I.Уведомление о намерении осуществлять обработку персональных данных
В статье 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее закон о перс данных) дано определение оператора персональных данных. Оператор — государственный или муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных.
Оператор определяет цели обработки персональных данных. Например, оформление и исполнение заказов для клиентов, ведение кадрового учета для сотрудников, анализ посещаемости для посетителей сайтов.
Оператор определяет состав персональных данных, подлежащих обработке. Например, ФИО, паспортные данные, адрес, эл. почта и т.д.
Оператор определяет действия (операции), совершаемые с персональными данными. Например, сбор, запись, хранение, уточнение, использование, передача, блокирование, удаление.
Таким образом, закон о персональных данных касается каждого индивидуального предпринимателя или юридического лица.
Почти каждый оператор должен пройти регистрацию в Роскомнадзоре. Основанием является уведомление по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180.
Некоторые операторы вправе без уведомления Роскомнадзора осуществлять обработку персональных данных. К ним отнесены случаи, когда,
-персональные данные включены в государственные информационные системы персональных данных (ЕГРИП, ЕГРЮЛ);
-оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
-персональные данные обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.
Касательно обработки персональных данных без использования средств автоматизации следует руководствоваться Положением, утв. Постановлением Правительства РФ от 15 сентября 2008 г. N 687 (Положение).
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п.1 Положения).
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2 Положения).
Адвокатам, чтобы понять относятся ли они к операторам, осуществляющим обработку персональных данных без использования средств автоматизации, необходимо сделать анализ субъектов персональных данных.
Основной субъект — доверитель. Цель обработки — составление Соглашения о юридической помощи.
Состав персональных данных — ФИО, паспортные данные, адрес, эл почта и т.д.
Действия (операции) — использование, уточнение, распространение, уничтожение персональных данных осуществляются при непосредственном участии человека (то есть, на бумажном материальном носителе). Такой же анализ провести по другим субъектам персональных данных.
Оператор, осуществляющий обработку персональных данных с использованием средств автоматизации, должен отправлять уведомление в Роскомнадзор в следующие сроки. До начала обработки персональных данных, при этом, конкретных сроков представления сведений в составе уведомления законодательство не содержит. При любых изменениях сведений (например, при изменении целей или сроков обработки персональных данных) — не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
Если оператор не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений до 30 мая 2025 года, его оштрафуют по ст. 19.7 КоАП РФ, с 30 мая 2025 года размеры штрафов за нарушения будут повышены ч. 10 ст. 13.11 КоАП РФ:
-для граждан — в размере от 5000 до 10 000 руб.;
-для должностных лиц государственного или муниципального органа либо некоммерческой организации — от 30 000 до 50 000 руб.;
-для юридических лиц, (не являющихся государственным, муниципальным органом или НКО), и ИП — от 100 000 до 300 000 руб.
До подачи уведомления должны быть сформированы локально — нормативные акты, отражающие систему работы с персональными данными организации, поскольку уведомление должно отражать эти документы.
Но безопаснее срочно подать уведомление до 30 мая 2025 года, даже если пока не сформированы локально-нормативные документы. Впоследствии подать уведомление с изменениями сведений.
II. Сайты
Все операторы, у которых есть сайт, обязаны соблюдать требования Роскомнадзора.
Кроме того, сайт не должен нарушать требования к трансграничной передаче данных (необходим аудит технический и юридический для выявления нарушений, они могут быть в коде сайта, и оператор может даже не знать об этом).
Трансграничной передачей персональных данных является использование иностранного программного обеспечения или интернет-сервисов, позволяющих собирать, хранить или обмениваться персональными данными с помощью сети «Интернет».
Алгоритмы Роскомнадзора — это новая система контроля, которая сейчас осуществляется автоматизированно. Алгоритмы Роскомнадзора видят не только внешние (видимые), но и внутренние (невидимые) нарушения. Контроль становится массовым и не требует человеческого ресурса со стороны госоргана так, как это было раньше.
Операторам необходимо следующее:
1.Опубликовать на сайте актуальную Политику оператора обработки персональных данных.
2.Опубликовать на сайте актуальную Политику конфиденциальности сайта.
3.Согласие на обработку персональных данных посетителя должно быть во всех в формах связи на сайте.
4.Согласие для посетителей сайта о собираемых «Cookie».
5.Разместить контактные данные юридического лица (владельца сайта).
6.Привести в соответствие предлагаемых на сайте товаров или услуг кодам ОКВЭД (виду деятельности) организации.
