Закон о защите персональных данных (далее – Закон № 152) принят в 2006 году. В 2022 году в него внесены существенные изменения. Они усилили защиту ПДн и требования к тем, кто их обрабатывает. В конце 2023 года были повышены штрафы за незаконную обработку персональных данных, с 30 мая 2025 года санкции также повышаются (вводятся многомилионные штрафы и дополнительные составы административных правонарушений).
Особое внимание законодатель уделяет защищенности ПДн на сайтах. Обработка персональных данных для сайта происходит для различных целей. Сайты организаций и ИП собирают адреса и другую персональную информацию. Чтобы это было законным, нужно соблюдать ряд требований, которые рассмотрим в этой статье.
Закон № 152 распространяется на всех, кто обрабатывает ПДн. К таким субъектам, в частности, относятся:
Российские юридические и физические лица, которые используют при обработке данных автоматизированные способы.
Иностранные компании и граждане. При этом носитель ПДн должен быть стороной договора или иного соглашения об обработке персональных данных для сайта.
Обработка персональных данных нужна для различных видов бизнеса и происходит на сайтах различных организаций или ИП, например, при регистрации посетителя в личном кабинете. Эти компании занимаются:
Консалтинговыми и другими юридическими услугами.
Бьюти-бинесом (продажа одежды, информационный сайт для популяризации продвижения бренда и т.д.)
Предоставлением медицинских услуг (частные клиники, проведение анализов и др.).
Производством.
Частным образованием.
Поставками различных товаров из-за рубежа. В этом случае возможна трансграничная передача ПДн. Для нее закон № 152 установил особые условия обработки персональных данных для сайта.
И др.
С 30 мая 2025 года повышена ответственность за нарушения, которые связаны с обработкой персональных данных (приводятся сведения для организаций, далее – ЮЛ).
Ответственность по ч. 1, ч. 1.1 ст. 13.11 КоАП:
Для ЮЛ и ИП: от 150 до 300 рублей (300-500 тыс. рублей за повторное нарушение).
Вводятся новые части в ст. 13.11 КоАП. Они предусматривают ответственность организаций за:
Несвоевременное уведомление или не уведомление Роскомнадзора о намерении обрабатывать ПДн (ч. 10 ст. 13.11 КоАП, штраф 100-300 тыс. рублей).
Несвоевременное уведомление или не уведомление Роскомнадзора об утечке ПДн (ч. 10 ст. 13.11 КоАП, санкция 1-3 млн рублей).
Неправомерная передача ПДн. Она может быть выражена как в форме действия (передача), так и бездействие (если не приняты меры по ограничению доступа. Штрафы предусмотрены ч.ч. 12,13, 14 ст. 13.11 КоАП и зависят от объема идентификаторов (единиц ПДн), которые неправомерно переданы: от 10 до 100 тыс. – штраф от 3 до 5 млн рублей, от 100 до 1 млн – штраф от 5 до 10 млн рублей, более 1 млн – штраф от 10 до 15 млн рублей
Утечка ПДн специальных категорий. Это данные о здоровье, расе, религиозных убеждениях, политических взглядах, сексуальной жизни и некоторые другие (ч. 16 ст. 13.11 КоАП, санкция 10-15 млн рублей).
Утечка биометрических персональных данных (сетчатка глаза и радужная оболочка, ДНК, данные распознавания лица, голосовые отпечатки, рисунок вен ладони, геометрия руки, походка, ритм набора текста (биометрия клавиатурного почерка), подпись (динамика написания) и др.) – ч. 17 ст. 13.11 КоАП, санкция 15-20 млн рублей.
При повторных нарушениях вводятся оборотные штрафы. Они предусмотрены ч. 15 и 18 ст. 13.11 и составляют:
От 1 до 3% от оборота, но не менее, чем 20 млн и не более, чем 500 млн рублей.
От 1 до 3% от оборота, но не менее, чем 20 млн и не более, чем 500 млн рублей.
Смягчающим обстоятельством по ч. 11 ст. 13.11 КоАП является то, что компания в течение предыдущих 12 месяцев выполняла все требования в области защиты ПДн и это подтверждено документально. По всем частям ст. 13.11 КоАП льгота в виде 50%-ой скидки при быстрой оплате штрафа (ст. 32.2 КоАП РФ) не применяется.
