Логин:
Пароль:
Регистрация
Забыли свой пароль?
Войти как пользователь:
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
-->

Методические рекомендации

РАБОТА С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В ПРОФСОЮЗНОЙ ОРГАНИЗАЦИИ

До 1 сентября 2022 года профсоюзные организации, будучи операторами персональных данных, не были обязаны уведомлять Роскомнадзор об обработке ими персональных данных при условии выполнения нескольких требований: 1) Профсоюз обрабатывал персональные данные только своих членов, 2) только для достижения целей, предусмотренных учредительными документами, и 3) передавал персональные данные только на основании письменного согласия.

Однако правила поменялись в связи с законодательными изменениями 152-ФЗ (266-ФЗ от 14.07.2022). У профсоюзных организаций возникла обязанность уведомлять Роскомнадзор об обработке персональных данных и следовать иным нормативным требованиям 152-ФЗ. Попробуем составить алгоритм действий, связанных с обработкой персональных данных, для профсоюзных организаций. И рассказать, на что, в первую очередь, стоит обратить внимание профсоюзному активу.

Для начала определимся, что считать ПДн. И хотя некоторые правоведы утверждают, что четкого определения того, что считать персональными данными нет, в федеральном законе №152 обозначены такие виды персональных данных:

Общие. К ним законодательство относит базовые личные данные: ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e­mail;

Специальные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях;

Биометрические. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие;

Иные. К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определенной социальной группе, корпоративные данные и так далее.

Важно понимать. Основное отличие персональных данных от других данных состоит в том, что они позволяют определить конкретное физическое лицо, конкретного человека.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

1. Определяем, кто есть

оператор персональных данных

Оператором ПДн в соответствии со ст. 3 152ФЗ является государственный или муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных. А также оператор определяет:

1) цели обработки ПДн, то есть для чего необходимо обрабатывать ПДн;

2) состав персональных данных, то есть список подлежащих обработке данных; и

3) действия (операции), совершаемые с персональными данными, то есть то, каким образом обрабатываем ПДн.

Возьмите на заметку. Только те профсоюзные организации, которые имеют статус юридического лица, являются операторами ПДн.

Для легализации работы с персональными данными в цеховых профсоюзных организациях, профсоюзных группах или иных структурных подразделениях, не имеющих статуса юридического лица, профсоюзная организация, объединяющая эти подразделения и имеющая статус юридического лица, должна утвердить список лиц, уполномоченных на работу с ПДн. Это может быть решение профкома с пофамильным перечислением тех, кто имеет право работать с персональными данными.

2. Назначаем лицо, ответственное за организацию обработки ПДн

В соответствии со ст. 152ФЗ оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

Кстати говоря, председатель ПО может возложить обязанности по организации обработки персональных данных на себя.

В число обязанностей ответственного лица входит: 1) осуществлять внутренний контроль за соблюдением законодательства о ПДн, в том числе требований к защите персональных данных. Это означает проведение всего спектра мероприятий от создания правил обращения с ПДн, написания локально­нормативных актов, до внедрения и контроля за их исполнением; доводить до сведения работников (при наличии таковых в штате) или профактива положения законодательства о ПДн, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных. Это означает проведение обучений, тренингов, разъяснительной работы среди работников или профактива по вопросам обработки ПДн;

2) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

3. Собираем сведения об обработке персональных данных в ПО

В соответствии со ст. 152ФЗ оператор ПДн обязан издать локальный акт по вопросам обработки персональных данных, определяющий для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения.

Кроме этого, при подаче уведомления в РКН о начале обработки ПДн необходимо предоставить сведения об аналогичном наборе данных: цели обработки ПДн, категории и перечень ПДн, субъекты ПДн, способы обработки (приказ РКН от 28.10.2022 № 180).

