тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > 152-ФЗ «О персональных данных»: вопрос-ответ

By 16.09.2024 Информационная безопасность 0 Comments

152-ФЗ «О персональных данных»: вопрос-ответ

В работе с персональными данными по всем требованиям регуляторов важно учесть множество нюансов. Поэтому вопросы по теме возникают постоянно. От простого к сложному — сегодня поговорим о нюансах обработки и защиты ПДн по требованиям регуляторов.

Вопрос: можно ли коммерческим организациям применять методы обезличивания, которые предусмотрены приказом Роскомнадзора № 996 «Об утверждении требований и методов по обезличиванию ПДн»?

Ответ:
Допускается, но при наличии правовых оснований, предусмотренных законодательством РФ, то есть с целью проведения статистических исследований или иных исследовательских мероприятий.
Моё скромное мнение: На «открытых заседаниях» ранее говорилось, что обезличивание могут производить только госорганы, поскольку методология обезличивания ПДн разработана только для них.

— Вероника Нечаева, CISO CORTEL

Вопрос: считается ли видеонаблюдение обработкой биометрических ПДн?

Ответ:
Согласно действующему законодательству, потоковое видеонаблюдение не является обработкой биометрических ПДн. Что касается случаев, когда видеонаблюдение устанавливается на рабочих местах с целью контроля за деятельностью сотрудника, работодателю нужно обеспечить:

  • информирование работника об осуществляемом видеонаблюдении;
  • положение о порядке и условиях ведения видеозаписи и хранения видеоматериалов, которые должны быть зафиксированы в локальных актах, предусмотренных гл. 14 Трудового кодекса, с которыми работник должен быть ознакомлен.

Получение согласия на ведение такого видеонаблюдения не требуется, поскольку это попадает под правовые основания, предусмотренные п. 2 ч.1 ст.6 № 152-ФЗ, то есть, деятельность осуществляется в рамках ТК.

Вопрос: где можно ознакомиться с полным перечнем документации, которая нужна для выполнения требований регуляторов по персональным данным?

Ответ:

У нас есть подробный материал со всей организационно-распределительной документацией и пояснениями.

Вопрос: нужно ли в согласии указывать конкретный перечень третьих лиц или можно обойтись категорией операторов без конкретизации? Подобный перечень может меняться ежедневно, указание списков создает организационные сложности.

Ответ:
Указание перечня наименований лиц, которым передаются ПДн, – требование для письменной формы и поручения обработки, в остальных случаях жесткого требования указывать конкретный список третьих лиц нет. Однако существуют требования к информированности субъекта, то есть он должен знать, кому предоставляются его данные. Это можно обеспечить, включив в текст согласия ссылки на список контрагентов, опубликованный на официальном ресурсе организации.

Вопрос: возможно ли объединять согласие на обработку ПДн и согласие на обработку cookie файлов?

Ответ:
Это не запрещено. При этом текст соответствующего согласия может включать как положение об обработке ПДн в рамках оказываемых услуг, так и согласие на сбор cookie-файлов.

Вопрос: в случае публикации на сайте в открытом доступе фотографии или видео с гражданином с указанием его фамилии, имени, отчества, должности и места работы достаточно ли будет взять согласия в рамках ст.10.1 152-ФЗ? Или необходимо собирать дополнительное согласие в рамках ст. 152.1 ГК РФ? Если есть необходимость сбора согласия в рамках ст.10.1 152-ФЗ, можно ли включить в такое согласие текст согласия в рамках ст.152.1 ГК РФ?

Ответ:

Наличие одного согласия в соответствии с ст. 10.1 Закона будет достаточным как правовое основание распространения персональных данных. Включать в одно согласие в рамках 10.1 Закона и в рамках ст. 152.1 ГК РФ не нужно.

Вопрос: чем отличается соглашение о поручении на обработку ПДн от передачи ПДн?

Ответ:

И поручение обработки ПДн, и передача ПДн без поручения требуют юридической формализации.

На конкретных примерах, что это за случаи, и в чём отличия соглашения о поручении на обработку персональных данных от передачи ПДн — разобрали здесь.

Вопрос: может ли несовершеннолетний гражданин самостоятельно подписать согласие на обработку персональных данных?

Ответ:

При определении правомочности по предоставлению согласия, важно иметь в виду возрастной ценз, который может быть установлен федеральными законами. Одновременно с этим существует распространённое заблуждение, что вопросы обработки персональных данных несовершеннолетних лиц подпадают под статью «обработка недееспособных лиц».

Недееспособными считаются граждане, которые признаны таковыми судом, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой с возрастом расширяется. Так, от имени малолетних детей в возрасте до 14 лет сделки совершают их законные представители.

Соответственно, согласие на обработку персональных данных лиц, не достигших 14 лет, могут давать только их родители, усыновители, опекуны. Объем дееспособности несовершеннолетних в возрасте от 14 до 18 лет определен ст. 26 ГК РФ, он значительно шире, чем у малолетних. В частности, они самостоятельно распоряжаются своими заработком, стипендией и иными доходами; осуществляют права автора произведения науки, литературы или искусства, изобретения или иного охраняемого законом результата своей интеллектуальной деятельности; вносят вклады в кредитные организации и распоряжаются ими; совершают мелкие бытовые сделки.

Несовершеннолетний, достигший четырнадцатилетнего возраста, может давать согласие на обработку персональных данных самостоятельно, без посредничества законного представителя, если он сам непосредственно участвует в тех или иных правоотношениях и иных ограничений не предусматривает отраслевое законодательство.

Вопрос: как правильно составлять модель угроз ИСПДн?

Ответ:

Мы писали об этом в статьях:

  • про фундамент и всю теоретическую базу модели угроз — здесь
  • практика и составление МУ в соответствии с требованиями ФСТЭК — здесь

Вопрос: Есть ли возможность указать несколько целей в форме согласия?

Ответ:
При письменной форме согласия должна быть указана только одна цель. В остальных случаях, когда не требуется письменная форма, в тексте согласия может быть указано несколько целей обработки ПДн. При указании в согласии на обработку ПДн нескольких целей рекомендуется предусмотреть для каждой цели объем ПДн.

Уточнение о cookie файлах:
В Политике о порядке обработки coоkie-файлов должна содержаться информация об объеме и перечне тех cookie-файлов, которые собираются с помощью метрических программ и других программных средств.

Если у вас остались вопросы по обработке, хранению и защите персональных данных по требованиям регуляторов — вступайте в наш закрытый чат в Telegram и задайте его экспертам напрямую.

Или заполните форму, чтобы получить решение всех проблем и вопросов одним решением — мы сами свяжемся с вами, проконсультируем и проведём аудит вашего веб-ресурса на соответствие требованиям регуляторов.