Касательно трансграничной передачи — отключить программы.
III. Меры по обеспечению выполнения оператором обязанностей по обработке персональных данных
ст. 13.11 КОАП РФ предусматривает ответственность для юридических лиц (ИП, приравненных к ним), должностных лиц, граждан. Рассмотрим способы снижения риска быть подвергнутым штрафам.
1) Юридические лица (ИП, приравненные к ним)
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом о перс данных (ст. 18.1). Добросовестное выполнение этой обязанности важно и полезно для оператора.
При определении пакета мер допустимо использовать Постановление Правительства РФ от 21 марта 2012 г. № 211, ред. от 15.04.2019 г. (ПП № 211). Несмотря на то, что оно предназначено для государственных органов, никто не запрещает его использовать и другим организациям. Использование в качестве шаблона ПП № 211 дает основание полагать, что приняты меры необходимые и достаточные.
Первый документ пакета мер следует назвать «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» (Перечень). Во вступительной части следует написать, что он составлен руководствуясь Перечнем, утв.
Постановлением Правительства РФ от 21 марта 2012 г. № 211. В Перечне следует указать все правила, перечни, типовые формы, действия, необходимые для выполнения обязанностей оператора персональных данных.
Затем необходимо составить все документы и совершить действия, перечисленные в Перечне.
Дополнительно необходимо выполнить требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения закона о персональных данных (Утв. приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178).
Тем самым оператор подтверждает для контролирующего органа, что принял меры, необходимые и достаточные для обеспечения выполнения тех обязанностей, которые предусмотрены законом о перс данных.
Надо понимать важность и значение этого пакета мер.
Ответственность несут лица, виновные в нарушении законодательства (ч.1 ст. 24 закона о перс данных).
В соответствии с ч.4 ст. 2.1 КОАП РФ юридическое лицо не подлежит административной ответственности за совершение административного правонарушения, за которое должностное лицо или иной работник данного юридического лица привлечены к административной ответственности, если таким юридическим лицом были приняты все предусмотренные законодательством Российской Федерации меры для соблюдения правил и норм, за нарушение которых предусмотрена административная ответственность.
Рекомендуемый пакет мер послужит доказательством перед контролерами того факта, что юридическое лицо не подлежит административной ответственности в случае нарушения законодательства о персональных данных его должностным лицом или работником, так как невиновно.
2) Должностное лицо
Квалифицирующим признаком является то, что административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей (ст. 2.4 КОАП РФ).
Руководители и другие работники не государственных организаций несут административную ответственность как должностные лица в связи с выполнением организационно-распорядительных или административно-хозяйственных функций (Примечание к ст. 2.4 КОАП РФ).
Одной из мер выполнения обязанностей в области персональных данных является назначение лица, ответственного за организацию обработки персональных данных (по приказу). Допустимо назначить лицо, не являющееся должностным лицом или не управомоченное выполнять организационно-распорядительные или административно-хозяйственные функции.
Руководитель организации утверждает Перечень, другие документы, перечисленные в Перечне. Лицо, ответственное за организацию обработки персональных данных (Ответственный), осуществляет проверки соответствия обработки персональных данных установленным требованиям.
Ответственный докладывает руководителю о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.
Руководитель организации издает распоряжение, предусматривающее устранение нарушений.
Ответственный осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, организуют их обучение.
Эти меры послужат доказательством перед контролерами того факта, что юридическое лицо и должностное лицо не подлежит административной ответственности в случае нарушения законодательства о персональных данных его работником, так как невиновны.
3) Гражданин
После принятия мер, снижающих штрафы для юридического лица и должностного лица, остается риск наложения штрафа на работников организации. Но размеры этих штрафов самые низкие.
Тем не менее, оператору следует проявить заботу о работниках, непосредственно осуществляющих обработку персональных данных. Действия, способствующие снижению этих штрафов, описаны ниже в тексте.
IV. Контрольные мероприятия
Контролирующий орган проводит контрольные (надзорные) мероприятия либо без взаимодействия с контролируемым лицом либо во взаимодействии.
1) Контрольные (надзорные) мероприятия без взаимодействия с контролируемым лицом осуществляются в соответствии с законом о перс данных. Рассмотрим два случая.
а) Контролирующий орган доводит до оператора запрос — требование о выявлении неправомерной обработки персональных данных. Случаи неправомерной обработки установлены в статье 13.11 КоАП РФ.
