Уточнения и разъяснения нормативных актов с точки зрения регуляторов

1. Оператор ДО НАЧАЛА ОБРАБОТКИ персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять БЕЗ УВЕДОМЛЕНИЯ уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

• обрабатываемых в соответствии с ТРУДОВЫМ ЗАКОНОДАТЕЛЬСТВОМ
• полученных оператором в связи С ЗАКЛЮЧЕНИЕМ ДОГОВОРА, СТОРОНОЙ КОТОРОГО ЯВЛЯЕТСЯ СУБЪЕКТ ПЕРСОНАЛЬНЫХ данных, ЕСЛИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ НЕ РАСПРОСТРАНЯЮТСЯ, А ТАКЖЕ НЕ ПРЕДОСТАВЛЯЮТСЯ ТРЕТЬИМ ЛИЦАМ БЕЗ СОГЛАСИЯ СУБЪЕКТА персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам (участникам) ОБЩЕСТВЕННОГО ОБЪЕДИНЕНИЯ ИЛИ РЕЛИГИОЗНОЙ ОРГАНИЗАЦИИ и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• сделанных СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕДОСТУПНЫМИ;
• включающих в себя только ФАМИЛИИ, ИМЕНА И ОТЧЕСТВА субъектов персональных данных;
• необходимых в целях ОДНОКРАТНОГО ПРОПУСКА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ТЕРРИТОРИЮ, на которой находится оператор, или в иных аналогичных целях;
• ВКЛЮЧЕННЫХ в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус ГОСУДАРСТВЕННЫХ АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• ОБРАБАТЫВАЕМЫХ В СЛУЧАЯХ, предусмотренных законодательством Российской Федерации О ТРАНСПОРТНОЙ БЕЗОПАСНОСТИ, В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ УСТОЙЧИВОГО И БЕЗОПАСНОГО ФУНКЦИОНИРОВАНИЯ ТРАНСПОРТНОГО КОМПЛЕКСА, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Уведомление об обработке ПДн можно подать в электронной форме на сайте Роскомнадзора.
В случаях:

• дополнений организационно-распорядительных документов (ОРД);
• смены ответственного лица;
• смены адресов размещения БД персональных данных;
• иных дополнений, изменений;

необходимо подать ИНФОРМАЦИОННОЕ ПИСЬМО "О ВНЕСЕНИИ ИЗМЕНЕНИЙ"

Подведем итог: ТК, Договор, Религиозная организация, Общедоступные данные, Только ФИО, Разовый пропуск, ГАИС, Без СА, ФЗ "О транспортной безопасности"


​пп.1 ч.2 ст.22 отправляет нас к ТК РФ:

П. 1 части первой ст. 86 ТК РФ предусматривает, что ОБРАБОТКА ПДН ВОЗМОЖНА, В ЧАСТНОСТИ, В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ СОБЛЮДЕНИЯ ЗАКОНОВ И ИНЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ (обязанность работодателя по передаче ПДн работников соответствующим военным комиссариатам для целей ведения воинского учета, Пенсионному фонду РФ для целей ведения индивидуального (персонифицированного) учета прямо предусмотрена действующим законодательством (пп. 3 п. 2 ст. 12 Федерального закона от 16.08.1999 № 165-ФЗ «Об основах обязательного социального страхования», п. 7 ст. 8 Федерального закона от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе», п. 32 Положения о воинском учете, утвержденного постановлением Правительства РФ от 27.11.2006 № 719). Данная передача ПДн не должна приводить к возникновению у работодателя обязанности по уведомлению Роскомнадзора об обработке ПДн.

ПОСРЕДНИЧЕСТВО РАБОТОДАТЕЛЯ ПРИ ОФОРМЛЕНИИ И ПОЛУЧЕНИИ РАБОТНИКАМИ ЗАРПЛАТНЫХ БАНКОВСКИХ КАРТ ЗАКОНОДАТЕЛЬСТВОМ НЕ ПРЕДУСМОТРЕНО и носит гражданско-правовой характер. Трудовым законодательством установлена только обязанность работодателя выплачивать в полном размере причитающуюся работнику заработную плату (часть вторая ст. 22 ТК РФ) в месте выполнения им работы либо перечислять ее на указанный работником счет в банке на условиях, определенных коллективным договором или трудовым договором (часть третья ст. 136 ТК РФ).
​
ТАКИМ ОБРАЗОМ
На передачу работодателем ПДн работников кредитным организациям непосредственно с целью оформления зарплатных карт действие нормы п. 1 ч. 2 ст. 22 Закона N 152-ФЗ не распространяется.
​
ПОЭТОМУ
Работодатель в этой ситуации обязан направлять уведомление об обработке ПДн.
​
НО
Уведомление Роскомнадзора не требуется в случаях, когда ПДн получены оператором в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьим лицам без СОГЛАСИЯ СУБЪЕКТА ПДН И ИСПОЛЬЗУЮТСЯ ОПЕРАТОРОМ ИСКЛЮЧИТЕЛЬНО ДЛЯ ИСПОЛНЕНИЯ УКАЗАННОГО ДОГОВОРА И ЗАКЛЮЧЕНИЯ ДОГОВОРОВ С СУБЪЕКТОМ ПДН.
​
ТАКИМ ОБРАЗОМ
Необходимо ПРОПИСАТЬ УСЛОВИЯ ОБ ОФОРМЛЕНИИ РАБОТНИКУ РАБОТОДАТЕЛЕМ ЗАРПЛАТНОЙ БАНКОВСКОЙ КАРТЫ В ТРУДОВОМ ДОГОВОРЕ или ином договоре между работником и работодателем, то передача работодателем необходимых для исполнения условий таких договоров ПДн работников третьим лицам не свидетельствует о необходимости уведомления Роскомнадзора об обработке ПДн.
​
ДЛЯ ПОДСТРАХОВКИ
Прописать этот пункт в Согласие на обработку ПДн.

