Обработка персональных данных
Можно ли назначить ответственным за обработку персональных данных генерального директора? Да, конечно, вы можете назначить генерального директора или любого другого сотрудника ответственным за организацию обработки персональных данных. Главное, чтобы был приказ, в котором прописаны должностные обязанности этого человека. И, разумеется, генеральный директор должен знать, что он ответственный. Звонок из Роскомнадзора не должен стать для него сюрпризом. Такие ситуации, как ни странно, бывают, когда директор не знает о своей ответственности.
Кого указать ответственным за обработку персональных данных, если кадровый сотрудник работает по ГПХ?
Для начала нужно понять, должен ли кадровый работник этим заниматься. Это частая ошибка, когда на кадровиков возлагают эти обязанности. Хотя этот работник не всегда знает, что происходит на сайте компании или в других отделах. Ведь работа с персональными данными – это не только кадры.
Допустим, вы все же решили, что кадровик идеально для этого подходит, но он не состоит в штате компании. В этом случае вы также можете назначить его ответственным за организацию обработки персональных данных. Такое по закону допустимо. Для этого вы также можете привлекать и стороннюю организацию, и внештатников. Главное – прописать обязанности и возложить ответственность в приказе и договоре.
Как быть, если в личном кабинете сайта при заполнении заявки на обучение ответственное лицо организации заполняет персональные данные нескольких сотрудников организации? Ответственное лицо подписывает политику только за себя или и за своих сотрудников?
Трудовой кодекс РФ допускает обработку персональных данных сотрудников в целях обучения и продвижения по службе. Обучающиеся будут в данном случае выгодоприобретателями по договорам с образовательным учреждением, и согласие не потребуется. Формы заявок лучше заполнять самим сотрудникам.
В нашей компании отдельные сотрудники отвечает за разные участки: кадровик – за данные сотрудников, менеджер по продажам – за данные клиентов, системный администратор – за данные на сайте. Это допустимо?
Да, это нормально. Фактически каждый несет ответственность за обработку персональных данных внутри своего направления. Но ответственный за организацию обработки – один (он по сути координирует работу в сфере персональных данных, осуществляет внутренний контроль, знакомит сотрудников с нормами законодательства, изменениями и т.д.).
Бухгалтер на аутсорсинге ведет учет нескольких ИП. Сведения сначала попадают к ИП и только потом передаются бухгалтеру. Кто в таких случаях должен отвечать за обработку персональных данных?
Оператором персональных данных будет в этом случае и бухгалтер, и ИП. Другое дело, кто является ответственным за организацию обработки персональных данных. Вы можете назначить ответственным одного человека или разных. Этот вопрос вы решаете по договоренности с бухгалтером, но уведомление в Роскомнадзор должны подать оба оператора.
Уведомление в Роскомнадзор
Организация запрашивает персональные данные исключительно для оформления трудового договора, при этом берет письменное согласие сотрудника. Будет ли она являться оператором персональных данных?
До 1 сентября 2022 года эта ситуация относилась к исключениям из правил, и подавать уведомления в Роскомнадзор не требовалось. Сейчас этого исключения нет, поэтому, если вы только заключаете трудовые договоры, вам нужно подать уведомление в Роскомнадзор и указать эту цель обработки персональных данных.
Если в компании официально трудится только директор, можно ли не подавать уведомление в Роскомнадзор, ведь его данные и без того общедоступны?
Конечно, часть информации о директоре общедоступная. Но другая часть персональных данных скрыта. Это, например, паспорт, место жительства, телефон. Этой информации нет в выписке из ЕГРЮЛ, а значит, это обработка персональных данных. Поэтому вы должны подать уведомление в Роскомнадзор.
В ранее поданном уведомлении оператор в поле «Начало обработки данных» указал текущую дату. Нужно ли подавать корректировку?
Если вы понимаете, что дата была указана неверно, и ничем обосновать выбор именно этой даты вы не можете, то лучше подать корректирующее уведомление. Это поможет в дальнейшем избежать вопросов со стороны Роскомнадзора.
ИП работает без сотрудников, надо ли подавать уведомление в Роскомнадзор?
Дело не только в наличии сотрудников. Это зависит от факта обработки персональных данных. Даже если у вас нет ни одного сотрудника, у вас могут быть клиенты или посетители сайта. Скорее всего, вы работаете с какими-то персональными данными, а значит, подать уведомление в Роскомнадзор нужно.
Нужно ли интернет-магазину подавать уведомление в Роскомнадзор о начале обработки персональных данных, и как это сделать?
Да, нужно. Заполнить уведомление можно на портале Роскомнадзора.
Операторы персональных данных
Является ли СНТ оператором персональных данных?
СНТ обрабатывает персональные данные членов товарищества и, конечно, является оператором персональных данных.