В профсоюзной организации могут быть следующие типовые цели обработки ПДн:

1) членство в Профсоюзе, включая прием в члены Профсоюза, выдачу членского билета, защиту социально­трудовых прав и профессиональных интересов члена Профсоюза, организацию учета членов Профсоюза, проведение уставных культурно­массовых и спортивных мероприятий, награждение наградами, выдвижение в качестве делегатов, оказание материальной помощи, организацию обучения, размещение информации на стендах, досках почета;

2) заключение/исполнение хозяйственных договоров для собственных нужд;

3) управление персоналом (при условии, что у ПО есть штатные работники);

4) подбор персонала (при условии, что ПО занимается подбором кандидатов на вакантные должности);

5) рассмотрение обращений посетителей сайта (при условии, что у ПО есть сайт);

6) управление и делопроизводство (при условии, что у ПО есть аппарат).

После выбора целей необходимо выяснить, какие ПДн обрабатываются для каждой цели и ПДн каких субъектов подлежат обработке для достижения соответствующей цели обработки. Для удобства сбора данных можно использовать таблицу, которую сразу наполнять дополнительными сведениями в части способов обработки и сроков обработки и хранения ПДн.

При определении способа обработки необходимо учитывать позицию РКН (письмо от 10.11.2022 № 0899909) о том, что автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники, таким образом, обработка персональных данных в системе программ Excel и Word признается осуществляемой с использованием средств автоматизации.

4. Определяем сроки обработки и хранения персональных данных

В соответствии с ч. 21152ФЗ в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

Иными словами, персональные данные хранятся не дольше, чем того требует цель обработки.

После того как цель обработки достигнута, ПДн необходимо удалить. Но если имеются положения законодательства, устанавливающие сроки хранения тех или иных документов, то хранение ПДн следует продолжить и уничтожить данные только после истечения сроков нормативного хранения.

Для определения срока хранения персональных данных можно использовать следующие положения законодательства:

– Гражданский кодекс РФ положения об исковой давности (ст. В целях защиты интересов ПО и/или субъектов ПДн в судебном порядке и обеспечения участия ПО и/или субъектов ПДн в осуществлении правосудия допустимым будет хранение персональных данных членов Профсоюза в течение 3 лет после прекращения их членства в Профсоюзе;

– Приказ Росархива № 236 от 20.12.2019 г.

По окончании срока хранения и отсутствии иных правовых оснований для продолжения хранения ПДн их следует уничтожить.

Если раньше каждый оператор самостоятельно определял, какими документами и в каком порядке будет подтверждаться удаление ПДн, то с 01 марта 2023 года действуют новые правила подтверждения фактов уничтожения персональных данных (приказ РКН от 29.10.2022 № 179).

При смешанном способе обработки ПДн подтвердить факт уничтожения ПДн можно будет с помощью акта об уничтожении и выгрузки из журнала регистрации событий в информационной системе.

В акте об уничтожении должны быть следующие реквизиты:

1) наименование оператора (профсоюзной организации),

2) Ф.И.О. субъектов, чьи данные уничтожены,

3) перечень удаленных ПДн,

4) Ф.И.О. членов комиссии по уничтожению ПДн и их подписи,

5) способ уничтожения,

6) наименование материального носителя с указанием количества уничтоженных листов,

7) причины уничтожения,

8) дата уничтожения.

 

Выгрузка из журнала регистрации событий в информационной системе должна содержать следующие поля:

1) Ф.И.О. субъектов, чьи данные уничтожены,

2) перечень удаленных ПДн,

3) наименование информационных систем, из которых данные удалены,

4) причины уничтожения,

5) дата уничтожения.

Хранить доказательства уничтожения персональных данных в виде акта об уничтожении и выгрузки их журнала следует в течение 3 лет с даты уничтожения данных (приказ РКН от 29.10.2022 № 179). 18.1.152ФЗ возложила на оператора ПДн обязанность утвердить порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, профсоюзная организации должна издать соответствующий локальный акт.

В этом документе следует указать порядок формирования комиссии по уничтожению, назначить ответственных лиц, которые будут осуществлять систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению, зафиксировать формы акта об уничтожении и выгрузки из журнала, а также срок их хранения. 

