь, должна в кратчайшие сроки предоставить актуальный пакет документов по защите персональных данных. Формально о внеплановой проверке Роскомнадзор уведомляет не менее чем за сутки. За это время обновить документы, составленные год и более назад, просто невозможно, поэтому необходимо позаботиться о том, чтобы документы всегда соответствовали требованиям закона.

2. С 2016 года Роскомнадзор стал запрашивать больше информации, а проверки стали объемнее и тщательнее.

Список запрашиваемых документов и сведений в 2016 году при проверках Роскомнадзора в области персональных данных существенно вырос.

Это обусловленно тремя факторами:

  • Роскомнадзор стал осуществлять проверки по-своему, т.к. с 01.09.2015 года он вышел из под действия Федерального закона N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
  • вступили в силу требования о локализации баз данных с персональными данными на территории Российской Федерации
  • Роскомнадзор начал проверять информационные системы и обработку в них персональных данных

Такие изменения в проверках Роскомнадзора существенно влияют на сами документы по персональным данным, так и на реализацию требованйи закона.

Именно поэтому требуется обновлять пакет документов по персональным данным в связи с возросшим числом запрашиваемой информации и документов.

3. Постоянные изменения в законодательстве.

Каждая вторая проверка оператора Роскомнадзором выявляет нарушения. Количество выявленных нарушений при проведении плановых проверок в 2015 году на 37% больше, чем в 2014 году. Чаще всего это происходит потому, что компания не следит за изменением законодательства и не обновляет документы.

Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу.

Одни из изменения:

  • с 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 No 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно- телекоммуникационных сетях», который обязывает локализовать базы с персональными данными на территории России. Если этого не будет сделано, то возможна блокировка сайта, веб-сервиса или веб-системы, как это сейчас происходит с крупной деловой социальной сетью Linkedin, которая будет заблокирована с подачи Роскомнадзора.
  • Постановлением Правительства Российской Федерации от 19.08.2015 No 857 были утверждены Правила создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», который внес существенные изменения в возможность собирать данные на иностранных серверах, и исключил проверки из под действия закона  «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26.12.2008 N 294-ФЗ.
  • Приказами Роскомнадзора утверждены Порядок взаимодействия оператора реестра с провайдером хостинга, Порядок получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи, а также форма заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

В 2017 году также вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и взыскании долга.

Меняется законодательство — меняется позиция по тем или иным вопросам. Поэтому необходимо пересматривать процессы обработки персональных данных и обновлять документы.

4. С 1 января 2017 года могут возрасти штрафы за нарушение закона о персональных данных.

Это произойдет в случае вступления в силу нового Кодекса об Административных Правонарушениях. Он уже был одобрен в первом чтении и ожидается его финальное одобрение ГосДумой до конца 2016 года.

На данный момент ст. 13.11 КоАП РФ устанавливает штраф за нарушение законодательства о персональных данных от 300 до 500 руб. для физлиц, от 500 до 1000 руб. для должностных лиц и от 5 до 10 тыс. руб. для юрлиц.

Новый законопроект устанавливает самый большой штраф за обработку персональных данных, касающихся расовой и национальной принадлежностей, политических и религиозных взглядов, а также состояния здоровья, интимной жизни и сведений о судимостях. Для граждан такой штраф составит от 3 до 5 тыс. руб., для должностных лиц — от 10 до 25 тыс., для ИП — от 50 тыс. до 100 тыс. руб. и для юрлиц — от 50 тыс. до 300 тыс. руб.

Также, выявляя нарушения в ходе контрольно-надзорной деятельности, чиновники Роскомнадзора смогут оперативнее привлекать правонарушителей к ответственности.

Возрастает не только сумма штрафа, но и их количество. Среди новых составов правонарушения:

  • обработка персональных данных без письменного согласия субъекта;
  • обработка информация, касающейся личной жизни, здоровья, вероисповедания и т. д.;
  • невыполнение оператором требований к публикации в открытом доступе документа о его политике обработки персональных данных;
  • непредоставление оператором субъекту информации об обработке его персональных данных;
  • невыполнение оператором требований субъекта об уточнении, блокировке или уничтожении его персональных данных;
  • ненадлежащее хранение (в том числе при помощи электронных носителей) персональных данных;
  • несоблюдение правил по обезличиванию персональных данных.

 

Когда новый КоАП будет утвержден, то стоимость на разработку и обновление документов по 152-ФЗ, а также сопровождение деятельности по персональным данным серьезно возрастет.

5. С начала 2016 года количество арбитражных дел, касающихся персональных данных, превысило 10.000

Это легко подтверждается различными поисковыми системами по арбитражным делам.

