Необходимость уведомления Роскомнадзора и организация обработки персональных данных в интернет-сервисе
На основе предоставленной информации дам развернутый анализ вашей ситуации и практические рекомендации.
Анализ ситуации
Ваша компания является оператором персональных данных, так как организует и осуществляет обработку информации о физических лицах (пользователях и сотрудниках). Согласно законодательству, >"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).
Применимые нормы и требования
1. Необходимость уведомления Роскомнадзора
Для данных пользователей: Обработка персональных данных пользователей для заключения и исполнения договоров с ними является законным основанием. >"Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1, пункт 5).
Однако это основание НЕ освобождает от обязанности направлять уведомление в Роскомнадзор. >"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 1).
В вашем случае исключения не применяются, так как:
- Вы обрабатываете данные с использованием средств автоматизации (интернет-сервис)
- Данные не относятся к специально предусмотренным исключительным категориям (государственные системы безопасности и т.д.)
Для данных сотрудников: Обработка персональных данных работников осуществляется на основании трудового законодательства. >"Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов" (Источник: Трудовой кодекс Российской Федерации, статья 86, пункт 1). Эта обработка также подлежит уведомлению Роскомнадзора.
2. Ответственное лицо в организации
"Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22.1, часть 1).
Генеральный директор как единоличный исполнительный орган несет общую ответственность, но может назначить конкретного сотрудника ответственным лицом. Это лицо:
- Получает указания непосредственно от руководства
- Осуществляет внутренний контроль за соблюдением законодательства
- Доводит до сведения работников положения законодательства
- Организует прием и обработку обращений субъектов персональных данных
3. Необходимые документы и меры
Внутренние документы организации:
-
Политика в отношении обработки персональных данных - обязательный документ
"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1, часть 2)
-
Локальные акты по обработке персональных данных, включая:
- Порядок обработки ПДн пользователей
- Порядок обработки ПДн работников
- Меры по обеспечению безопасности
-
Для сотрудников обязательно:
"Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области" (Источник: Трудовой кодекс Российской Федерации, статья 86, пункт 8)
-
Если вы являетесь микропредприятием, можете включить условия о порядке обработки персональных данных в трудовые договоры вместо принятия отдельных локальных актов:
"Работодатель - субъект малого предпринимательства, который отнесен к микропредприятиям... вправе отказаться полностью или частично от принятия локальных нормативных актов" (Источник: Трудовой кодекс Российской Федерации, статья 309.2, часть 1)
Для уведомления Роскомнадзора потребуются следующие сведения:
"Уведомление должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; ... 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона... 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 3)
"При предоставлении сведений... оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 3.1)
4. Меры безопасности
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1)
Выводы и конкретные рекомендации
Обязательные действия:
-
Назначьте ответственное лицо за организацию обработки персональных данных (приказом по организации).
-
Разработайте и утвердите необходимые документы:
- Политику в отношении обработки персональных данных
- Локальные акты, регулирующие обработку ПДн пользователей и сотрудников
- Положение об ответственных лицах и их полномочиях
-
Подготовьте и направьте уведомление в Роскомнадзор до начала обработки данных (если уже обрабатываете - направьте немедленно).
-
Обеспечьте информационную безопасность - определите и реализуйте организационные и технические меры защиты данных.
-
Ознакомьте сотрудников с документами под роспись.
-
Разместите Политику обработки ПДн на вашем сайте для пользователей.
Ответственность за нарушения:
"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 24, часть 1)
"Непредставление или несвоевременное представление в государственный орган... сведений (информации), представление которых предусмотрено законом... влечет предупреждение или наложение административного штрафа на юридических лиц - от трех тысяч до пяти тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 19.7)
Важно: Поскольку вы являетесь субъектом малого предпринимательства, размер административного штрафа может быть снижен согласно специальным положениям КоАП РФ.
Практический совет:
Учитывая сложность темы и серьезность последствий при нарушениях, рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных, для:
- Помощи в разработке полного пакета документов
- Консультации по конкретным мерам информационной безопасности
- Правильного оформления и направления уведомления в Роскомнадзор
- Проведения внутреннего аудита соответствия требованиям законодательства
Начать следует с разработки внутренних документов и назначения ответственного лица, после чего оперативно направить уведомление в Роскомнадзор.
