лицензия на обработку персональных данных

Описание страницы: обработка персональных данных юридического лица от профессионалов для людей.

И ногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Читайте так же:  объектами вещных прав являются

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает. В ряде случаев такие данные передаются для обработки иным юридическим лицам. Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо.

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора. Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах. Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги. Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой , в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной , в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной , наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.
Читайте так же:  оформление по договору гпх что это значит

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1. изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

2. включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3. внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4. включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Правовой статус “обработчика” персональных данных в России и его отличие от оператора

Все, кто сталкивался с обработкой персональных данных (ПД) знаком с понятием Оператор. И в целом законодательство, а именно ФЗ "О персональных данных" от 27.07.2006 N 152-ФЗ, дает достаточно емкое понятие термина Оператор.

На практике часто возникает ситуация, когда организация обрабатывает ПД, которые ей передал на обработку Оператор. Это может быть: ЦОД, который осуществляет хранение данных или, например, сервис рассылок email или sms сообщений, который действует по поручению онлайн-ритейлера.

Встает вопрос, кем является организация, получившая данные от Оператора, по отношению к субъекту ПД: тоже Оператор или же просто “Обработчик”, правовой статус которого в N 152-ФЗ не определен?

Пункты 3-5 ст. 6 N 152-ФЗ предусматривают возможность Операторов поручать обработку ПД третьим лицам. Эти третьи лица как раз и являются “Обработчиками”.

Права и обязанности Обработчика сформулированы достаточно кратко: лицо обязано соблюдать принципы и правила обработки персональных данных выполнять требования Оператора.

Также, закон закрепляет, что

“Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных”.

Это ограничивает ответственность Обработчика:

“В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором”.

Европейский GDPR четко выделяет два субъекта обработки ПД: Контроллер и Процессор, аналог российского Оператора и “Обработчика”. GDPR фиксирует правовой статус, права, обязанности и ответственность обоих субъектов обработки ПД.

Читайте так же:  сколько стоит вписаться в страховку на машину

В России же, изучая административную практику Роскомнадзора и Судебную практику, бросается в глаза, что третьих лиц, занимающихся обработкой, еще ни разу не назвали “Оператором”, но и как-то иначе, чем “третьи лица” они также не именуются.

Бывают ситуации, когда юридическое лицо поручает другому лицу собирать персональные данные и оказывать определенные услуги с использованием таких данных. При этом такое юридическое лицо считает, что оно не является Оператором, а факт того, что оно определяет цели обработки ПД, состав ПД, подлежащих обработке и действия (операции), совершаемые с ПД, его не сильно волнует. И при этом лицо, которому поручили собрать ПД и оказать с ними определенные услуги, также не является Оператором.

Встает вопрос о разграничении ответственности субъектов, обрабатывающих ПД. Также, нередко дискутируется необходимость уведомления РКН и включения в реестр третьих лиц, если они все такие не являются “Операторами”, но обрабатывают ПД по поручению.

Если у организации есть своя база ПД, собранная ей на своем сайте, и база ПД, полученная ей по договору с целью оказания услуг, неужели по отношению к обеим базам ПД она будет выступать Оператором?

Это далеко не единственная неопределенность ФЗ "О персональных данных" от 27.07.2006 N 152-ФЗ, ответ на которую не может дать РКН.

Пакет документов по персональным данным

Закон вступил в силу 7 июня 2006 г. и требует, чтобы каждый оператор разработал пакет организационно-распорядительной документации (ОРД) по обработке и защите персональных данных. О чем конкретно должна быть документация, сказано в статьях 18.1 и 19 закона.

Вроде все просто: открываем статьи 18.1 и 19 закона, читаем, что там написано, и пишем необходимую документацию применительно к нашей организации, конечно, не забывая перед этим прочитать весь закон целиком. При таком подходе, как показывает практика, операторы разрабатывают 3-5 документов, считая, что они выполнили требования закона и, проверка Роскомнадзора им не страшна.

Однако в жизни не все так просто. Чтобы понять, что описанный выше подход не является верным, достаточно сказать, что полноценный пакет ОРД насчитывает около 40 документов!

Почему же так много документов, и что в них должно содержаться? Давайте разбираться.

Читайте так же:  как оплачивается командировка в выходной день

Какие документы необходимо разработать по 152-ФЗ?