ИП без работников заключил договор оказания услуг с другим ИП. Заказчик занес сведения исполнителя в учетную программу (ФИО, адрес, телефон, e-mail). Является ли он оператором персональных данных?
Да, он является оператором и должен подать уведомление в Роскомнадзор.
При смене наименования юридического лица в срок до 15-го числа месяца, следующего за тем, в котором произошли изменения, организация должна подать новое уведомление в Роскомнадзор.
Нужно ли СНТ, имеющему свой сайт, подавать уведомление в Роскомнадзор?
Если на сайте ведется сбор персональных данных (метрики, формы сбора и т.д.) или размещены какие-то персональные данные, например ФИО сотрудника и телефон, то нужно подать уведомление в Роскомнадзор. Но подача уведомления зависит не только от наличия сайта. Нужна оценка всей деятельности организации. Так, если в работе используются кадровые или бухгалтерские программы, бухгалтерия ведется на аутсорсе или реестр садоводов составлен в электронном виде, то нужно подать уведомление, даже если у СНТ нет сайта.
Может ли новое уведомление в РКН спровоцировать проверку?
Нет, критерии для организации проверки другие. Если вы под них не подпадаете, то проверки не будет.
Согласие на обработку персональных данных
Можно ли для целей получения согласия на обработку персональных данных на сайте компании использовать такую формулировку: «нажимая кнопку «Отправить», пользователь дает согласие по каждому из пунктов в отдельности …»?
Смотря какие пункты включены в текст. Не всегда правильно будет все цели объединять в одном согласии. Например, согласие на рассылку рекламы нужно получить отдельно. Если оформлять согласие единым текстом, то по каждой цели обработки данных нужно делать отдельный блок и указывать, какое действие субъекта будут являться согласием на конкретную цель.
Наличие оферты обязательно на сайте компании? Например, для ритейла обуви и одежды.
Размещение оферты зависит от вида деятельности, а также от формы и цели сбора информации. Если цель, например, продажи товаров или услуг, которые осуществляются на основании оферты, то, конечно, такая оферта должна быть. В этой ситуации можно обойтись и без согласия (если нет дополнительных услуг, к примеру подписки на новости). Наличие на сайте оферты Роскомнадзор проверяет только для оценки правовых оснований сбора персональных данных.
Согласие можно включить в оферту, чтобы обойтись одним документом?
Нет, но при наличии оферты можно обойтись без согласия (если обработка данных ограничивается только услугами в рамках оферты и нет вспомогательных услуг, таких как информационные рассылки).
Что является подтверждением согласия субъекта на обработку персональных данных на сайте компании? Для этого обязательно хранить логи с сайта или нужно организовать дополнительную авторизацию – после нажатия кнопки согласия субъекту придет ссылка-подтверждение?
Технически подтвердить согласие пользователя сайта на обработку его данных можно галочкой (чек-боксом) в сообщении об обработке данных или описанием действий, совершение которых расценивается как дача согласия и т.д. Ссылку-подтверждение тоже можно использовать. Хранить логи и все, что подтверждает получение согласия от субъекта, нужно, так как обязанность подтвердить наличие согласия возложена на оператора.
В мобильных приложениях галочка о согласии на обработку данных также нужна?
Да, нужна. Требования к мобильным приложениям такие же, как и к сайтам.
Если на сайте размещена штатная структура организации с указанием должностей, телефонов и корпоративной почты, являются ли такие действия распространением персональных данных, и обязана ли организация оформлять согласие на распространение в этом случае?
Если в этом списке нет ФИО и других личных данных, то нет.
На сайте размещены фотографии преподавателей, которые работают по договорам подряда. Нужно ли с них брать согласие на распространение персональных данных?
Да, здесь нет исключений.
Форма, где собираются персональные данные на сайте, находится в закрытом доступе – в личном кабинете зарегистрированного пользователя. Нужно ли в этом случае размещать согласие? Ведь Роскомнадзор не получит туда доступ и не сможет проверить наличие согласия?
Получение согласия – это обязанность оператора, возникающая из требования закона. Ее нужно выполнить не для Роскомнадзора, а для того, чтобы соблюсти права субъекта персональных данных. При этом важно понимать, что пользователь может пожаловаться в уполномоченный орган или обратиться в суд, если посчитает, что его права в части персональных данных нарушены. В этом случае вам придется представить согласие от пользователя в РКН или в суд. Кроме того, инспектор в ходе проверки может сделать пробную регистрацию на вашем сайте и получить доступ в личный кабинет.
Форма согласия для сайта должна быть полностью заполнена или можно оставлять графы для отдельных действий, которые разрешает субъект персональных данных?
На усмотрение оператора. Закон этого не запрещает.
Политика обработки персональных данных
Допустимо ли использовать фразу: «Отправляя форму, вы подтверждаете, что ознакомились и согласны с Политикой в отношении обработки персональных данных» (ссылка на Политику есть)?
