- Опубликовано: 25.07.2013
- Просмотров: 2250
Консультирует Наталья Сергеевна Бычкова, начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий.
Требования к защите персональных данных граждан нашей страны определены в федеральном законе № 152-ФЗ «О персональных данных», который вышел в 2006 году, а начал действовать в 2007 году. Этот закон очень «живой». В него постоянно вносятся изменения (не стал исключением и год текущий). Но самые серьезные на сегодняшний день изменения были внесены в закон два года назад. Тогда было изменено базовое понятие «персональные данные». И, в итоге, сейчас это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Таким образом, это понятие стало более общим, в результате сейчас практически вся информация о конкретном человеке является его персональными данными, а не только, допустим, данные из паспорта или биографическая информация.
Изменилось также определение оператора по работе с персональными данными. Сейчас это орган государственной или муниципальной власти, а также юридическое или физическое лицо, которое самостоятельно или с помощью кого-то организует и осуществляет обработку информации, определяет состав и цель использования полученных персональных данных. Таким образом, оператором стал и тот, кому поручили обработку персональных данных.
Появилось и такое понятие как «политика в отношении обработки персональных данных». Это должна быть сжатая форма положения о работе данной организации с персональными данными: как она работает с персональными данными, какие меры осуществляет по их защите. Данный документ должен быть доступен для просмотра всем желающим (например, можно его разместить на сайте компании).
Что проверяет Роскомнадзор в ходе проверки
294 ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» определяет порядок проведения проверок юридических лиц. Регулирует он и проверки, проводимые Роскомнадзором. Они могут быть выездными или документарными, плановыми или внеплановыми.
294 ФЗ уберегает юридические лица от излишних проверок. В зависимости от того, какой этот бизнес: малый, средний или крупный, определяет продолжительность проверки. Если говорить конкретно об агентствах недвижимости, то речь, чаше всего, идет о малом бизнесе.
По закону выездная проверка малого предприятия идет не более 50 часов. Проверить за это время субъект предпринимательства непросто. Поэтому, чаще всего, Роскомнадзор проводит документарную проверку, которая длится 20 рабочих дней. В этом случае заранее отправляется уведомление о проведении проверки и запрос на предоставление документов.
Основанием же для проведения внеплановых проверок, согласно 294 ФЗ, служат обращения граждан о нарушении прав потребителей. Но каждую выездную проверку Роскомнадзор должен согласовывать с прокуратурой, что сделать не так просто.
В ходе проверки оператору обычно предоставляется возможность исправить нарушения. Конечно, если речь не идет о грубых нарушениях.
Какие документы по работе с персональными данными должны быть у оператора
В 152 ФЗ появилась новая статья 18.1. И в ней, в частности, сказано, что оператор сам решает, какие принять меры по обеспечению выполнения обязанностей, предусмотренных 152-ФЗ.
Но общие требования к документации имеются. Допустим, если в компаниисуществуют разные категории персональных данных (допустим, работников и клиентов), то должны быть и отдельные внутренние положения по работе с персональными данными разных категорий. И храниться такие данные должны в разных местах. А на типовых формах документов, содержащих персональные данные, обязательно должны быть указаны координаты данной организации: наименование юридического лица и его юридический адрес.
В положении по работе с персональными данными должно быть указано:
- какие категории персональных данных существуют в вашей компании (ФИО, адрес, номер паспорта, номер пенсионного свидетельства и т.п.);
- устанавливаются способы и перечень действий, которые применяются к этим персональным данным;
- обязательно надо определить места, где персональные данные хранятся (разные категории - в разных местах);
- перечень лиц, которые имеют доступ к персональным данным;
- перечень лиц, кто имеет доступ к обработке персональных данных;
- сотрудники должны быть ознакомлены с правилами работы с персональными данными и с положением об обработке их собственных персональных данных;
- можно внести в должностные инструкции пункт об обязательном соблюдении конфиденциальности в отношении персональных данных третьих лиц;
- должен быть приказ о назначении ответственного лица за организацию обработки персональных данных, где должны быть изложены его обязанности, в соответствии со статьей 22.1 152 ФЗ;
- должен быть документ (приказ или положение) о проведении внутреннего контроля за соблюдением правил работы с персональными данными.
В ходе проверки Роскомнадзор выясняет:
- каково правовое основание (для риелтеров это трудовой и гражданские кодексы, возможно, иные законодательные акты) обработки персональных данных,
- каковы цели этой обработки,
- какие категории персональных данных обрабатываются,
- какова защита персональных данных;
- имеется ли инструкция по уничтожению материальных носителей персональных данных. И, если такие операции уже проводились, имеются ли соответствующие акты об уничтожении документов.
Цитата: «Объем персональных данных должен соответствовать целям обработки, и излишняя информация обрабатываться не должна. Кстати, меня часто спрашивают по поводу информации о судимости работников. Так вот, работодатели требовать такую информацию не имеют права. Даже если на это имеется согласие работника. Или еще часто встречаются вопросы по поводу фотографий в личных делах или на сайтах. Мы считаем, что это тоже персональные данные. Поэтому, например, если фотография работника размещена на сайте компании, то на это должно быть согласие на обработку биометрических данных работника, в котором должна быть прописана цель этого размещения».