В соответствии с п. 5 ч. 3 ст. 23 Закона No 152-ФЗ Роскомнадзором и его территориальными органами в 2015 году в реестр нарушителей прав субъектов персональных данных внесено 105 записей, заблокировано 29 интернет-ресурсов, остальные операторы удалили информацию без применения принудительных мер воздействия. При этом было заблокировано 12 справочников и прекращена неправомерная обработка персональных данных 45 млн человек.

Территориальными органами Роскомнадзора составлены и направлены на рассмотрение в суды 7 721 протокол об административных правонарушениях.

Также нарушители вносятся в автоматизированную информационную систему «Реестр нарушителей прав субъектов персональных данных».

Тем не менее законодательство и судебная практика в вопросах защиты персональных данных не совершенны и изменчивы. Нужно всегда следить за новыми решениями по конкретным вопросам самих судов и регуляторов, а затем менять некоторые формулировки в документах и описания.

6. Законодательное требование пересмотра уровней защищенности раз в 3 года.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» возлагает на оператора персональных данных не реже 1 раза в  3 года проводить пересмотр уровней защищенности информационных систем.

Контроль за выполнением требований организуется и проводится оператором самостоятельно и/ или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Из-за чего приходится изменять акты определения уровней защищенности, модели угроз, протоколы определения ущерба и ТЗ на системы защиты персональных данных. Также необходимо следить за тем, чтобы договор с подрядной организацией был действующим и актуальным.

7. 152-ФЗ требует подавать информационное письмо об изменениях при изменениях сведений, содержащихся в реестре операторов.

Чаще всего компании не актуализируют контакты и ФИО ответственного лица, информацию о своем новом адресе, наименовании. Соответственно необходимо следить за правильностью предоставленных данных и вовремя обновлять информацию в реестре операторов, иначе возможно наложение штрафов и санкционирование внеплановой проверки со стороны Роскомнадзора.

Тем более Роскомнадзор ожидает подачи уже обновленного уведомления или письма о внесении изменений, где необходимо указать все информационные системы и адреса их месторасположения.

_______

Сфера защиты персональных данных активно развивается, уточняются требования, появляются новые законы… И не всегда компании способны следить за этими изменениями. А несоблюдение требований законодательства становится причиной штрафов, проверок, жалоб со стороны клиентов и конкурентов, а также потери времени и ценной информации.

Поэтому рекомендуем вам обновлять документы каждый год и держать их актуальность под контролем вместе с “Б-152”.

Для уточнения вопросов по обновлению и актуализации документов по персональным данным вместе с «Б-152» обращайтесь по следующим контактам:

8 (800) 707-80-52

8 (499) 372-06-52

info@b-152.ru

Как хранить персональные данные с 1 сентября 2015: основные способы

Летом 2014 года в России был принят закон №242-ФЗ, который обязывает операторов персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года. Суть закона: отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом — они обязаны локализовать базы данных на территории России.

Трактовка закона порождает множество вопросов и мы постараемся ответить на них и рассеять недопонимание.

подробнее

Как сервисы email-рассылок исполняют закон «О персональных данных»

Email-рассылки и законодательство по персональным данным

Мы, Б-152,  совместно с сервисом мониторинга безопасности и защиты сайтов SiteSecure, решили оценить, насколько сервисы email-рассылок и некоторые агентства email-маркетинга выполняют требования закона № 152-ФЗ «О персональных данных».

подробнее

Обзор изменений 152 ФЗ 2015

За 4 года законодательство по защите персональных данных (152-фз) претерпело не мало изменений, касающихся как вопросов обработки персональных данных, так и вопросов защиты персональных данных:

  • произведена замена классов информационных систем персональных данных на уровни защищенности персональных данных (Постановление правительства №1119 от 01.11.2012 г.)
  • определен новый состав мер по обеспечению безопасности персональных данных (Приказ ФСТЭК России №21 от 18.02.2013 г.)
  • введен запрет с 1 сентября 2015 года на хранение персональных данных россиян за рубежом (Федеральный закон №242-ФЗ от 21.07.2014 г.)
  • Роскомнадзор вышел из под действия закона о защите прав бизнеса при государственных проверках (Федеральный закон №242-ФЗ от 21.07.2014 г.)
  • начал действовать публичный реестр нарушителей прав субъектов персональных данных (Постановление Правительства №857 от 19.08.2015 г.)
  • изменена форма уведомления об обработке персональных данных и информационного письма об изменениях в Роскомнадзор с 18 декабря 2015 года (приказ Минкомсвязи №315 от 28.08.2015 г.)

Давайте поподробнее пройдемся по каждому из изменений.

подробнее

© 2016 Все права защищены
+7 (499) 372-06-52 | info@b-152.ru