"Если обрабатывается только ФИО и телефон:
Писать в согласии: "ФИО, адрес и реквизиты документа удостоверяющего личность обрабатываются исключительно в бумажном виде в целях получения согласия на обработку персональных данных..."
В ст.9 ФЗ № 152 в п.1. "Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, если иное не установлено федеральным законом..."

Чек-бокс (галочка на сайте) - является подтверждением согласия.

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии ПРЕДВАРИТЕЛЬНОГО СОГЛАСИЯ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан НЕМЕДЛЕННО ПРЕКРАТИТЬ ПО ТРЕБОВАНИЮ СУБЪЕКТА персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи. 

​
Пояснение: п.2. ст.15. Фактически приравнивается к отзыву согласия на обработку персональных данных субъекта. Однако есть случаи в которых организация правомерно может вынести отказ субъекту на его требования. В рамках Федерального закона от 06.12.2011 № 402-ФЗ (ред. от 28.11.2018) "О бухгалтерском учете":
ч.1. ст. 29. Хранение документов бухгалтерского учета
Первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней подлежат хранению экономическим субъектом в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет после отчетного года.
Т.е., например, отзыв согласия на обработку и изъятие (уничтожение) ПДн уволившегося (уволенного) работника организации не может быть удовлетворен на основании Федерального закона № 402-ФЗ в течении пяти лет после его увольнения.

1. ….оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

• НАЗНАЧЕНИЕ ОПЕРАТОРОМ, являющимся юридическим лицом, ОТВЕТСТВЕННОГО за организацию обработки персональных данных;
• ИЗДАНИЕ ОПЕРАТОРОМ, являющимся юридическим лицом, ДОКУМЕНТОВ, ОПРЕДЕЛЯЮЩИХ ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
• ОЗНАКОМЛЕНИЕ РАБОТНИКОВ ОПЕРАТОРА, непосредственно осуществляющих обработку персональных данных, с ПОЛОЖЕНИЯМИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

  2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
  3. …
  4. …
​
Пояснение: 

• пп.1. ч.1. ст. 18.1. предполагает издание Приказа по организации "О назначении администратора безопасности ИСПДн";
• пп.2. ч.1. ст.18.1. предполагает издание Положений и Инструкций;
• пп.4. ч.1. ст.18.1. предполагает издание Плана внутренних проверок и проведение этих проверок в рамках организации;
• пп.6. ч.1. ст.18.1. предполагает осуществление ознакомления работников организации с действующими законодательными актами и ОРД организации. Такое ознакомление рекомендуется производить 1-2 раза в квартал посредством семинаров или лекций по информационной безопасности в организации. По окончанию лекции или семинара сотрудники организации расписываются в Листе ознакомления, подготовленным заранее. 

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:

• ОПРЕДЕЛЕНИЕМ УГРОЗ БЕЗОПАСНОСТИ персональных данных при их обработке в информационных системах персональных данных;
• ПРИМЕНЕНИЕМ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ;
• ОЦЕНКОЙ ЭФФЕКТИВНОСТИ ПРИНИМАЕМЫХ МЕР по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• УЧЕТОМ МАШИННЫХ НОСИТЕЛЕЙ персональных данных;
• обнаружением ФАКТОВ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА к персональным данным и принятием мер;
• ВОССТАНОВЛЕНИЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• УСТАНОВЛЕНИЕМ ПРАВИЛ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

​
Пояснение: 

• пп.1. ч.2. ст. 19. предполагает разработку модели угроз безопасности персональных данных;
• пп.2., пп 3 ч.2. ст.19. предполагает использование (введение) сертифицированных ФСТЭК технических и программных средств защиты информации;
• пп.5. ч.2. ст.19. предполагает создание и ведение журналов учета машинных носителей;
• пп.6. ч.2. ст.19. предполагает издание Приказа по организации о разграничении доступа (Положение), в котором указываются права и обязанности администратора безопасности, пользователя, внешнего пользователя и т.п. 