Когда письменное согласие на обработку персональных данных обязательно по закону
В 152 ФЗ указаны четыре случая, когда необходимо письменное согласие (его форма указана в статье 9) на обработку персональных данных:
- это обработка специальных категорий персональных данных (состояние здоровья, национальность и др.),
- биометрических персональных данных,
- трансграничная передача,
- исключительно автоматизированная обработка.
В остальных случаях форма согласия может быть произвольной. Но в ней обязательно должно быть указано: для каких целей предоставляются персональные данные, перечень действий с персональными данными, на какой срок, порядок отзыва персональных данных (письменный). Если персональные данные подлежат передаче, то должно быть указано, с какой целью.
ВАЖНО! Универсального бессрочного согласия на разрешение любых действий с персональными данными быть не может.
Если обработка персональных данных происходит без средств автоматизации
Постановление Правительства № 687 говорит об особенностях обработки персональных данных без использования средств автоматизации. Проще говоря, на бумажных носителях. В организации должны быть правила обработки персональных данных без использования средств автоматизации. Они могут быть включены в общее положение компании об обработке персональных данных. Указывается все тоже самое: перечень лиц, которые такую обработку осуществляют, меры безопасности по защите персональных данных, указаны места хранения (бухгалтерия, начальник отдела и пр.).
Актуальные вопросы от агентств недвижимости по поводу работы с персональными данными
Вопрос. Мы работаем с клиентами, берем их документы и идем с ними в другие организации. Например, в БТИ или кадастровую палату. Получается, что передаем персональные данные третьим лицам. Как это сделать законно?
- Вы действуете по доверенности?
- Да.
- Это случай из статьи 6 части 1152 ФЗ, когда вы работаете по доверенности. Вся необходимая информация должна быть прописана в доверенности.
Вопрос. Нужно ли брать согласие у сотрудника на передачу его персональных данных, если деньги ему перечисляются на зарплатную карту?
- Перечисление заработной платы на банковскую карту сотрудника не предусмотрена Трудовым кодексом РФ, в этом случае согласие сотрудника необходимо. Статья 6 часть 3 152 ФЗ регулирует момент передачи персональных данных ваших сотрудниках в банк с целью начисления им зарплаты. В договоре с банком обязательно должно быть указано, что со стороны банка соблюдается конфиденциальность предоставленных сведений, а также прописана цель обработки персональных данных. Уточню, что агентство недвижимости – оператор по обработке персональных данных, поэтому этот пункт обязательно должен быть в договоре с банком.
Это касается не только банков, но любой другой организации, которой вы поручаете обработку персональных данных физических лиц. Подчеркну, что согласие на обработку персональных данных берет оператор. Он же отвечает за их конфиденциальность. Если случится утечка – он будет отвечать в том числе.
Вопрос. Если происходит смс-рассылка рекламных объявлений или рекламная рассылка через интернет. Нужно ли согласие адресата на получение такой информации?
- 152ФЗ по поводу адресной рекламы говорит, что это возможно лишь с согласия получателя этой рекламы. Будь то рассылка смс-сообщений или рассылка через интернет.
Вопрос. Практикуются ли комплексные проверки Роскомнадзорасовместно с другими инспекциями в нашем городе?
- Пока нет. Когда мы составляем план проверок, то согласовываем его с прокуратурой. Если несколько организаций хотят проверять данную организацию в таком-то году, то проверки всех контролирующих органов проводятся в этом году, и следующих проверок можно ждать лишь через 3 года.
Вопрос. Каким образом вы выбираете агентство недвижимости, которое должно проходить плановую проверку?
- В 2013 году мы проверяли агентство недвижимости Шанс». И больше риелторские компании в этом году проверять не планируем. Кто будет в списке в следующем году – сказать сейчас сложно. Не все агентства есть в реестре операторов по работе с персональными данными. Когда лично я составляю план проверок, то в него входит половина компаний – из реестра, а вторая половин а – из тех, кто не входит в реестр. Вопрос. Если мы передаем персональные данные другому оператору, то мы, получается.сооператоры? - Операторы и вы, и тот, кому передаете персональные данные.
Вопрос. Если собирается информация о конкретном человеке не у него самого, а у третьих лиц, то как быть в этом случае?
- Существует статья 18152 ФЗ. Она гласит, что, если оператор получает сведения не от субъекта, а от третьего лица, то он обязан сообщить субъекту, с какой целью и какая информация собирается. В форме письменного уведомления.
Вопрос. Когда мы готовим сделку, то готовим договор купли-продажи. Со своих клиентов мы все необходимые документы собираем. А как быть с клиентами другого агентства, ведь персональная информация о них через договор купли-продажи тоже попадает к нам?
