21.08.2023
В целях пресечения случаев незаконного сбора, обработки, распространения и хранения персональных данных Роскомнадзор представил на своем официальном сайте рекомендации по правильной работе с персональными сведениями физических лиц. Рекомендации касаются всех без исключения организаций и ИП, которые работают с личными данными, в том числе и работодателей. В частности, ведомство рекомендовало всем компаниям:
1) Назначить сотрудника, ответственного за защиту персональных данных, и наделить его необходимыми полномочиями. Обязанность по назначению ответственного за защиту персональных данных распространяется исключительно на организации. Предприниматели самостоятельно отвечают за защиту вверенных им персональных данных. В организациях же обязательно должен быть назначен работник, ответственный за организацию обработки персональных данных. Такой работник обязан (ч. 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):
- осуществлять внутренний контроль за соблюдением работодателем и его работниками законодательства о персональных данных, в том числе требований к их защите;
- доводить до сведения работников организации положения законодательства о персональных данных, а также разъяснять им порядок законной обработки этих данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных (получение согласия на обработку сведений, обработка запросов на удаление сведений из баз данных и т.д.).
2) Сократить перечень персональной информации, собираемой с клиентов, потенциальных контрагентов и работников. Сбор и обработка персональных данных должны носить исключительно целевой характер. Собирать данные сведения разрешается в объемах, предусмотренных законодательством. Если тем или иным законом прямо не предусмотрен объем информации, который можно запрашивать у физлиц, информация собирается в объеме, необходимом для совершения конкретного действия (осуществления денежного перевода, заключения и исполнения договора, совершения юридически значимого действия и т.д.).
3) Хранить персональные данные в разных базах данных. Компании обязаны обеспечивать сохранность персональных данных в течение всего периода их обработки, исключая несанкционированный доступ к данным третьих лиц. При этом Роскомнадзор рекомендует обеспечить раздельное хранение различных категорий персональных данных, в том числе несовместимых между собой по целям обработки. Так, ведомство советует хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договоры и т. д.) в разных, не связанных друг с другом непосредственно базах данных. Для связи этих баз данных рекомендуется использовать синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному человеку. Идентификаторы, позволяющие связать сведения из двух баз данных, необходимо хранить в отдельной базе данных. Такое хранение, по мнению Роскомнадзора, не позволит злоумышленникам получить информацию о том, в каких отношениях с компанией состоит тот или иной человек и какие услуги ему были оказаны.
4) Исключить сбор персональных сведений в излишнем объеме. Вся излишняя информация оператора персональных данных касаться не должна, и ее сбор лучше вообще исключить. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям их обработки.
5) Своевременно уничтожать персональные данные при достижении цели их обработки. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора. Любой оператор должен принимать меры по своевременному уничтожению ранее полученных персональных сведений, которые ему стали не нужны. Компания должна уничтожить персональные данные (ч.ч. 3-5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):
- при отзыве субъектом персональных данных согласия на обработку его персональных данных;
- при достижении целей обработки персональных данных (исполнение договора, расторжение контракта и т.д.).
Компания обязана уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению) в срок, не превышающий 30 дней с даты достижения цели их обработки. Такой же срок уничтожения предусмотрен и для случаев отзыва физлицами согласия на обработку их персональных данных. Порядок уничтожения персональных данных компания может самостоятельно утвердить локальным актом. Цифровые носители, содержащие данные, форматируются или выводятся из строя, а материальные носители (бумажные документы) – измельчаются или сжигаются. После этого компания должна составить и утвердить в произвольной форме акт об уничтожении персональных сведений, в котором нужно указать ФИО лиц, чьи персональные данные были уничтожены, должность лица, уничтожившего персональные данные, а также его подпись, перечень уничтоженных данных, способ и причину уничтожения (приказ Роскомнадзора от 28.10.2022 № 179).
6) Использовать свои собственные технические и программные средства для обеспечения необходимого уровня безопасности данных, не доверять хранение данных третьим лицам.
7) Своевременно информировать Роскомнадзор об утечке персональных данных и признаках такой утечки.
Данные рекомендации были направлены компаниям из-за участившихся случаев неправомерного распространения персональных данных и поступающих в ведомство жалоб от физлиц на использование личных сведений без их согласия. Несоблюдение перечисленных рекомендаций Роскомнадзора не является основанием для наложения на организации и ИП административных штрафов. Эти рекомендации не являются законодательно установленными требованиями, обязательными к исполнению под угрозой привлечения к ответственности. Исполнение рекомендаций носит добровольный характер. Вместе с тем несоблюдение рекомендаций ведомства может привести к нарушению законодательства о персональных данных и, как следствие, ущемлению прав субъектов персональных сведений. Например, неназначение компанией работника, ответственного за защиту персональных данных, может привести к утечке этих данных, а их сбор в излишнем объеме – к нецелевому использованию конфиденциальной информации. За эти нарушения законом уже предусмотрены существенные штрафы. Административная ответственность за несоблюдение законодательства о защите персональных данных в настоящее время установлена в соответствии со ст. 13.11 КоАП РФ. Так, сбор персональных сведений в излишних объемах, приводящий к нецелевой обработке и хранению этих сведений, грозит ИП штрафом в размере от 10 тыс. до 20 тыс. рублей, а организациям – от 60 тыс. до 100 тыс. рублей (ч. 1 ст. 13.11 КоАП РФ). Несвоевременное уничтожение персональных сведений повлечет наложение штрафов на ИП в размере от 20 тыс. до 40 тыс. рублей, а на организации – от 50 тыс. до 90 тыс. рублей (ч. 5 ст. 13.11 КоАП РФ). Необеспечение сохранности персональных данных грозит ИП штрафами в размере от 20 тыс. до 40 тыс. рублей, а организациям – от 50 тыс. до 100 тыс. рублей (ч. 6 ст. 13.11 КоАП РФ).