Компания Juris AI разработает для вас все необходимые документы для сайта. Мы гарантируем, что они полностью отвечают требованиям Закона № 152 и Роскомнадзора. Мы защитим ваш бизнес от претензий контролирующих органов и многомиллионных штрафов.
Кроме того, для иностранных компаний предусмотрена ответственность по ст. 19.5.2 КоАП РФ за незаконный сбор ПДн граждан в сети Интернет. В случае нарушения ей грозит штраф до 6 млн рублей, а при повторном нарушении – до 18 млн. рублей.
Административная ответственность применяется, если нет состава уголовного преступления:
По ст. 272.1 УК РФ. Ответственность наступает за неправомерный доступ к ПДн путем вмешательства в деятельность компьютерных (информационных) систем. Не допускается, в том числе, сбор, хранение и распространение ПДн. Санкция статьи – до 4 лет лишения свободы (при отягощающих обстоятельствах, например, если произошла трансграничная передача ПДн – дол 8 лет).
По ст. 137 УК РФ – до 2 лет лишения свободы. Статья применяется, если преступление не подпадает под ст. 272.1 УК РФ.
ПДн может обрабатывать:
Оператор персональных данных. Им может быть юридическое лицо, а также любой владелец сайта или информационного ресурса, например гражданин, который создал его с определенной целью (продажа на своем сайте ароматических свечей или других товаров, информационные услуги и т.д.). Практически везде, где нужно вводить данные (регистрация аккаунта, сбор данных об адресе доставки товаров и т.д.), происходит обработка ПДн. Это означает, что любому владельцу сайта нужен набор документов, которые предусмотрены Законом № 152. Если их не будет, предпринимателю грозят штрафные санкции или блокировка ресурса.
Обязанностями оператора ПДн являются соблюдение Закона № 152.
Обработчик ПДн. Это тот, кто действует по поручению оператора и только в рамках договора с ним. Например, Call-центр, который собирает ПДн лиц, желающих взять кредит, для банка.
Обработчик обязан:
Не использовать персональные данные в своих целях.
Соблюдать инструкции оператора.
Гарантировать конфиденциальность (ст. 7 ФЗ-152).
Предоставлять оператору ПДн свидетельство (отчет) о выполнении поручения.
Сообщать оператору ПДн об инцидентах (происшествиях), связанных с персональными данными.
Одно и то же лицо может быть одновременно оператором и обработчиком персональных данных. Так, маркетплейс является оператором для данных покупателей и обработчиком для данных продавца.
Если произойдет утечка данных или другое нарушение закона № 152, за него отвечает оператор ПДн.
Так, в 2022 году (дело № № А07-34409/2023) ООО «Промтрансбанк» был оштрафован за административное правонарушение по ст. 13.11 КоАП на 60 тыс. рублей. Причиной штрафа стала утечка данных клиентов банка. Она произошла по вине подрядчика банка ООО «Экспресс лаб». Он создал лог-файл с данными клиентов и оставил его в открытом доступе в сети Интернет.
Впоследствии банк через суд взыскал сумму штрафа с подрядчика, так как удалось доказать его вину.
Если оператор ПДн поручит их обработку иностранному лицу, то ответственность за их надлежащее использования несут и оператор и обработчик ПДн.
Необходимо разработать пакет юридических документов для сайта, на котором происходит обработка ПДн документов. Они позволят убедить контролирующие органы, что предприниматель действует в соответствии с Законом № 152.
До начала обработки нужно направить в Роскомнадзор уведомление.
Кроме того, нужны следующие документы для оформления сайта:
Политику конфиденциальности. Это документ, который определяет, как обрабатываются и защищаются ПДн. Он описывает цели сбора персональных данных, какие ПДн собираются, как они обрабатываются, хранятся и защищаются. Кроме того, он описывает права пользователей сайтаых (на доступ, исправление и удаление ПДн, отзыв согласия на их обработку).