5. Определяем правовые основания для обработки персональных данных

Обработка персональных данных допускается:

1) при наличии согласия субъекта персональных данных на обработку его персональных данных;

2) для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, исполнительном производстве;

4) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

5) для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6) в ряде иных случаев, которые не являются типовыми для профсоюзной организации.

 Юридически значимые явления, дающие право оператору работать с ПДн, именуются правовыми основаниями для обработки ПДн.

Типичными и самыми распространенным правовыми основаниями для обработки ПДн в ПО являются согласие (1) и исполнение норм закона (2).

Согласие является самым распространенным правовым основанием для обработки ПДн, но и самым рисковым. С одной стороны, оно может быть получено от субъекта ПДн для любой цели, с любым набором данных, с любым перечнем разрешенных действий с этими ПДн. С другой стороны, у субъекта ПДн есть право отозвать свое согласие (ч. 9 152ФЗ), и тогда оператор должен будет искать иное правовое основание для обработки ПДн. Если таковое не будет найдено, то оператор обязан полностью прекратить обработку ПДн субъекта, который отозвал свое согласие.

Например, член Профсоюза выходит из Профсоюза и отзывает свое согласие на обработку ПДн. В этом случае профсоюзной организации необходимо провести анализ законодательства на предмет наличия в нем норм, которые позволят продолжить обработку ПДн такого субъекта. В совокупности они позволяют ПО продолжить обработку ПДн бывшего члена Профсоюза в течение установленного законом срока, даже несмотря на то, что субъект отозвал свое согласие на обработку. В данном примере правовым основанием для продолжения обработки ПДн будет являться исполнение нормы закона. 

6. Виды согласий в профсоюзной организации 

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Согласие должно даваться свободно и осознанно никто не имеет права принуждать субъекта к выдаче согласия. Оно должно быть информированным, то есть субъекту необходимо разъяснить и донести до него через текст согласия информацию о том, для чего его ПДн будут обрабатываться, какие ПДн, кем обрабатываться и пр. Наконец, согласие должно быть однозначным, то есть оно не должно содержать двусмысленных или неясных формулировок.

Если этот же субъект является работником Профсоюза, то он дает письменное согласие и как член профсоюза и как работник. Несмотря на то что субъект ПДн один, это должны быть два разных согласия, которые невозможно объединить, так как наличествуют разные цели и сроки обработки ПДн.

Распространение это предоставление ПДн неограниченному кругу лиц (сайт, соцсеть, доска почета с неограниченным доступом к ней субъектов и т.п.).

Такая категория ПДн возникает, к примеру, в случае размещения профсоюзной организацией на своем сайте фотографий членов Профсоюза, их Ф.И.О., места работы, должности либо иных ПДн. Если на сайте публикуется коллективная фотография участников профсоюзного мероприятия, то согласие от лиц, зафиксированных на такой фотографии, получать не требуется, так как цель публикации материалов заключается в доведении информации о проведенном публичном мероприятии, а не о персональном составе его участников. Если же на сайте публикуются индивидуальные фотографии лиц, участвующих в мероприятии, тогда от таких субъектов потребуется получить согласие на распространение их ПДн.

Требования к форме и содержанию согласия на распространение утверждены приказом РКН от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

В соответствии с требованиями указанного приказа в согласии на обработку персональных данных, разрешенных субъектом для распространения, указываются следующие сведения:

1) Ф.И.О. субъекта;

2) контактная информация субъекта – на выбор что­то одно: номер телефона, адрес электронной почты или адрес регистрации;

3) сведения об операторе (наименование, адрес в соответствии с ЕГРЮЛ, ИНН, ОГРН);

4) ссылка на сайт оператора;

5) цель обработки персональных данных ­ размещение на сайте;

6) категории и перечень персональных данных, на обработку которых дается согласие – например, Ф.И.О., фото, должность, место работы и пр.;

7) условия и запреты на обработку персональных данных – заполняются по желанию субъекта;

8) срок действия согласия.