В самом ФЗ-152 по большей части требования сформулированы общими фразами, и тем, кто не сталкивался с этим прежде, трудно понять, что же прячется под теми или иными формулировками.

Ниже приведен составленный на основе практического опыта перечень документов, требуемых статьями 18.1 и 19 закона:

Наименование документа Пункт закона
1. Приказ об ответственном за организацию обработки персональных данных Статья 18.1 часть 1 пункт 1
2. Правила/положение об обработке персональных данных Статья 18.1 часть 1 пункт 2
3. Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением:
  • инструкция по оценке вреда
  • акт оценки вреда (при наличии)
  • журнал учета машинных носителей ,
  • акты установки (ввода в эксплуатацию) носителя(ей) (при наличии),
  • акты уничтожения носителей (при наличии),
  • акты восстановления носителя(ей) персональных данных (при наличии),
  • акты приема-передачи носителя(ей) персональных данных (при наличии)
  • журнал учета инцидентов,
  • акты выявления инцидентов (при наличии),
  • акты устранения инцидентов (при наличии)
  • журнал учета резервирования персональных данных,
  • акты восстановления персональных данных (при наличии)
  • план внутреннего контроля,
  • акт внутреннего контроля

Внимание: указанных выше документов не достаточно, чтобы соответствовать 152-ФЗ полностью и пройти проверку Роскомнадзора, так как нужно учитывать иные пункты закона и подзаконных нормативно-правовых актов.

Камни преткновения

На практике операторы персональных данных сталкиваются со следующими основными проблемами при разработке пакета ОРД для соответствия требованиям закона:

  1. Не знают, как трактовать то или иное требование закона, а в частности — статьи 18.1 и 19 закона, без чего невозможно разработать полный и правильный пакет документов.
  2. Не знают подзаконные нормативно-правовые акты в области персональных данных (помимо 152-ФЗ), которых насчитывается более 6 (шести) и в соответствии с которыми необходимо разработать дополнительные ОРД.
  3. Не знают, какой конкретно документ и приложение к нему нужно разработать по тому или иному требованию закона.
  4. Не проходили проверку Роскомнадзора и поэтому не знают, какие конкретно документы требует регулятор на проверке и какие дополнительные документы могут быть запрошены.

Лайфхак по правильной разработке пакета ОРД

Чтобы сделать пакет документов действительно соответствующим требованию закона и пройти проверку Роскомнадзора, необходимо сделать следующее:

  1. Прочитать и проанализировать сам закон вдоль и поперек и особенно статьи 18.1 и 19 закона.
  2. По каждому пункту статей 18.1 и 19 закона понять, какие внутренние документы у вас имеются, и сверить со списком выше.
  3. Проанализировать подзаконные нормативно-правовые акты правительства, ФСБ и ФСТЭК России (см ниже) и составить перечень дополнительных ОРД к разработке.
  4. Обратиться к базам знаний, а также судебной практике правоприменения 152-ФЗ: Гарант, Консультант, сайт Роскомнадзора.
  5. Посмотреть на сайте Роскомнадзора рекомендации по составлению политики персональных данных, а также другие методические документы.

Подзаконные нормативно-правовые акты по персональным данным

Чтобы соответствовать 152-ФЗ, необходимо выполнить требования не только статей 18.1 и 19 ФЗ-152, но и следующих нормативно-правовых актов:

  • Постановление Правительства от 1 ноября 2012 г. № 1119;
  • Постановление Правительства от 15 сентября 2008 г. № 687;
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21;
  • Приказ ФСБ России от 10 июля 2014 г. N 378;
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 15.02.2008, № 1679 дсп от 25.03.2008;
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена заместителем директора ФСТЭК России 14.02.2008, № 1682 дсп от 25.03.2008.

Пакет ОРД по 152-ФЗ: цена вопроса

Трудоемкость разработки пакета документации достаточно большая, ввиду большого объема самих документов, а также необходимости анализа целого ряда подзаконных нормативно-правовых актов и практики правоприменения (анализ судебных решений).

Поэтому стоимость типового комплекта документации для одной организации, как правило, составляет от 45 до 150 тысяч рублей.

Что предлагаем мы?

Мы предлагаем вам типовой набор организационно-распорядительной документации, необходимый для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора, за 45 тысяч рублей с гарантией по договору.

лицензия на обработку персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here