- Кто передает данные в процессе сделки, тот и должен получать согласие на передачу персональных данных. Но, когда вы определились, с каким агентством будет проходить сделка, вы должны клиента письменно известить, в какую компанию и зачем попадут его персональные данные. Письменно – потому что в законе не прописано, каким образом это нужно сделать.
Либо можно прописать в соглашении между агентствами, что передача персональных данных осуществляется только при наличии соответствующего согласия.
Комментарий юриста Елена Никоненкова, заместитель директора юридической компании «Прецедент»:
- Скажу честно: читая 152 ФЗ, возникает ощущение, что ни одной конкретной формулировки там просто нет. В результате, мы имеем некое общее понятие персональных данных, в которое входит все, что угодно. А также понятие об их обработке, которое фактически включает в себя любые действия с любой информацией, которую мы получили о том или ином человеке. И еще мы имеем некий перечень внутренних документов, которые юридические лица должны создавать при обработке этих персональных данных.
Причем формулировка о том, что оператор сам выбирает, какие документы и как ему составлять, выглядит довольно надуманно. По большому счету, мы в рамках данного закона погрязаем в некоем документообороте, объем которого неясен.
В других регионах, где проверки агентств недвижимости по поводу работы с персональными данными проводятся более активно, например, в Новосибирске, Челябинске, в агентствах недвижимости выявляются проблемы с нехваткой документов, с непредоставлением информации, что чревато штрафами.
Отдельно хотела бы остановиться на трудовых отношениях. Естественно, что при приеме на работу сотрудника вы не можете не поинтересоваться его предыдущим опытом, в том числе, криминальным. Но, случись что, в первую очередь правоохранительными органами будет рассматриваться вопрос об отсутствии или наличии сговора. Очень часто на признание наличия сговора влияет факт наличия судимости. Поэтому графа в анкете, которая заполняется при приеме на работу, о наличии или отсутствии судимости весьма важна. Но, с другой стороны, получение такой информации нарушает закон о защите персональных данных.
По поводу биометрических данных я хочу сказать, что не считаю, что фотография является биометрическим данным. Потому что биометрические данные – это измеримые физиологические или поведенческие данные живого человека (сетчатка глаза, отпечатки пальцев, почерк, голос, и т.д.), но это никак не изображение.
Тем не менее, фотография является иной персональной информацией. И, когда мы размещаем фото на информационном ресурсе, то обязаны потребовать от работника или партнера согласие на такое размещение.
На мой взгляд, для агентств недвижимости является верным подписание рамочных соглашений, подразумевающих размещение изображений клиентов или принадлежащих им объектов недвижимости на неких информационных ресурсах.
Что касается работников, то соответствующий пункт лучше включить в трудовой договор, и в нем должно быть указано, что в рамках проведения рекламной компании работодатель имеет право размещать его фото на собственном сайте или на сайтах третьих лиц.
В мае этого года президент подписал изменения в 14 подзаконных актов и законов. И теперь операторы связи имеют право собирать, предоставлять и распоряжаться базами данных, включающими в себя ФИО и телефон. Поэтому теперь, видимо, информация о кредитах, услугах такси и доставке роллов будет гораздо чаще приходить в виде смс-сообщений на наши сотовые телефоны. И операторы будут делать это на легальных основаниях.
В гражданский процессуальный кодекс также внесли изменения, и если лицу из-за утечки персональных данных, на его взгляд, были причинены моральные страдания или убытки, то теперь он может обращаться в суд по месту своего жительства: не нужно, например, искать центральный офис сотового оператора и обращаться по его месту нахождения.
Видимо, в ближайшие 5-7 лет мы начнем формировать судебную практику относительно защиты персональных данных. И к этому лучше готовиться заранее: менять свои методы работы по данному вопросу, разрабатывать и подписывать соответствующие документы.
Теперь рассмотрим схему работы агентства недвижимости в отношении персональных данных:
Имеется объект недвижимости и правообладатель на этот объект недвижимости, который хочет им распорядиться. У этого правообладателя есть на руках комплект документов. Допустим, договор и свидетельство о праве собственности. И в этих документах есть паспортные данные и того лица, который ему эту недвижимость, к примеру, продал или подарил.
Далее правообладатель приходит в агентство недвижимости и подписывает соглашение о сотрудничестве. Агентство начинает искать потенциальных покупателей. А потенциальные покупатели хотят, и это правильно, посмотреть на документы – имеется ли право собственности. И таких потенциальных покупателей может быть много. Получается, что все они получают доступ к персональным данным третьего лица. При этом могут передаваться и копии правоустанавливающих документов. А, если сделка не состоится, то копии вряд ли кто-то заберет обратно. Поэтому с каждым человеком, чьи персональные данные используются и передаются, должно быть подписано соглашение в рамках 152 ФЗ.
Конечно, сложно собрать такие соглашения об обработке персональных данных с тех лиц, чьи сделки состоялись пять-десять лет назад. Собственно, 152 ФЗ тогда и не было. Но начинать собирать соглашения об обработке персональных данных максимально полно необходимо уже сегодня, а также задумываться какие документы и кому вы перелаете. Тогда в будущем, уверена, удастся избежать многих проблем.