Правила работы с персональными данными. Могут быть включены в политику конфиденциальности отдельным разделом. Они должны соответствовать Закону № 152 и рекомендациям Роскомнадзора. Основные разделы правил: общие положения (наименование организации, ссылки на нормативные акты и др.), какие ПДн обрабатываются, принципы их обработки (законность, достоверность и др.), способы и цели обработки ПДн, длительность их хранения, передача ПДн третьим лицам (возможность, условия, цели и др.), защита (шифрование, антивирусы, ограничение доступа и др.), права носителей ПДн, контактные данные.
Согласие на обработку персональных данных для сайта. Это специальная форма. Ее заполняет пользователь. В ней указываются все сайты, которые будут обрабатывать персональные данные. Текст согласия должен содержать конкретные и понятные формулировки. Нельзя, например, написать, что сайт обрабатывает ПДн пользователя в объеме, который достаточен для работы с маркетплейсом.
Все эти документы должны присутствовать на сайте. Факультативным является обязательство о неразглашении персональных данных. Этот документ подписывают все сотрудники, которые могут работать с ПДн клиентов и других пользователей. Он нужен если обрабатываются данные специальных категорий.
Кроме того, у организации должны быть локальные документы (приказы, распоряжения и др.). Их не нужно размещать на сайте. Однако Роскомнадзор может потребовать предоставить их в ходе проверки.
Компания Juris AI разработает полный комплект документов для вашего сайта. Мы индивидуально подходим к клиентам и избегаем шаблонов обработки персональных данных для сайтов. Это необходимо, так как для каждого бизнеса нужны свои документы, учитывающие его специфику. Мы гарантируем, что документы будут отвечать специфике вашей деятельности и полностью соответствовать требованиям Закона № 152 и рекомендациям Роскомнадзора.
Оператор ПДн обязан уведомлять Роскомнадзор о намерении обработки данных.
Роскомнадзор уведомлять не нужно, если:
ПДн используются в информационных системах, которые созданы для целей безопасности или правоохранительной деятельности.
Не применяются средства автоматизации.
ПДн обрабатываются в случаях, которые предусмотрены законом о транспортной безопасности (№ 16-ФЗ).
Таким образом, большинству компаний нужно подавать соответствующе уведомление в Роскомнадзор. Это можно сделать в бумажном или электронном виде по форме, которая разработана контрольным ведомством. В нем для каждой из целей обработки ПДн указываются:
Категории носителей ПДн (работники организации, контрагенты, посетители сайта и др.).
Основания обработки (согласие посетителя сайта, ссылки на Закон № 152 и др.).
Перечень возможных действий с данными (сбор, хранение, систематизация и др.).
Способы обработки ПДн (автоматизированная, неавтоматизированная, смешанная).
Меры по защите персональных данных для сайтов (шифрование, ответственные лица и др.).
Дата начала обработки.
Длительность хранения и правила прекращения обработки персональных данных на сате.
Будет ли производится трансграничная передача ПДн и другие.
Согласие на обработку ПДн должно быть:
Свободным. Это означает, что носитель персональных данных (человек) должен давать согласие добровольно, без манипуляций. Например, незаконным будет проставление галочки «согласен» по умолчанию в тексте договора.
Выражено своей волей, то есть без принуждения.
В интересах пользователя сайта. Обработка данных должна соответствовать целям их носителя, приносить ему осознанную выгоду.
Кроме того, согласие на обработку ПДн должно быть:
Конкретным. Это означает, что должны быть однозначно определены конкретные данные и цели их обработки. Незаконно, будет, например, написать в согласии «и другие данные».
Предметным (введено с 2022 года). Это означает, что обработка данных должна соответствовать предмету договора и не выходить за его рамки.
Информированным. Текст согласия на обработку ПДн должен быть понятен пользователю сайта. Не допускается писать его на юридическом языке с использованием специальных (малопонятных неспециалисту) терминов. Пользователь сайта должен понимать какие данные будут обрабатываться. Цель обработки персональных данных для сайта должна быть оправдана, связана с видом бизнеса. Кроме того, пользователь должен понимать каким способом можно отозвать согласие на обработку персональных данных.
Сознательным. Это значит, что он должно быть выражено явным образом (галочка в чекбоксе, подпись на документе, устное подтверждение – если ведется запись разговора). Молчание или бездействие не являются формами выражения согласия на обработку персональных данных.
Однозначным (введено с 2022 года). Это означает, что не допускаются размытые формулировки.