В соответствии со ст. 3 ФЗ № 152 «О персональных данных»: Основные понятия, используемые в настоящем Федеральном законе:
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

В соответствии с ГОСТ 34.321-96 Информационные технологии (ИТ). Система стандартов по базам данных. Эталонная модель управления данными (Дата введения 2001-07-01):

• база данных (database): Совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь.
• схема базы данных (databaseschema): Формальное описание данных в соответствии с конкретной схемой данных.

«Гражданский кодекс Российской Федерации (часть четвертая)» от 18.12.2006 N 230-ФЗ (ред. от 18.07.2019) дает следующее определение БД:
ГК РФ Статья 1260. Переводы, иные производные произведения. Составные произведения.

• Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, ЧТОБЫ ЭТИ МАТЕРИАЛЫ МОГЛИ БЫТЬ НАЙДЕНЫ И ОБРАБОТАНЫ С ПОМОЩЬЮ ЭЛЕКТРОННОЙ ВЫЧИСЛИТЕЛЬНОЙ МАШИНЫ (ЭВМ).

Разъяснения Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций от 30 августа 2013 г.
«Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических
данных и иной информации к биометрическим персональным данным и особенностей их обработки»
​
Роскомнадзор в своих разъяснениях отталкивается от ст.11. ФЗ № 152 и поясняет, что фото и видео данные, независимо от способа их хранения относятся к персональным данным.
ст. 11, ФЗ № 152

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

Вопрос: Организация планирует установить систему видеонаблюдения за конкретными рабочими местами. Отделом кадров направлено уведомление работникам о введении системы видеонаблюдения за два месяца до даты установки системы видеонаблюдения. Кроме того, от большой части работников получено письменное согласие на обработку видеоизображения работника. Можно ли уволить работников, которые не согласны на установку системы видеонаблюдения, и в каком порядке?
Ответ: По нашему мнению, с работниками, которые не согласны на установку системы видеонаблюдения за их рабочими местами, трудовой договор может быть прекращен по причине отказа работника от предложенной работы.
Согласно Разъяснениям Роскомнадзора "О вопросах отнесения фото-, видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст. 74 Трудового кодекса РФ работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под подпись.
В соответствии со ст. 74 ТК РФ, в случае когда по причинам, связанным с ИЗМЕНЕНИЕМ ОРГАНИЗАЦИОННЫХ ИЛИ ТЕХНОЛОГИЧЕСКИХ УСЛОВИЙ ТРУДА (изменения в технике и технологии производства, структурная реорганизация производства, другие причины), определенные сторонами условия трудового договора не могут быть сохранены, ДОПУСКАЕТСЯ ИХ ИЗМЕНЕНИЕ ПО ИНИЦИАТИВЕ РАБОТОДАТЕЛЯ, ЗА ИСКЛЮЧЕНИЕМ ИЗМЕНЕНИЯ ТРУДОВОЙ ФУНКЦИИ РАБОТНИКА.

1. О предстоящих изменениях определенных сторонами условий трудового договора, а также о причинах, вызвавших необходимость таких изменений, работодатель обязан уведомить работника в письменной форме не позднее чем за два месяца, если иное не предусмотрено ТК РФ. Если работник не согласен работать в новых условиях, то работодатель обязан в письменной форме предложить ему другую имеющуюся у работодателя работу (как вакантную должность или работу, соответствующую квалификации работника, так и вакантную нижестоящую должность или нижеоплачиваемую работу), которую работник может выполнять с учетом его состояния здоровья. При этом работодатель обязан предлагать работнику все отвечающие указанным требованиям вакансии, имеющиеся у него в данной местности. Предлагать вакансии в других местностях работодатель обязан, если это предусмотрено коллективным договором, соглашениями, трудовым договором. При отсутствии указанной работы или отказе работника от предложенной работы трудовой договор прекращается в соответствии с п. 7 ч. 1 ст. 77 ТК РФ.

1. Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии - с согласия родителей.

    Такое согласие не требуется в случаях, когда:

• использование изображения осуществляется в государственных, общественных или иных публичных интересах;
• изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
• гражданин позировал за плату.

  2. Изготовленные в целях введения в гражданский оборот, а также находящиеся в обороте экземпляры  материальных носителей, содержащих изображение гражданина, полученное или используемое с нарушением пункта 1 настоящей статьи, подлежат на основании судебного решения изъятию из оборота и уничтожению без какой бы то ни было компенсации.(п. 2 введен Федеральным законом от 02.07.2013 N 142-ФЗ)
  3. Если изображение гражданина, полученное или используемое с нарушением пункта 1 настоящей статьи, распространено в сети "Интернет", гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.(п. 3 введен Федеральным законом от 02.07.2013 N 142-ФЗ)

Ст.3, ФЗ №152 Основные понятия, используемые в настоящем Федеральном законе:
Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ПРИМЕНЕНИЮ ПРИКАЗА РОСКОМНАДЗОРА ОТ 5 СЕНТЯБРЯ 2013 Г. N 996 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ И МЕТОДОВ ПО ОБЕЗЛИЧИВАНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ»:
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обезличенные данные - это данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.