К ним относятся: обработка в случаях, не предусмотренных законодательством РФ в области персональных данных (ч.1); либо обработка несовместимая с целями сбора персональных данных (ч.1); либо обработка без согласия в письменной форме субъекта персональных данных на обработку его персональных данных (ч.2); либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных (ч.2); невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (ч.8).
Для оператора установлена обязанность по устранению нарушений законодательства, допущенных при обработке персональных данных (ч.1,3 ст.21 закона о перс данных). Получив запрос контролирующего органа, оператор обязан прекратить неправомерную обработку, не подлежащую исправлению, блокировать неправомерную обработку, подлежащую исправлению и внести исправления.
О выполнении обязанности по устранению нарушений законодательства, допущенных при обработке персональных данных, оператор в течение 10-ти дней (ч.4 ст. 20 закона о перс данных) уведомляет контролирующий орган. В уведомлении надлежит сообщить об исполнении обязанности об устранении допущенных нарушений в соответствии с ч.1,3 ст. 21 закона о перс данных. Просить признать факт надлежащего исполнения обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных. Уведомление послужит доказательством перед контролерами того факта, что сотрудники не подлежит административной ответственности, так как невиновны.
б) Уполномоченный орган по защите прав субъектов персональных данных имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных (п.3 ч.3 ст. 23 закона о перс данных).
Для оператора установлена обязанность по устранению нарушений законодательства по уточнению, блокированию и уничтожению персональных данных (ч.1,2 ст.21 закона о перс данных). Получив требование контролирующего органа, оператор обязан его выполнить. В течение 7-ми рабочих дней (ч.2 ст.21 закона о перс данных) направить уведомление в адрес контролирующего органа.
В уведомлении сообщить об исполнении обязанности об устранении допущенных нарушений в соответствии с ч.1,2 ст. 21 закона о перс данных. Просить признать факт надлежащего исполнения обязанности оператора по устранению нарушений законодательства по уточнению, блокированию и уничтожению персональных данных.
Уведомление послужит доказательством перед контролерами того факта, что сотрудники не подлежит административной ответственности, так как невиновны.
2) Контрольные (надзорные) мероприятия во взаимодействии с контролируемым лицом осуществляется в соответствии с Федеральным законом от 31 июля 2020 года № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (закон о гос контроле).
По окончании проведения контрольного (надзорного) мероприятия, предусматривающего взаимодействие с контролируемым лицом, составляется акт контрольного (надзорного) мероприятия (Акт).
Часть 2 статьи 87 закона о гос контроле предоставляет право контролируемому лицу устранить выявленные нарушения до окончания проведения контрольного (надзорного) мероприятия. Контролирующий орган должен в Акте указать факт устранения нарушения.
Для этого лицу, ответственному за организацию обработки персональных данных, надлежит постоянно сопровождать контроллеров, реализуя право оператора на присутствие при проведении контрольного (надзорного) мероприятия (ст. 36 закона о гос контроле) и выяснять установленные ими нарушения. Доказательствами устранения нарушений являются пояснения оператора по вопросам проведения контрольного (надзорного) мероприятия.
Если контроллер в Акте не указал факт устранения нарушений и оформил предписание об устранении выявленных нарушений обязательных требований, контролируемое лицо вправе подать жалобу на предписание контролирующего органа в течение 10 рабочих дней с момента получения предписания (п. 57 Постановления Правительства РФ от 29.06.2021 N 1046 (ред. от 16.12.2021) «О федеральном государственном контроле (надзоре) за обработкой персональных данных»).
Активная позиция оператора снижает риски быть подвергнутым штрафам.
V. Критерии отнесения объектов государственного контроля к категориям риска
Отнесение объектов государственного контроля к определенной категории риска причинения вреда (ущерба) охраняемым законом ценностям осуществляется на основании критериев отнесения объектов государственного контроля к определенной категории риска, установленных согласно приложению к Постановлению Правительства РФ от 29.06.2021 N 1046 (ред. от 16.12.2021) «О федеральном государственном контроле (надзоре) за обработкой персональных данных». Эти критерии влияют на плановые контрольные мероприятия.
Категории риска причинения вреда: высокого, значительного, среднего, умеренного, низкого. Чем выше категория, тем чаще проверка. При высокой категории — проверка один раз в два года, при низком риске — плановые контрольные мероприятия не проводятся.
Но не исключаются проверки, связанные с рассмотрением обращений граждан или юридических лиц (ч.5 ст. 23 закона о перс данных).