В 2022 году в закон № 152 введена статья 18.1. Она определяет, что локальный акт оператора ПДн должен включать:
Политику обработки персональных данных для сайта (обычно этот документ называется «Политика конфиденциальности»). Она должна быть доступна на странице сайта, которая используется для обработки ПДн. Это может быть либо текст политики обработки ПДн, либо активная ссылка на нее. Данное положение касается не только web-страниц, но и мобильных приложений.
Сведения о защите ПДн (как они хранятся, шифруются, кто имеет к ним доступ).
Эти сведения должны быть размещены либо на сайте компании (в разделе, где пользователи вводят свои данные, или в специальном разделе), либо в открытом доступе (если планируется оффлайн сбор ПДн).
Например, если интернет-магазин собирает сведения о телефонах покупателей, он обязан разместить на сайте ссылку на политику конфиденциальности в форме заказа.
Локальные нормативные акты должны включать в себя детальные сведения. В них необходимо:
Указать для каждой цели обработки ПДн их носителей, состав данных данных, длительность их хранения, правила уничтожения.
Определить степень вреда (низкая, средняя, высокая), который будет причинен носителям данных при их утечке и других нарушениях. Методика оценки приведена в приказе Роскомнадзора.
Кроме того, у организации должны быть разработаны и размещены на сайте пользовательское соглашение и согласие на обработку персональных данных. Подробнее об этих документах можно прочесть подробнее на Juris AI. Судебные кейсы приведены ниже. кейсы и практические рекомендации доступны на Juris AI.
Все эти документы Роскомнадзор запрашивает при проверках.
Компания Juris AI разработает для вас пользовательское соглашение, политику конфиденциальности и согласие на обработку ПДн. Это защитит вашу организацию от неправомерных действий пользователей, снизит риск возможных претензий со стороны Роскомнадзора и других контролирующих органов. В этих документах мы пропишем права и обязанности посетителей сайта компании на понятном языке.
Законом № 152 (пп. 5, 6 ст. 6) установлено, что:
Договор не должен нарушать права и свободы носителя персональных данных. Права – это то, что гарантировано государством; то, за что государство отвечает и обязано сделать для гражданина. Например, это право частной собственности. Свободы – это все то, что разрешено гражданину. При этом государство ему не должно мешать их осуществлять. Например, свобода предпринимательства.
В договор нельзя вносить положение о бездействии носителя данных, если это является условием его заключения. Например, банки нередко включают условие о том, что заемщик обязуется не отзывать свое согласие в течение всего срока действия кредитного договора. Это противоречит закону.
Эти положения Закона № 152 (введены в 2022 году) призваны значительно сократить негативную практику деятельности компаний. Она заключается в том, что в договоры включаются положения об обработке ПДн в целях, которые явно не соответствуют услугам или сути соглашения.
Например: потребитель заказал доставку еды на сайте «Яндекс.Еда». При этом он принял условия соглашения об обработке ПДн. В нем указано, что персональные данные (пример: ФИО, телефон, адрес доставки, e-mail) для сайта предназначены не только для целей доставки, но и для рассылки персональных рекламных предложений, в том числе о финансовых услугах (кредиты, вклады, страхование и т.п.).
Другой пример: потребитель приобрел услуги по посещению занятий фитнес-клуба. В договоре указано, что показатели о его здоровье (вес, давление, наличие хронических заболеваний и др.) могут использоваться для направления ему предложений БАДов от аптек.
В целях недопущения рассмотренных нарушений предпринимателю целесообразно исключить из договоров (публичных предложений – оферт и др.) спорные моменты, которые касаются обработки ПДн, если они выходят за рамки соглашения.
Для того, чтобы стать оператором персональных данных (им может быть юридическое лицо, ИП или гражданин) необходимо зарегистрироваться в этом качестве в Роскомнадзоре.
Для этого нужно:
Подать в Роскомнадзор уведомление. Его можно составить на портале персональных данных. Уведомление может быть подано как в электронном, так и в бумажном виде.
Дождаться решения Роскомнадзора. Срок проверки уведомления составляет 30 дней. Если форма будет заполнена неправильно, контрольное ведомство откажет заявителю во включении в реестр операторов ПДн до внесения корректировок в уведомление. В этом случае его нужно будет направить снова.