Во всех случаях, когда имеет место распространение ПДн, от субъекта следует получить специальное согласие, отдельное от всех других.

7. Подаем уведомление в РКН об обработке персональных данных

После того как определено, кто является оператором ПДн, ответственным лицом, каковы цели обработки, категории обрабатываемых ПДн и субъекты, а также каковы правовые основания для обработки ПДн в ПО, профсоюзная организация готова подавать уведомление в РКН о начале обработки ПДн.

Формы уведомлений утверждены приказом РКН от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

При этом, если у оператора произошли какие­либо изменения и поменялось что­либо из заявленных ранее сведений, к примеру, поменялось лицо, ответственное за организацию обработки ПДн, оператор обязан информировать РКН о таких изменениях до 15­го числа месяца, следующего за месяцем изменений (ч. 7. ст. 22 152­ФЗ).

Подача уведомлений как о начале обработки ПДн, так и о внесении изменений в ранее поданные сведения, осуществляется на сайте РКН.

8. Формируем базу локальных нормативных актов 

Оператор обязан издать:

1) политику об обработке персональных данных;

2) локальные акты по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения это Перечень процессов обработки ПДн в ПО, который был рассмотрен в разделе 3.

3) порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований подробно был рассмотрен в разделе 4 настоящих Методических рекомендаций;

4) иные локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Перейдем к тем локальным актам, которые должны установить процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Среди таких локальных актов следует назвать Регламент обработки запросов субъекта персональных данных или РКН, Положение о расследовании инцидентов, Описание информационных систем, обрабатывающих ПДн, и Модель угроз безопасности ПДн.

В этом документе следует указать, что такое инцидент с ПДн, какие виды инцидентов могут возникнуть в ПО, контактные лица в ПО, которым необходимо сообщить о выявленном инциденте, порядок и срок направления первичного уведомления в РКН об инциденте, порядок проведения внутреннего расследования инцидента и порядок и срок направления дополнительного уведомления в РКН о результатах внутреннего расследования. Причем делать это необходимо в короткий срок, а именно: в течение 24 часов с момента выявления инцидента (факта или подозрения о нем) оператором, РКН или иным заинтересованным лицом.

Кроме того, оператор в течение 72 часов должен провести внутреннее расследование инцидента и предоставить РКН сведения о виновных лицах (при наличии), а вот извещать субъектов персональных данных об инцидентах не нужно.

Первичное уведомление направляется оператором в РКН в течение 24 часов с момента выявления инцидента (факта или подозрения о нем). В этом документе указывается информация:

1) о произошедшем инциденте (дата и время выявления, характеристики ПДн, содержание скомпрометированной базы данных, количество содержащихся в ней записей; дополнительно можно представить информацию об актуальности скомпрометированной базы данных, периоде, в течение которого собраны ПДн);

2) о предполагаемых причинах неправомерной или случайной передачи ПДн;

3) о предполагаемом вреде, нанесенном правам субъектов ПДн;

4) о принятых мерах по устранению последствий инцидента;

5) о лице, уполномоченном на взаимодействие с РКН по вопросам, связанным с выявленным инцидентом. 

После этого у оператора есть 72 часа (с момента выявления инцидента) на внутреннее расследование и направление дополнительного уведомления в РКН с его результатами с указанием:

1) причин произошедшего;

2) виновных лиц (если установлены);

3) принятых мер по устранению последствий инцидента;

4) реквизитов документа о проведенном внутреннем расследовании инцидента. 

Причинами инцидентов зачастую являются умышленные действия, такие как хакерская атака, кража оборудования, которые могут повлечь за собой неправомерную передачу (раскрытие) ПДн субъектов или утечку ПДн.