Субъект должен соглашаться на обработку персональных данных, а не подтверждать, что он ознакомлен с Политикой. Сам документ достаточно разместить на сайте, оставив ссылку на него в форме сбора. А вот для получения согласия нужно активное действие со стороны пользователя. Поэтому формулировку нужно скорректировать. Например, так: «Нажимая кнопку …, пользователь соглашается на обработку персональных данных (здесь уместно сделать гиперссылку на полный текст согласия) в соответствии с Политикой в отношении обработки персональных данных (гиперссылка на Политику).
Для любой организации, ИП, самозанятого или физлица обязательна публикация на их сайте «Политики обработки персональных данных» (письмо Роскомнадзора от 19.10.2021 №08-71063), если они осуществляют обработку персональных данных.
Политика конфиденциальности и Политика сбора персональных данных – это один и тот же документ?
В законе есть только понятие Политика в отношении обработки персональных данных. Некоторые называют этот документ иначе или делают несколько документов, определяющих политику (например, Политика конфиденциальности, Политика сбора данных). Поэтому может быть несколько документов, определяющих политику, в зависимости от того, какой смысл оператор в них вкладывает.
Нужно ли размещать ссылку на Политику обработки персональных данных, если на сайте нет форм для заполнения посетителями?
Если сбора данных точно нет и на сайте не работают метрические программы, не собираются сookie-файлы, нет форм обратной связи и иного сбора личных данных, то политика на сайте не обязательна. Но неограниченный доступ к ней все равно должен быть обеспечен любым другим способом. Например, она может быть размещена в ином общедоступном месте, к примеру, на стенде в организации. Однако на сайте, если он есть, это сделать проще всего.
Персональные данные
Скан личной рукописной подписи является персональными данными?
По этому вопросу есть разные мнения. Но совершенно точно, без дополнительных сведений подпись к персональным данным не относится. В совокупности с другими сведениями (например, заполнена анкета с данными и внизу поставлена подпись) может считаться категорией персональных данных в составе всех сведений.
Имеет ли право работодатель обрабатывать персональные данные членов семьи сотрудника без согласия самих родственников?
Если вы собираете эти персональные данные в рамках законодательства, то согласие получать не нужно. В противном случае от родственников сотрудника требуется получить документальное согласие.
- Видеозапись лекции «Подача уведомления в РКН. Нюансы, ошибки, подсказки. Инструменты для создания уведомления» с участием специалистов по работе с персональными данными 1С:ИнфоБезопасность Натальи Немудрой и Дарьи Кочергиной.
Работа с персональными данными: другие вопросы
Как быть, если владелец серверов перенес их в другое место и не сообщил об этом?
Компания, которая вам предоставляет сервера, должна уведомлять об изменении адреса. Если они все-таки это сделали, но вам не сообщили, в ходе проверки этот факт может выявиться. Чтобы защитить свои права, в ходе проверки вам придется доказать, что вы не знали о переносе серверов. Поэтому лучше регулярно, например раз в квартал, запрашивать информацию о местонахождении компании, которая хранит ваши сервера.
Насколько обязателен баннер на сайте, в каком нормативном акте это указано?
Необходимость наличия на сайте предупреждающего баннера следует из ч.1 ст.6 №152-ФЗ. Баннер – это по сути уведомление и согласие на сбор сookie-файлов метрических данных. Если его нет, РКН указывает на признаки нарушения ч.1 ст.6 Федерального закона №152-ФЗ.
Каким образом нужно уведомить Роскомнадзор о том, что мы используем telegram-бот для взаимодействия с покупателями? Есть какая-то форма или образец?
О конкретных инструментах, программах или сервисах РКН уведомлять не нужно. Но цели, для которых используется бот, должны быть указаны в ЛНА и в уведомлении в РКН.
Является ли ЦОДом (центром обработки данных) собственное помещение организации, в котором размещен сервер с базой данных?
Да, это ЦОД, который вы указываете в адресном поле уведомления, подаваемого в Роскомнадзор.
Где на сайте должно быть размещено ограничение на распространение фото, если сайт многостраничный и практически везде есть фотоматериалы?
Там, где персональные данные распространяются, – на страницах с фото, в соответствующем разделе сайта, где происходят публикации, в футере сайта и т.д.
Как быть в случае, когда сотрудники или клиенты демонстрируют на фото товар?
Если есть модель, позирующая за плату по договору, то правовым основанием размещения будут положения п.5 ч.1 ст.6 Федерального закона №152-ФЗ (исполнение договора) и п.3 ч.1 ст.152.1 ГК РФ. Если имеется в виду, что клиент прислал свое фото с товаром и вы хотите его использовать на сайте в отзывах, получить согласие на распространение.
В материале использованы фото: TierneyMJ / Shutterstock / Fotodom.