Получить выписку из реестра ПДн.
Перед подачей уведомления нужно назначить ответственного за обработку ПДн в организации, а также подготовить необходимые документы. Их наличие и соответствие требованиям законодательства может проверить Роскомнадзор.
Компания Juris AI специалисты Juris AI вашу организацию в качестве оператора персональных данных. Мы проверим наличие и качество составленных вами документов и, при необходимости, предложим услуги по их доработке в соответствие с требованиями Закона № 152 и Роскомнадзора. Мы подадим заявление о регистрации организации в качестве оператора персональных данных в полном соответствии с формой, которая утверждена Роскомнадзором. Мы гарантируем отсутствие в уведомлении ошибочных данных. Это гарантирует, что ваша организация станет оператором ПДн в минимально возможные сроки.
Статьей 20 Закона № 152 установлено, что на запросы Роскомнадзора по поводу обработки ПДн или исполнения законодательства о ПДн нужно отвечать в срок до 10 рабочих дней. К ним можно прибавить 5 дней, если мотивировать необходимость в продлении срока.
Закон № 152 также обязывает оператора ПДн информировать в течение 24 часов Роскомнадзор об инцидентах безопасности. К ним относятся любые факты неправомерной передачи ПДн любым из способов (распространение, предоставление доступа, утечка и т.п.).
В уведомлении Роскомнадзора приводится:
Дата и время инцидента.
Его причины.
Характеристики ПДн (субъекты, состав, объем базы ПДн).
Предполагаемый вред носителям ПДн.
Принятые меры по устранению инцидента.
По инцидентам безопасности необходимо провести расследование, а по его результатам в течение 72 часов проинформировать Роскомнадзор.
Для выполнения этих требований организациям нужно разработать документы по процедуре выявления, установления и нейтрализации инцидентов.
Компания Juris AI разработает необходимые документы, которые помогут вам взаимодействовать с носителями ПДн и избежать претензий со стороны Роскомнадзора. Мы учитываем логику работы именно ваших Интернет-ресурсов и в соответствие с ней выстраиваем юридическую сторону политики обработки ПДн и других локальных правовых актов. Мы избегаем шаблонов и индивидуально подходим к каждому клиенту.
Многие предприниматели не знают, что пользователь сайта может запросить всю информацию по обработке его данных, которые получены в регистрационных формах на сайте. К ним относятся:
Подтверждение факта обработки.
Цели основания обработки (договор, согласие).
Способы обработки, включая использование автоматизированных систем.
Перечень обрабатываемых данных (что именно хранится: ФИО, паспортные данные, биометрия и т.д.).
Сроки обработки (как долго хранятся данные).
Информацию о третьих лицах, которым передавались данные (например, банки, страховые компании).
Источник получения данных (если информация собрана не от самого субъекта).
Правовые последствия отказа предоставить данные (например, отказ в услуге).
Кроме того, носитель ПДн вправе запросить у оператора персональных данных, какие меры он принял:
Обеспечение безопасности данных.
Издание оператором ПДн ведомственных нормативных актов.
Внутренний аудит соответствия обработки данных положениям Закона № 152 и другие.
Срок ответа на запрос носителя ПДн составляет до рабочих 10 дней. Он может быть продлен еще на 5 дней. Для этого нужно уведомить носителя ПДн и указать мотивы продления срока. Если не ответить в указанные сроки, может наступить административная ответственность по ст. 13.11 КоАП.
При обращении к оператору с просьбой о прекращении обработки данных он должен сделать это в течение 10 рабочих дней (15, если мотивировать необходимость задержки выполнения данного требования).
При этом носителя персональных данных нужно проинформировать:
О том, что его требования исполнено и ПДн удалены.
О том, что организация продолжит обрабатку, так как это право установлено законом.
Факт уничтожения ПДн может быть подтвержден:
Актом.
Выгрузкой данных из журнала событий в информационной системе. В нем в автоматическом режиме ведется логирование (отслеживание с составлением записей, т.н. логов) всех событий с персональными данными, в том числе об их удалении из системы.
