Выполнение №519-ФЗ и Реестр операторов персональных данных

28 января 2021 года Роскомнадзор провел День открытых дверей, приуроченный ко Дню защиты персональных данных. В этом году мероприятие прошло в онлайн-формате и состояло из доклада о реализации законодательных актов, вступающих в силу в 2021 году, и ответов на направленные в адрес Роскомнадзора вопросы, касающиеся обработки персональных данных.

Постараемся кратко изложить основные моменты мероприятия.

Первая часть доклада была посвящена Федеральному закону от 30.12.2020 N 519-ФЗ, основные положения которого вступают в силу с 1 марта 2021 года.

Федеральный закон вводит новое понятие персональных данных, разрешенных субъектом персональных данных для распространения неограниченному кругу лиц, и уточняет, что обработка таких данных возможна только с согласия физического лица, данного в порядке, предусмотренном Федеральным законом «О персональных данных».

Согласие на распространение персональных данных дается физическим лицом отдельно от иных согласий на обработку персональных данных.

Представители Роскомнадзора уточнили, что согласие на распространение персональных данных должно содержать:

• ФИО
  
  
• Контактную информацию (номер телефона или адрес электронной почты или почтовый адрес)
  
  
• Наименование и адрес оператора, получающего согласие
  
  
• Цель обработки персональных данных
  
  
• Категории и перечень персональных данных, на обработку которых дается согласие (необходимо обеспечить возможность выбора персональных данных из перечня)
  
  
• Условия и запреты на обработку ПД
  
  
• Срок действия согласия
  
  
• Ресурсы оператора, на которых будет происходить распространение ПД
  
  

Согласие может быть дано:

• непосредственно оператору с использованием его ИС или в письменной форме
  
  
• с использованием ИС Роскомнадзора (с 1 июля 2021 года)
  

На данный момент на этапе обсуждения находится проект нормативного акта Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Отдельно в докладе была выделена возможность направления физическим лицом требований Оператору, обрабатывающему его персональные данные, о прекращении обработки персональных данных, в том числе, в судебном порядке.

Представители Роскомнадзора анонсировали возможность с 1 марта 2021 года подавать информацию в Реестр Операторов персональных данных электронно, без подачи бумажного подписанного руководителем организации уведомления в региональные управления Роскомнадзора.

Такое будет возможно с использованием Электронной подписи либо через авторизацию в ЕСИА.

На почту лица, ответственного за заполнение уведомления, будет приходить идентификатор, по которому можно будет отследить статус обработки уведомления. А в случае, если используемая электронная подпись не является усиленной или уже не действительна, об этом также придет уведомление на почту.

Представители Роскомнадзора анонсировали возможность с 1 марта 2021 года подавать информацию в Реестр Операторов персональных данных электронно, без подачи бумажного подписанного руководителем организации уведомления в региональные управления Роскомнадзора.

Такое будет возможно с использованием Электронной подписи либо через авторизацию в ЕСИА.

На почту лица, ответственного за заполнение уведомления, будет приходить идентификатор, по которому можно будет отследить статус обработки уведомления. А в случае если используемая электронная подпись не является усиленной или уже не действительна об этом также придет уведомление на почту.

В докладе были прокомментированы основные ошибки, допускаемые при подаче уведомлений:

Наиболее распространенная – неполный состав сведений о правоустанавливающих документах. Представители Роскомнадзора напомнили, что помимо указания Трудового кодекса, а также Постановлений Правительства, обязывающих Операторов собирать и обрабатывать персональные данные сотрудников, необходимо также указывать Устав Оператора, утвержденную у него Политику обработки персональных данных, внутренние акты и согласия на обработку персональных данных, получаемые от физических лиц.

Второй частой ошибкой было отмечено отсутствие полной информации о лице, ответственном за организацию обработки персональных данных.

За 2020 год было составлено 669 протоколов по статье 19.7 КоАП за непредставление уведомлений Роскомнадзора об обработке персональных данных после получения операторами соответствующего письма от Роскомнадзора.

Во второй части Дня открытых дверей были представлены ответы на вопросы, касающиеся обработки персональных данных. Представители Роскомнадзора рассмотрели около 30 вопросов, поступивших в их адрес.

Ответы на наиболее актуальные вопросы представлены ниже:

• Необходимо ли получение работодателем письменного согласия сотрудников при размещении на сайте фотографий, ФИО и должностей, или можно обойтись только устным уведомлением сотрудников о размещении указанных данных?
  

Ответ: это попадает под передачу персональных данных третьим лицам и, следовательно, требует письменного согласия.

• Является ли анонимный идентификатор пользователя, использующийся для авторизации, персональными данными?
  
  

Ответ: идентификатор может интерпретироваться персональными данными, если обладает свойствами неизменности и уникальности. Как, например, адрес электронной почты является уникальным и позволяет однозначно отнести его к определяемому физическому лицу, а, следовательно, является персональными данными.

• Почему идентификатор устройства относят к персональным данным?
  
  

Ответ: идентификатор устройства не является персональными данными, как, например, номер телефона в соответствии с правилами оказания услуг связи является идентификатором оборудования и не является сам по себе персональными данными. Однако при использовании номера телефона вместе с именем лица либо с его адресом электронной почты эти данные будут являться персональными данными.

• Может ли лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных, поручить эту обработку другому лицу?
  
  

Ответ: да, лицо, осуществляющее обработку персональных данных по поручению Оператора персональных данных может поручить эту обработку другому лицу. Однако оператор персональных данных обязан получить на это согласие физического лица

• Если субъект персональных данных дает свое согласие через информационную систему Роскомнадзора, обязан ли Оператор персональных данных публиковать информацию об условиях и запретах на обработку персональных данных на своем сайте?
  
  

Ответ: да, поскольку опубликование указанных данных не связано с формой получения согласия от физического лица.

• Являются ли файлы Cookies персональными данными?
  
  

Ответ: да, файлы Cookies являются персональными данными, поскольку данная информация относится прямо или косвенно к определяемому лицу, и данные файлы характеризуют пользователя сайтов. Соответственно, необходимо при обработке на сайте Cookies файлов получать согласие от пользователей.

• Применение систем аналитики при сборе данных с сайтов: необходимо ли указывать конкретных владельцев сервисов в качестве Операторов?
  
  

Ответ: поскольку куки являются персональными данными, об их сборе и обработке на сайте Оператора должна быть предоставлена информация, а также, если данные передаются аналитическим сервисам, необходимо получать согласие с пользователей на такую передачу данных. Если куки передаются на обработку в метрические системы, соответственно, в согласии должно быть это указано.