13 мая состоялся семинар для операторов персональных данных
Аппарат Уполномоченного по защите прав предпринимателей в Московской области совместно с Управлением Роскомнадзора по Центральному федеральному округу провели семинар для предпринимателей-операторов персональных данных. Специалисты Управления Роскомнадзора по ЦФО рассказали предпринимателям о типовых нарушениях, выявляемых при осуществлении государственного контроля и надзора в сфере персональных данных, об основных ошибках при заполнении уведомлений об обработке персональных данных, а также напомнили о порядке осуществления внутреннего контроля за обработкой персональных данных.
Семинар, в котором приняли участие более 100 предпринимателей Московской области, состоялся в режиме видеоконференцсвязи на площадке TrueConf.
Начальник отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по ЦФО Екатерина Ефимова рассказала о типовых нарушениях законодательства в области персональных данных, выявляемых по результатам контрольно-надзорной деятельности, а также напомнила об изменениях в законодательстве, вступивших в силу в текущем году.
«1 марта 2021 года вступил в силу Федеральный закон от 30.12.2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», основной задачей которого является предоставление субъекту персональных данных особых механизмов защиты прав при распространении персональных данных», - сообщила Екатерина Ефимова, открывая семинар.
По словам Екатерины Ефимовой, закон вводит новое понятие «персональные данные (ПД), разрешенные субъектом персональных данных для распространения», предусматривает особую форму согласия на обработку ПД, которая получается отдельно от иных согласий и имеет утвержденную Роскомнадзором форму, а также предусматривает возможность направления требований.
«Требование о прекращении обработки персональных данных в любое время может быть направлено любому оператору персональных данных или напрямую в суд. В обязательном порядке оно должно содержать ФИО, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес, перечень персональных данных, обработка которых подлежит прекращению. Таким образом, с момента получения требования передача (распространение, предоставление, доступ) персональных данных должна быть прекращена, а действие согласия на распространение ПД прекращается (в случае, если требование поступило к оператору, получившему раннее данное согласие)», - отметила Екатерина Ефимова.
Ефимова также рассказала участникам семинара о некоторых особенностях использования согласия на обработку ПД.
Напомним, такими особенностями являются:
- самостоятельная разработка и использование оператором формы согласия, утвержденной локальным актом оператора, законодательством Российской Федерации не предусмотрена и категорически не допускается;
- согласие не может быть включено в единое согласие на обработку персональных данных или в текст договора;
- оформляется отдельно от согласия на обработку персональных данных в рамках поручения оператора, на обработку биометрических и специальных категорий персональных данных, на трансграничную передачу персональных данных, на передачу персональных данных в рамках трудовых отношений.
Требование о получении согласия не применяется:
- в случае обработки персональных данных в рамках полномочий ФОИВ, РОИВ, ОМС;
- к случаям обработки персональных данных, содержащихся в общедоступных источниках персональных данных, предусмотренных ст. 8 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».
Еще одними немаловажными особенностями использования согласия на обработку ПД являются:
- информация об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения, подлежит размещению на официальных интернет-ресурсах, принадлежащих оператору, либо иным способом, обеспечивающим неограниченный доступ к указанной информации (к примеру, информационный стенд);
- действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается в полном объеме с момента поступления оператору требования субъекта персональных данных;
- при наличии у оператора согласия субъекта персональных данных на обработку его персональных данных, полученного до 1 марта 2021 г., и содержащего положения, наделяющие оператора правом осуществлять распространение персональных данных, действие данного согласия при поступлении в адрес оператора вышеуказанного требования субъекта персональных данных прекращается в части распространения его персональных данных.
Особое внимание слушателей Ефимова обратила на тему обработки ПД в целях предупреждения распространения Covid-19.
«Данные тепловизора после измерения температуры тела человека при входе в ту или иную организацию должны быть уничтожены в течение суток», - подчеркнула начальник отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по ЦФО.
В заключении своего выступления Екатерина Ефимова озвучила типичные и самые распространенные нарушения, которые выявляются в ходе контрольно-надзорной деятельности Роскомнадзора.
«В топе выявляемых в ходе КНД нарушений – незаконная передача третьим лицам персональных данных. А операторам ПД советую вдумчиво и очень внимательно относиться к внутреннему контролю за обработкой ПД поскольку такой контроль позволяет выявить и устранить допущенные ошибки до того, как к вам пришли с проверкой», - сказала в заключении Екатерина Ефимова.
Главный специалист-эксперт отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по ЦФО Карина Родишевская рассказала о порядке осуществления внутреннего контроля в организациях.
По ее словам, осуществление внутреннего контроля – не формальная процедура, в соответствии со ст. 18.1 №152-ФЗ оператор, являющийся юридическим лицом, назначает ответственного за организацию обработки персональных данных, который в том числе должен организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.
Для качественной организации приема и обработки обращений и запросов субъектов персональных данных оператор вправе разработать и утвердить правила (инструкцию) рассмотрения обращений субъектов персональных данных и журнал учета обращений граждан.
Кроме этого, в организации необходимо утвердить правила и план внутреннего контроля, оформлять результаты внутреннего контроля, а также принимать меры по устранению нарушений.
Как отметила Карина Родишевская, предметом внутреннего контроля в организации могут быть личные дела работников и клиентов, документы кандидатов на вакантные должности, сайт оператора ПД.
Затем начальник отдела ведения реестра операторов, осуществляющих обработку персональных данных Управления Роскомнадзора по ЦФО Мария Беспалова рассказала о типовых ошибках при заполнении уведомлений об обработке персональных данных и требованиях законодательства.
По ее словам, оператор ПД до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Федерального закона № 152-ФЗ «О персональных данных».
«Самый действенный способ избежать различных нарушений в этой области - это внимательно изучить и руководствоваться Приказом Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»», - отметила Мария Беспалова.
Главными признаками нарушений, по ее словам, является – неуведомление Роскомнадзора об изменении перечня обрабатываемых персональных данных, изменении перечня категорий субъектов персональных данных, изменении ответственного за организацию обработки персональных данных, его контактных данных, осуществлении трансграничной передачи персональных данных, новых адресах баз персональных данных.
В заключении семинара спикеры мероприятия ответили на вопросы предпринимателей, а также рекомендовали участникам семинара обращаться с возникающими вопросами в Управление Роскомнадзора по ЦФО или черпать необходимую информацию на сайте территориального контролирующего органа по адресу: https://77.rkn.gov.ru/ .