Бывают различные ситуации, когда происходит трансграничная передача данных. Например, при использовании Google Analitics, облачных сервисов, при онлайн-бронировании гостиниц за рубежом или заказе товаров у иностранных партнеров. При использовании популярных средств организации видеоконференций (Zoom и др.) данные также могут проходить через иностранные серверы. Если предприниматель понимает, что будет происходить трансграничная передача данных, нужно уведомить Роскомнадзор. В условиях сложных политических взаимоотношений с рядом приграничных стран соблюдение этой обязанности оператором ПДн позволят минимизировать репутационные и другие риски. Они связаны с повышенной ответственностью при утечке данных за рубеж.
Законом № 152 (ст. 12) установлены 2 режима передачи ПДн:
Уведомительный. В страны, которые обеспечивают адекватную защиту данных. Это страны, которые входят в Совет Европы, а также те, которые включены Роскомнадзором в специальный список. Это Болгария, Польша и др. Для передачи ПДн направляется уведомление в Роскомнадзор.
Разрешительный. Если страны нет в списках, то передача данных не допускается без разрешения Роскомнадзора.
При этом оператор ПДн должен получить у иностранных контрагентов данные о стране, в которую он передает персональные данные. Они включают сведения:
О защите данных, условиях прекращения их обработки.
О получателе ПДн (наименование, контактные данные).
О правовом регулировании обработки ПДн (для стран с разрешительным порядком).
Эти сведения может запросить Роскомнадзор.
С 1 марта 2023 года Роскомнадзор после рассмотрения уведомления в любую иностранную страну может запретить трансграничную передачу ПДн. Их передача в любом случае не допускается ранее 10 дней после подачи уведомления (до принятия контрольным ведомством решения по итогам его рассмотрения).
К 2025 году судами наработана значительная судебная практика по вопросам применения норм Закона № 152:
Закон № 152 не распространяется на обработку ПДн исключительно на бумажных носителях. Гражданин обратился в суд и потребовал признать действия ответчика (юридического лица) по обработке его данных незаконными. Ответчик указал, что обработка ПДн происходила в бумажном виде. Суд посчитал, что в этом случае ответчик не должен был уведомлять Роскомнадзор, так как такая обработка персональных данных не регулируется Законом № 152 (Дело № А56-25130/2020).
Если сайт имеет русскоязычную версию и на нем обрабатываются персональные данные граждан РФ, то к нему применимы нормы Закона № 152. Так, в 2019 году за нарушения положений Закона № 152 была оштрафована сеть Twitter. Ею не были локализованы (выделены) персональные данные российских граждан (Дело № 3338783/2016).
Сбор избыточных персональных данных незаконен. Банк отказал клиенту в выдаче кредита. Основанием отказа стало то, что он не предоставил справку об отсутствии судимости. Суд признал сбор этих данных избыточным и встал на сторону клиента банка (Дело № А765164/2016).
Конклюдентные действия являются выражением согласия на обработку ПДн. Истец (физическое лицо) зашел на сайт и оплатил на нем услуги компании. После этого он обратился в суд, так как посчитал, что его ПДн обрабатываются незаконно. Суд посчитал, что он выразил свое согласие тем, что использовал сайт компании и заключил сделку. При этом все необходимые документы по обработке ПДн (политика конфиденциальности и др.) на сайте присутствовали (Дело № 3330803/2020)).
Превышение срока обработки персональных данных незаконно. Клиент заключил договор с кредитной организаций о вкладе денежных средств на накопительный счет. В договоре было указано, что банк вправе обрабптывать ПДн в течение 10 лет после прекращения договорных отношений. Суд посчитал, что этот срок установлен незаконно и не соответствуют целям обработки персональных данных (Дело № А40-12838/2022).
Передача ПДн третьим лицам не всегда незаконна. Покупатель заключил договор с транспортной компаний, которая передала его ПДн третьим лицам. При этом покупатель заключил договор путем присоединения к существующему и не мог изменить его условия. Суд посчитал, что круг третьих лиц не был определен транспортной компанией, а передача персональных данных им незаконна (Дело № А45-6560/2021).
Обязанность соблюдения Закона № 152 при наличии любого автоматизированного способа обработки данных. Роскомнадзор привлек организацию к административной ответственности за отсутствие на ее сайте документов, связанных с ПДн. Компания подала иск в суд и указала, что обработка ПДн ведется на бумажных носителях. В суде было установлено, что организация использует также электронные таблицы для систематизации данных. Суд посчитал требования Роскомнадзора о выполнении Закона № 152 законными (Дело № 33929/2014).
