Как обрабатывать персональные данные: новые рекомендации Роскомнадзора

Что рекомендует Роскомнадзор

В целях пресечения случаев незаконного сбора, обработки, распространения и хранения персональных данных Роскомнадзор представил на своем официальном сайте рекомендации по правильной работе с персональными сведениями физических лиц. Рекомендации касаются всех без исключения организаций и ИП, которые работают с личными данными, в том числе и работодателей. В частности, ведомство рекомендовало всем компаниям:

• назначить сотрудника, ответственного за защиту персональных данных, и наделить его необходимыми полномочиями;
• сократить перечень персональной информации, собираемой с клиентов, потенциальных контрагентов и работников;
• хранить персональные данные в разных базах данных;
• исключить сбор персональных сведений в излишнем объеме;
• своевременно уничтожать персональные данные при достижении цели их обработки;
• использовать свои собственные технические и программные средства для обеспечения необходимого уровня безопасности данных, не доверять хранение данных третьим лицам;
• своевременно информировать Роскомнадзор об утечке персональных данных и признаках такой утечки.

Данные рекомендации были направлены компаниям из-за участившихся случаев неправомерного распространения персональных данных и поступающих в ведомство жалоб от физлиц на использование личных сведений без их согласия. 

Назначение ответственного за защиту персональных данных

Данная обязанность распространяется исключительно на организации. Предприниматели самостоятельно отвечают за защиту вверенных им персональных данных. В организациях же обязательно должен быть назначен работник, ответственный за организацию обработки персональных данных. Такой работник обязан (ч. 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• осуществлять внутренний контроль за соблюдением работодателем и его работниками законодательства о персональных данных, в том числе требований к их защите;
• доводить до сведения работников организации положения законодательства о персональных данных, а также разъяснять им порядок законной обработки этих данных;
• организовывать прием и обработку обращений и запросов субъектов персональных данных (получение согласия на обработку сведений, обработка запросов на удаление сведений из баз данных и т.д.).

Сокращение объемов персональной информации, собираемой с физлиц

Сбор и обработка персональных данных должны носить исключительно целевой характер. Собирать данные сведения разрешается в объемах, предусмотренных законодательством.

Если тем или иным законом прямо не предусмотрен объем информации, который можно запрашивать у физлиц, информация собирается в объеме, необходимом для совершения конкретного действия (осуществления денежного перевода, заключения и исполнения договора, совершения юридически значимого действия и т.д.). 

Вся излишняя информация оператора персональных данных касаться не должна, и ее сбор лучше вообще исключить. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям их обработки. 

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.

Например, оформляя доставку товара на каком-либо сайте, потребитель не обязан указывать свои паспортные данные, а компания-продавец не вправе запрашивать такие сведения у потребителя. В противном случае подобный сбор сведений повлечет их нецелевое использование.

Раздельное хранение персональных данных

Компании обязаны обеспечивать сохранность персональных данных в течение всего периода их обработки, исключая несанкционированный доступ к данным третьих лиц. При этом Роскомнадзор рекомендует обеспечить раздельное хранение различных категорий персональных данных, в том числе несовместимых между собой по целям обработки.

Так, ведомство советует хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договоры и т. д.) в разных, не связанных друг с другом непосредственно базах данных.

Для связи этих баз данных рекомендуется использовать синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному человеку. Идентификаторы, позволяющие связать сведения из двух баз данных, необходимо хранить в отдельной базе данных. 

Такое хранение, по мнению Роскомнадзора, не позволит злоумышленникам получить информацию о том, в каких отношениях с компанией состоит тот или иной человек и какие услуги ему были оказаны.

Своевременное уничтожение персональных данных

Любой оператор должен принимать меры по своевременному уничтожению ранее полученных персональных сведений, которые ему стали не нужны. Компания должна уничтожить персональные данные (ч.ч. 3-5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• при отзыве субъектом персональных данных согласия на обработку его персональных данных;
• при достижении целей обработки персональных данных (исполнение договора, расторжение контракта и т.д.).

Компания обязана уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению) в срок, не превышающий 30 дней с даты достижения цели их обработки. Такой же срок уничтожения предусмотрен и для случаев отзыва физлицами согласия на обработку их персональных данных. 

Порядок уничтожения персональных данных компания может самостоятельно утвердить локальным актом. Цифровые носители, содержащие данные, форматируются или выводятся из строя, а материальные носители (бумажные документы) – измельчаются или сжигаются. После этого компания должна составить и утвердить в произвольной форме акт об уничтожении персональных сведений, в котором нужно указать ФИО лиц, чьи персональные данные были уничтожены, должность лица, уничтожившего персональные данные, а также его подпись, перечень уничтоженных данных, способ и причину уничтожения (приказ Роскомнадзора от 28.10.2022 № 179).

Какие штрафы могут назначить организациям и ИП

Несоблюдение перечисленных рекомендаций Роскомнадзора не является основанием для наложения на организации и ИП административных штрафов. Эти рекомендации не являются законодательно установленными требованиями, обязательными к исполнению под угрозой привлечения к ответственности. Исполнение рекомендаций носит добровольный характер. 

Вместе с тем несоблюдение рекомендаций ведомства может привести к нарушению законодательства о персональных данных и, как следствие, ущемлению прав субъектов персональных сведений. Например, неназначение компанией работника, ответственного за защиту персональных данных, может привести к утечке этих данных, а их сбор в излишнем объеме – к нецелевому использованию конфиденциальной информации.

Вот за эти нарушения законом уже предусмотрены существенные штрафы. Административная ответственность за несоблюдение законодательства о защите персональных данных в настоящее время установлена в соответствии со ст. 13.11 КоАП РФ. Так, сбор персональных сведений в излишних объемах, приводящий к нецелевой обработке и хранению этих сведений, грозит ИП штрафом в размере от 10 000 до 20 000 рублей, а организациям – от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Несвоевременное уничтожение персональных сведений повлечет наложение штрафов на ИП в размере от 20 000 до 40 000 рублей, а на организации – от 50 000 до 90 000 рублей (ч. 5 ст. 13.11 КоАП РФ). Необеспечение сохранности персональных данных грозит ИП штрафами в размере от 20 000 до 40 000 рублей, а организациям – от 50 000 до 100 000 рублей (ч. 6 ст. 13.11 КоАП РФ).