Уважаемая Ольга Юрьевна, спасибо за очередное напоминание о практически безграничной ответственности за то, что ещё совсем недавно не считалось не то что нарушением, но даже никому в голову не приходило считать обычные действия, совершаемые всеми вокруг при заключении сделок и обычном взаимодействии, и вдруг ставшими чуть ли не гостайной.
По большому счёту, вся эта нагнетаемая истерия, имеет смысл в основном для госорганов (фактически выведенных из под контроля) операторов связи и банков (и без того уже зарегулированных до невозможности), и мне сложно себе представить, как на практике будет осуществляться контроль, а главное — именно защита самих персональных данных, а не просто «мышиная возня» по выявлению и привлечению к ответственности кого попало, за нарушения, которые никому и никакого вреда не принесли (smoke)
Уважаемый Иван Николаевич, обнаружил интересную «загогулину». Вот она:
— п.1 ч.2 ст.1 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ гласит, что «Действие настоящего Федерального закона не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.
- по смыслу п.1 ч.1 ст.7 и п.1 ч.4 ст.25 Федерального закона „Об адвокатской деятельности и адвокатуре в Российской Федерации“ от 31.05.2002 N 63-ФЗ, ст.ст. 6-8 Кодекса профессиональной этики адвоката адвокат оказывает юридическую помощь лично. В силу ст. 967 ГК РФ поверенный оказывает услуги лично.
— при оказании юридической помощи адвокат также несёт личную ответственность.
Потому полагаю, что:
Личный и доверительный характер отношений адвоката и доверителя исключает данные отношения из действия Федерального закона „О персональных данных“ от 27.07.2006 N 152-ФЗ, поскольку, даже если адвокат и осуществляет какую-либо обработку персональных данных доверителя, он делает это, исходя из личной необходимости оказания юридической помощи. Следует также участь, что при этом на адвоката также распространяется обязанность об сохранению адвокатской тайны, эта обязанность определена ст.8 Федерального закона „Об адвокатской деятельности и адвокатуре в Российской Федерации“ от 31.05.2002 N 63-ФЗ и ст.6 Кодекса профессиональной этики адвоката, что предопределяет соблюдение условия «если при этом не нарушаются права субъектов персональных данных».
Уважаемый Владислав Александрович, да, безусловно, адвокаты вообще не должны признаваться «операторами», НО мой скромный опыт показывает, что первым делом РКН попробует сформировать практику (создать прецеденты) на самых «непродвинутых» и «непрошаренных» коллегах, на которые потом будут ориентироваться все остальные суды, и переломить такую порочную практику будет очень сложно (smoke)
Уважаемый Иван Николаевич, вполне допускаю, что придётся ещё и до Конституционного Суда РФ дойти, т.к. тут явно есть риск нарушения принципа правовой определённости в виде возникновения избыточного правового регулирования (вот тут есть выжимки об этом).
Вероятно есть иной путь: Направить запросы в уполномоченные органы и депутатам. Может быть даже коллективные.
Направить запросы в уполномоченные органы и депутатам. Уважаемый Владислав Александрович, вообще-то этим, на мой взгляд, давным-давно должны были озаботиться специально уполномоченные люди, коих у нас предостаточно, и если они этими вопросами не занимались, то мне совершенно понятно как они и дальше будут реагировать на эту «удивительную» ситуацию, поэтому проще и эффективнее нам самим позаботиться об этом самостоятельно.
Вы не хотите взять на себя подготовку и направление таких запросов? ;)
Уважаемый Иван Николаевич, сейчас я загружен другим Вашим поручением, которое Вы дали на конференции, по вопросу усиления актуализации нашего сайта (если помните). Проблему эту, кажется, я решил, но нужно для Вас её ещё описать. Плюс проблем с соглашениями (тоже если помните). И заняться этим смогу не ранее следующей недели, т.к. тут суды отложились и дали кучу поручений — они в приоритете, естественно.
Уважаемый Владислав Александрович, личные нужды, к сожалению, не равно личному оказанию услуг. Я так и не поняла, нужно ли адвокатам сообщать что-либо в РКН, когда сообщаешь в Палату сведения о том, что у тебя заключено соглашение на защиту, в других случаях. Когда ты направляешь адвокатский запрос, то сообщаешь адресату запроса персональные данные доверителя (пусть не в тексте запроса, так в тексте ордера, когда указываешь, кого защищаешь… ). Ведь это всё подпадает под понятие «использование ПД», «распространение ПД» Все это крайне спорно, безобразно написано (я — о НПА), так, чтобы при желании кого угодно можно было привлечь к ответственности…
Уважаемая Оксана Геннадьевна, сам понимаю, что породил курьёзное толкование. Оно курьёзное хотя бы потому, что тогда адвокат становится субъектом, который подлежит защите по законодательству о защите прав потребителей.