Правомерность установки камер видеонаблюдения. Есть несколько решений судов по вопросам законности установки видеокамер. Из них следует, что камеры могут быть размещены в общественных местах, на рабочем месте (если не ведется съемка в туалетах, комнатах отдыха и других местах личного пользования, при этом сотрудники организации должны знать, что ведется их съемка), в доме, квартире, на территории земельного участка, который принадлежит частному собственнику. Вместе с тем нельзя распространять данные съемки без согласия лиц, которые были зафиксированы на видео.
У нас произошел инцидент безопасности: хакеры взломали сайт организации и часть ПДн оказалась в свободном доступе. Кого нужно уведомить о происшествии?
Об утечке персональных данных, нужно уведомить:
Роскомнадзор (до 24 часов от времени инцидента). Если уведомления не будет оператора ПДн оштрафуют на сумму до 100 тыс. рублей.
Носителей персональных данных, если их утечка может им навредить. Это можно сделать путем sms-рассылки, по электронной почте или публичным объявлением на сайте организации или в СМИ.
Банк России, в случае если утечка связана с финансовыми данными. Для кредитных организаций – в срок до 72 часов (указание Банка России № 5346-У).
Правоохранительные органы, если имеются признаки состава преступления по ст. 272 УК РФ.
ГосСОПКа, если утечка произошла у субъекта критической информационной инфраструктуры или организацией заключено добровольное соглашение в взаимодействии с ГосСОПКа.
Можно ли хранить архивные персональные данные более 10 лет?
Закон № 152 не распространяет свое действие на архивные данные. В ряде случаев их длительное хранение вызвано требованиями закона. Например, трудовые книжки хранятся 75 лет, медицинские карты – 25 лет, личные дела призывников и военнообязанных – бессрочно.
Для архивного хранения нужно провести процедуры, которые указаны в законе об архивном деле (№ 125-ФЗ). К ним относятся, в частности, оформление дел для архива и их передача в архив. Эти данные могут понадобиться для различных целей (трудовые споры, судебные решения и др.).
У организации закончились договорные отношения с носителем персональных данных. После этого, через год, он отозвал согласие на обработку данных. Можем ли мы их обрабатывать?
Статьей 23 НК РФ установлена обязанность организации хранить данные клиентов в течение 5 лет после окончания договора. Это нужно для целей налогового учета.
Таким образом, вы можете хранить ПДн для этих целей. Однако для других – нет. Например, использование ПДн для рассылки рекламных объявлений будет незаконным.
Согласие на обработку персональных данных может быть получено в разных формах (письменная, электронная, устная). Когда требуется именно письменная форма?
Письменная форма данного документа требуется, если:
Обрабатываются специальные ПДн, которые включают данные о здоровье, расе, религиозных убеждениях, политических взглядах, сексуальной жизни, биометрии (отпечатки пальцев, ДНК). Это, например, медкарта в медицинском центре, сведения о религиозных предпочтениях при устройстве в организацию на работу и др.
Данные направляются в страну, в отношении которой установлен разрешительный порядок их передачи.
Это прямо указано в законе. Например, это данные сотрудников силовых структур.
В каких случаях Роскомнадзор может обратить повышенное внимание на деятельность организации в сфере защиты ПДн?
Роскомнадзор осуществляет непрерывный мониторинг сведений об обработке персональных данных в сети Интернет. Он может проверить любого оператора ПДн.
Вместе с тем наибольшее внимание со стороны контрольного ведомства может возникнуть, если:
На организацию жалуются носители персональных данных и этих жалоб много, включая однотипные.
У организации недостаточно защищены электронные ресурсы или документы на сайте компании не соответствуют требованиям. Данные обстоятельства можно выявить в ходе мониторинга Интернет-ресурсов, который Роскомнадзор проводит постоянно.
Если компания крупная и она обрабатывает большое количество персональных данных.
Juris AI проводит аудит сайтов на предмет соблюдения требований законодательства о персональных данных и требований Роскомнадзора.
Проверить сайт