Мария УХАНОВА: «Файлы, направляемые по почте, рекомендуем архивировать и устанавливать на архив пароль, который лучше сообщать партнеру очно»
— По итогам за 2024 год Россия заняла пятое место в мире по утечке персональных данных, уступив США, Китаю, Испании и Индии. Но в 2023 году у нашей страны была седьмая строчка в этом антирейтинге. Именно поэтому власти и бьют тревогу по поводу того, что нужно урегулировать на законодательном уровне вопросы организации работы с персональными данными.
Чтобы определить, является ли информация персональными данными, задайте два вопроса. Первый: можем ли мы, исходя из этих персональных данных, выявить человека? Второй: можем ли мы при помощи этих персональных данных повлиять на человека? Если да, то тогда вы точно обрабатываете персональные данные.
Оператор персональных данных – любое лицо, которое работает с персональными данными. Легче определить, кто НЕ является оператором персональных данных. Во-первых, это человек, который вообще не собирает персональные данные. Но, по мнению Роскомнадзора, таких людей в России нет… Во-вторых, если человек собирает персональные данные для личных целей: например, приглашает гостей на день рождения.
Завуч в школе, сотрудник отдела кадров, директор компании – представители организаций, им не нужно регистрироваться в реестре операторов персональных данных, достаточно сделать это юридическим лицам, на которые они работают. Но если лицо, обрабатывающее персональные данные в интересах коммерческой деятельности, имеет статус индивидуального предпринимателя либо самозанятого – тогда надо.
Предстоит определить, какие данные предприниматель/самозанятый собирает, для каких целей использует, каким образом их получает, как обрабатывает. Он должен описать все процессы и уже потом, на основании документов, подать уведомление в Роскомнадзор. Все это носит исключительно заявительный характер. Даже если Роскомнадзор запрашивал у вас какие-то документы, это не означает, что вас включили в реестр операторов персональных данных.
Чтобы осуществлять трансграничную передачу персональных данных, нужно подать отдельное уведомление в Роскомнадзор и дождаться разрешения, потому что у них есть список недружественных стран, куда россияне передавать данные не должны.
Политика обработки персональных данных – основной документ, в котором указаны действия, которые вы осуществляете с персональными данными, цели, для чего вы их используете. Но с ней пользователю сайта соглашаться не нужно, достаточно выразить согласие на сбор персональных данных (через cookie-файлы, через метрики) в специальном чекбоксе, во всплывающем баннере. Обратите внимание, там не должно быть предустановленных галочек – человек сам обязан совершить активное действие. Если же предустановленные галочки есть, это чревато штрафом. Но пока таких прецедентов в Омске не было.
Мы советуем нашим клиентам пользоваться в Telegram секретными чатами: документы со временем удаляются. Файлы, направляемые по почте, рекомендуем архивировать и устанавливать на архив пароль, который лучше сообщать партнеру очно. Или взаимодействовать через систему электронного документооборота.
При заключении трудового договора вам не нужно брать согласие работников на обработку персональных данных. По-хорошему, вы взяли оригиналы документов, заполнили трудовой договор и вернули их. Но если вы снимаете копии, то нужно получить согласие сотрудника на хранение их в офисе.
Очень часто на сайтах, в соцсетях выкладывают фотографии работников и клиентов, например, в отзывах. Недостаточно взять письменное согласие на обработку персональных данных, нужно получить еще разрешение на их распространение. Нам известны только отказы в такой ситуации, поэтому при размещении фотографии напишите фразу:
«Персональные данные опубликованы на сайте (в социальной сети) при наличии правовых оснований в соответствии с ч.1 ст.6 и ст.10.1 152-ФЗ. Субъектами установлены запреты на обработку неограниченным кругом лиц опубликованных персональных данных».
Таково требование закона, Роскомнадзор проверяет ее наличие на сайте или в соцсети.