Но, давайте представим, что мы выдвигаем этот аргумент в суде, и нам суд говорит: «Нет, вы путаете, „личные и семейные нужды“ — это потребление для своих собственных целей, а не для целей работы адвоката!».
В ответ можно сказать: «Прекрасно! Это правда! Я адвокат, я выступаю в суде, а при обращении граждан делаю всё для защиты их прав. Однако, тогда мою деятельность следует признать не личной, а публичной. Это означает, что в силу п.2, п.3 и п.3.1. ч.1 ст.6 Федеральный закон от 27 июля 2006 г. N 152-ФЗ „О персональных данных“ я не должен подпадать под какое-либо декларирование, регистрацию и т.п., ведь суды этого не делают.»
Аналогично было рассмотрено дело в отношении органов ФССП по обеспечению порядка в судах — Апелляционное определение ВС РФ Дело №АПЛ23-169 от 8 июня 2023 года. Полагаю, что с адвокатами также.
Уважаемая Оксана Геннадьевна, в разделе Новости проекта – важные изменения функционала портала… Иван Николаевич Морохин обосновал правовую позицию об отсутствии обязанности предоставления Уведомления оператора перс данных у адвокатов. Я с ним солидарна и добавила свои выводы в обращении к нему. Я не умею делать ссылки на сайте, извините за неудобства, но если интересно, то найдите в ленте мое обращение к Николаю Ивановичу. Там, в том числе, об отличии между распространением и предоставлением перс данных
Уважаемый Иван Николаевич, благодарю за внимание к публикации. Вы правы, хотелось бы спросить депутатов — как рука не дрогнула голосовать за драконовские штрафы. Они ведь налагаются на граждан РФ, которые своим трудом обеспечивают, в том числе, безбедное существование депутатов (мое мнение).
Все действия действительно заключаются в поиске стрелочников, среди тех, кто обременен множеством задач и ответственностей.
На днях прочла о том, что группа лиц купила у должностного лица оператора связи базу данных клиентов и перепродала ее кому-то, кто получил возможность использования в незаконных целях. Но это осознанные действия, имеющие материальный интерес и уголовно наказуемые. На этом поле хотелось бы видеть успехи гос контролеров.
Уважаемый Иван Николаевич, присоединяюсь к Вашим выводам о том, что адвокаты не обязаны предоставлять Уведомление в Роскомнадзор. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п.1 Положения 687). Проводим следующий анализ.
↓ Читать полностью ↓
1) Категория субъектов перс данных: Доверитель (поручитель).
Цель обработки: ЗАКЛЮЧЕНИЕ договора (соглашения). Состав персональных данных: ФИО, номер телефона, Эл почта; паспортные данные, адрес, ИНН. Действия (операции): Сбор, запись, использование, уточнение, уничтожение.
Правовое основание, допускающее обработку данных: П.5 ч.1 ст. 6 закона о перс данных.2) Категория субъектов перс данных: Доверитель (поручитель). Цель обработки: ИСПОЛНЕНИЕ договора (соглашения).
В договоре получить Согласие доверителя на передачу перс данных.
Состав персональных данных: ФИО, номер телефона, Эл почта; паспортные данные, адрес, ИНН.Действия (операции): Передача (предоставление определенному кругу лиц).
Правовое основание, допускающее обработку данных: П.5 ч.1 ст. 6 закона о перс данных.Статья 3. Основные понятия, используемые в законе о перс данных
3) обработка персональных данных — передача (распространение, предоставление, доступ);
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Вывод из анализа. Адвокат осуществляет использование, уточнение, уничтожение, передачу (предоставление определенному кругу лиц) персональных данных доверителя (субъекта персональных данных).
Адвокат не осуществляет распространение (раскрытие неопределенному кругу лиц) персональных данных доверителя (субъекта персональных данных).
Использование, уточнение, уничтожение осуществляются при непосредственном участии человека (на бумажном материальном носителе).
Следовательно, адвокат осуществляет функции оператора без необходимости уведомлять Роскомнадзор.