Перечень и описание информационных систем, обрабатывающих ПДн, и Модель угроз безопасности ПДн это документы, наличие которых обусловлено как требованиями 152 ФЗ, так и требованиями ряда подзаконных актов Постановления Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) РФ от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 

9. Типичные ошибки при работе с персональными данными, рекомендации по их исправлению 

1. Заявление на вступление в члены профсоюза включает в себя согласие на обработку персональных данных.

Заявление на вступление в члены профсоюза должно оформляться отдельно от согласия на обработку ПДн. 9 152ФЗ субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку свободно, своей волей и в своем интересе. 

2. Сбор копий паспортов, СНИЛС, ИНН при оформлении заявлений на материальную помощь

Копии документов, необходимые для выполнения требований законодательства РФ (трудового, налогового, пенсионного законодательства), допускается хранить при наличии оснований, предусмотренных законодательством. Во всех иных случаях, когда достаточно использовать только реквизиты документа, не рекомендуется собирать и хранить копии паспортов, СНИЛС, ИНН, свидетельств о рождении детей и прочих документов.

Излишняя обработка копий документов с ПДн не поддерживается судами (Постановление АС Северо­Кавказского округа от 11.03.2014 по делу № А53 10287/13; Постановление Пятнадцатого ААС от 14.03.2014 по делу № А5312557/2013; Постановление ФАС Северо­Кавказского округа от 21 апреля 2014 года по делу № А53 13327/2013), поэтому следует минимизировать собираемые и обрабатываемые ПДн.

 

3. На сайте профсоюза осуществляется сбор ПДн, однако отсутствует форма для получения согласия на обработку ПДн.

 

РКН при проведении контрольных мероприятий на предмет соблюдения требований законодательства в сфере обработки ПДн (мониторинг сайта оператора) практически в каждом случае указывает на то, что при сборе ПДн посредством электронных форм типа «Обратная связь», «Оставить отзыв», «Написать нам», «Задать вопрос», «Подписаться на новости» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку ПДн.

При этом необходимо отметить, что согласие на обработку ПДн не равно Политике об обработке ПДн.

Согласие – есть правовое основание обработки ПДн.

Политика – это документ, определяющий порядок обработки ПДн у оператора.

На сайте профсоюза в форме обратной связи, как бы она ни называлась, необходимо предусмотреть возможность для проставления пользователем отметки о согласии на обработку ПДн. 18.1 152ФЗ о том, что политика должна быть опубликована на всех страницах сайта, на которых осуществляется сбор персональных данных.

 

4. На сайте профсоюза нет кукис баннера

Кукис (cookies) – специальные файлы, которые находятся на диске компьютера пользователя и содержат текстовую информацию, которая нужна серверу для функционирования какого­либо сайта.

Поэтому на сайте профсоюза обязательно должен быть кукисбаннер с уведомлением пользователя о сборе файлов кукис и возможностью для пользователя дать согласие или отказаться от сбора кукис.

Текст кукис­баннера может быть такой: «Мы используем файлы cookies, чтобы улучшить работу сайта, текст согласия на использование файлов cookies здесь».

 

5. Согласие на обработку ПДн члена профсоюза объединяется с согласием на распространение ПДн

Согласие на распространение ПДн оформляется отдельно от иных согласий субъекта (ч. 10.1 152ФЗ), его нельзя объединить с согласием на обработку ПДн члена профсоюза, которое оператор ПДн получает от субъекта при вступлении последнего в профсоюз. Такая форма работы с ПДн субъекта возникает только в случае размещения сведений о члене профсоюза в публичном доступе — к примеру, на сайте.

Во всех иных случаях профсоюзной организации достаточно получить от субъекта одно согласие — согласие на обработку ПДн члена профсоюза, которое будет действовать в течение всего периода членства субъекта в профсоюзе.

 

И последнее. В случае нарушения порядка получения и обработки персональных данных, а также их распространение, предусмотрена административная ответственность и штрафные санкции в размере от 30 тысяч рублей до 18 миллионов рублей.

 

Газета «Доверие» №15-16. Использованы материалы РКН, НГСП


Возврат к списку