Напомним, Роскомнадзор с 1 июля 2017 года получает расширенные полномочия по контролю за обработкой и хранением персональных данных. Так, к нему переходит часть функций прокуратуры в этой сфере.
По мере упрочения цифрового суверенитета Российской Федерации и наработки практического опыта в этих вопросах, проблема обработки и хранения персональных данных дошла и до обычных предприятий, многие из которых и не помышляли, что они являются операторами персональных данных.
Тем не менее, проблема касается практически любого юридического лица в России и Роскомнадзор начал принимать профилактические меры — дабы потом не штрафовать полстраны.
Почему же практически любая «ооошка», даже очень маленькая, является оператором персональных данных и должна зарегистрироваться в этом качестве на сайте Роскомнадзора? Дело в том, что даже в небольшой частной компании персонал принимают на работу, в договорах на банковское обслуживание указывают паспортные данные, адреса и место работы сотрудников, да и сами сканы паспортов хранят в документах. Кроме того, существуют начисления зарплат, информация о составе семьи и так далее. Всё это — персональные данные, обработка которых и хранение регламентированы законом.
В принципе, к рядовым предприятиям требования предъявляются не слишком обременительные и вполне логичные. Им нужно зарегистрироваться на сайте Роскомнадзора, заполнив специальную форму, которая там размещена. По сути, эта форма позволяет государству узнать, где именно хранятся персональные данные (например, где установлен компьютер с базой «1С»), либо шкаф с ксерокопиями паспортов сотрудников и зарплатными ведомостями. И, конечно, как охраняется доступ к этим данным.
Подавляющее большинство предприятий опишет там, что на компьютере установлен пароль, комната с компьютером запирается на замок и сдается под сигнализацию, либо охраняется ЧОПом в составе прочих помещений офисного центра, и так далее.
Но вот, если проигнорировать это требование — при проверке Роскомнадзором могут возникнуть проблемы. Вот, у Павла Дурова с его Telegram они как раз возникают из-за того, что он не заполнил форму на сайте Роскомнадзора, позволяющую получить представление о том, где и как он работает с информацией российских пользователей мессенджера (саму информацию раскрывать его не просили — во всяком случае, пока).
Однако Павлу Дурову грозит как максимум отключение от российского Интернета (или попытка такого отключения), а вот российской компании грозит штраф. Причем уплата штрафа, как водится, не освободит от заполнения формы. Так что, пожалуй, лучше это сделать без экстрима,в добровольном порядке.
Крупные компании, работающие с большими базами данных, давно знают, что этот вопрос находится под контролем государства и давно с государством взаимодействуют. Причем это взаимодействие идет не только по линии Роскомнадзора, но и по линии Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Вот, например, как комментирует эту ситуацию, с позиций работы крупных компаний, хранящих большие базы данных, Роман Мылицын, руководитель центра компетенции АО «НПО «РусБИТех» — компании, которая является разработчиком защищённой операционной системой Astra Linux, предназначенной для создания аттестованных рабочих мест, на которых ведется обработка и хранение персональных данных любой категории и иной охраняемой законом информации:
Мылицын Роман
руководитель центра компетенции АО «НПО «РусБИТех»
Регулированием вопроса оборота персональных данных занимаются две российские службы — Роскомнадзор и ФСТЭК. В ведении Роскомнадзора находится контроль за соблюдением организационных моментов хранения персональных данных, а ФСТЭК — контролирует и проверяет техническую сторону защиты такой информации. Поэтому Роскомнадзор проверяет именно организационную часть работы с персональными данными, например, что бы они обрабатывались на территории Российской Федерации, то есть отвечает на вопрос «кто и где» работает с персональными данными ФСТЭК же больше интересует вопрос защищённости таких данных, то есть вопрос «как». Поэтому, даже если Роскомнадзора нет претензий по вопросу, как защищены персональные данные, нелишним будет проверить соблюдение организацией требований ФСТЭК
Впрочем, малые предприятия в такие глубины вопроса могут пока не углубляться. Им достаточно заполнить форму на сайте Роскомнадхора, в произвольной форме описав, как именно у них хранятся сведения, отнесенные персональным данным. после этого система сама сформирует им файл с номером-ключом. Этот файл нужно отправить почтой в Роскомнадзор. Вот, и всё, по большому счету.
Тем более, что Роскомнадзор в настоящее время настроен на профилактику нарушений, а не на сбор штрафов за них, так что у юридических лиц есть небольшой запас времени, чтобы привести свои документы в порядок в этой части. А, если что-то непонятно, можно воспользоваться образцом заполнения формы на сайте Роскомнадзора, либо уточнить вопросы по телефону или по электронной почте.
Приведем, в качестве примера, текст обращения Управления Роскомнадзора по Свердловской области.
Роскомнадзор информирует!
Государственные и муниципальные органы, юридические и физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, обязаны направить в Управление Роскомнадзора по Уральскому федеральному округу уведомление об обработке персональных данных.
Кроме того, с 01.09.2015 все операторы персональных данных обязаны направить в Управление Роскомнадзора по Уральскому федеральному округу сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Форма и образец заполнения Уведомления и Информационного письма размещены на сайте Управления http://66.rkn.gov.ru в разделе «Персональные данные». По вопросам, связанным с представлением сведений можно обращаться к специалистам Управления по телефонам (343)227-24-56 (38).
«Почему же практически любая «ооошка», даже очень маленькая, является оператором персональных данных и должна зарегистрироваться в этом качестве на сайте Роскомнадзора? Дело в том, что даже в небольшой частной компании персонал принимают на работу, в договорах на банковское обслуживание указывают паспортные данные, адреса и место работы сотрудников, да и сами сканы паспортов хранят в документах. Кроме того, существуют начисления зарплат, информация о составе семьи и так далее. Всё это — персональные данные, обработка которых и хранение регламентированы законом.»
Это действительно персональные данные, но согласно ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных», уведомлять Роскомнадзор при обработке части таких данных не обязательно, а именно:
Статья 22. Уведомление об обработке персональных данных
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; …..
Коллеги, что думаете по данному вопросу.