Персональные данные: Ответы на часто задаваемые вопросы. Часть 2

• 11. Являются ли фотографии с мероприятий персональными данными, и считается ли их публикация распространением?
• 12. Является ли сбор ФИО и паспортных данных для оформления пропуска в организацию обработкой персональных данных?
• 13. Каким нормативным актом регламентируется наличие приказа о базах данных в коммерческой организации?
• 14. Какова стоимость сервиса 152DOC?
• 15. Как решается вопрос о передаче персональных данных между компаниями внутри одной группы? Публикуется ли такое соглашение на сайте?
• 16. В какой форме должны вестись журналы обучения сотрудников и аудита по персональным данным – только на бумаге с личной подписью или можно в электронном виде?
• 17. Необходимо ли оформлять акты ввода/вывода в эксплуатацию информационных систем персональных данных (ИСПДн) для коммерческой организации и каким нормативным актом это регламентируется?
• 18. Требуется ли согласие на обработку персональных данных с членов комиссии, не являющихся сотрудниками организации, если нормативные документы с их участием размещаются на сайте администрации? Как в такой ситуации быть?
• 19. Как оператору связи сократить объём работы с персональными данными, если законодательство требует полной идентификации личности абонента?
• 20. Нужно ли подписывать согласие на обработку персональных данных при возврате товара покупателями, если они указывают ФИО и номер телефона в заявлении на возврат денежных средств?

11. Являются ли фотографии с мероприятий персональными данными, и считается ли их публикация распространением?

Да, фотография является персональными данными, если на ней изображено конкретное, идентифицируемое физическое лицо. Если такая фотография становится доступной неопределенному кругу лиц (например, через публикацию на сайте, в социальных сетях, в открытых отчётах), то это действие расценивается как распространение персональных данных. Для такого распространения, как правило, требуется получить согласие субъекта данных, если иное не предусмотрено законодательством (например, если лицо является публичной фигурой и изображение сделано в публичном месте и не касается его частной жизни).

12. Является ли сбор ФИО и паспортных данных для оформления пропуска в организацию обработкой персональных данных?

Да, безусловно. Сбор таких сведений, как фамилия, имя, отчество (ФИО) и данные паспорта, для цели оформления пропуска является обработкой персональных данных. Обработка — это любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

13. Каким нормативным актом регламентируется наличие приказа о базах данных в коммерческой организации?

Конкретного нормативного акта, который прямо регламентирует наличие отдельного "Приказа о базах данных" для коммерческих организаций, не существует. Вы можете перечислить используемые базы данных в любом Вашем локальном нормативном акте (ЛНА). Главное требование — Вы должны иметь возможность отслеживать, какие базы данных, содержащие персональные данные, у Вас есть. Это необходимо для обеспечения соответствия требованиям к защите ПДн и ведения их учета.

14. Какова стоимость сервиса 152DOC?

Актуальную информацию о стоимости сервиса "152DOC для 1С" Вы всегда можете найти на нашем сайте.

15. Как решается вопрос о передаче персональных данных между компаниями внутри одной группы? Публикуется ли такое соглашение на сайте?

Внутри группы компаний передача персональных данных обычно регулируется путем заключения внутреннего Соглашения о взаимодействии и обмене персональными данными. Это является внутренним документом, который регламентирует цели, порядок и условия такой передачи. Как правило, такие соглашения не подлежат публикации на сайте компании, так как являются внутренними нормативными актами, регулирующими деятельность группы компаний.

16. В какой форме должны вестись журналы обучения сотрудников и аудита по персональным данным – только на бумаге с личной подписью или можно в электронном виде?

Форма ведения журналов обучения сотрудников и аудита по персональным данным остается на усмотрение оператора. Это означает, что Вы можете вести их как в бумажном, так и в электронном виде. Однако, если документы подписываются в электронной форме, они должны быть подписаны усиленной квалифицированной электронной подписью в соответствии с законодательством об электронной подписи (Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»). При выборе электронного формата важно обеспечить надежность хранения, невозможность несанкционированных изменений и подтверждение ознакомления сотрудниками.

17. Необходимо ли оформлять акты ввода/вывода в эксплуатацию информационных систем персональных данных (ИСПДн) для коммерческой организации и каким нормативным актом это регламентируется?

Конкретного требования к оформлению отдельного приказа или акта о вводе/выводе в эксплуатацию ИСПДн в нормативных актах нет. Вы можете перечислить свои ИСПДн в любом локальном нормативном акте Вашей организации (например, в Положении об обработке персональных данных). Главное — обеспечить учет и отслеживание всех информационных систем, где обрабатываются персональные данные. Это критически важно, так как без формализации факта ввода систем в действие, Вам будет сложно доказать выполнение требований по защите ПДн. Без определения, что именно является Вашими ИСПДн, невозможно построить эффективную систему защиты.

18. На сайте администрации размещаются нормативные документы с приложениями о составах комиссии с участниками, не относящимися к организации. Вопрос: требуется ли брать согласие с членов комиссии, не являющихся сотрудниками организации? Как в такой ситуации быть?

Если законодательством Российской Федерации установлена обязанность оператора по опубликованию соответствующих нормативных правовых актов, содержащих сведения о составе комиссий (включая ФИО членов, не являющихся сотрудниками организации), то отдельное согласие на обработку персональных данных от этих членов комиссии не требуется. В такой ситуации обработка осуществляется на основании пункта 2 части 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных», который предусматривает обработку ПДн для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

19. Как оператору связи сократить объём работы с персональными данными, если законодательство требует полной идентификации личности абонента?

Если проведение полной идентификации личности абонента является обязательным требованием в рамках Вашей профильной деятельности (например, для операторов связи это регулируется Федеральным законом «О связи» и Правилами оказания услуг телефонной связи), то вопросов со стороны контролирующих органов к Вам не возникнет. Вы вправе собирать и обрабатывать те персональные данные, которые строго необходимы для выполнения Ваших законных обязанностей. Однако, если Вы проявляете инициативу и собираете данные, объем которых превышает законодательно установленные требования для данной цели, это может стать предметом проверки и повлечь за собой вопросы со стороны Роскомнадзора. Сокращать объем обработки возможно только в тех случаях, когда это не противоречит применимому законодательству.

20. Нужно ли подписывать согласие на обработку персональных данных при возврате товара покупателями, если они указывают ФИО и номер телефона в заявлении на возврат денежных средств?

При возврате денежных средств покупателям, сбор таких персональных данных, как ФИО и номер телефона, как правило, не требует отдельного согласия. Допустимый объем обрабатываемых ПДн в данном случае определяется Указанием Банка России от 11.03.2014 № 3210-У «О порядке ведения кассовых операций юридическими лицами и упрощенном порядке ведения кассовых операций индивидуальными предпринимателями и субъектами малого предпринимательства» и Постановлением Госкомстата РФ от 18.08.1998 № 88 «Об утверждении унифицированных форм первичной учетной документации по учету кассовых операций, по учету результатов инвентаризации».

Правовым основанием для такой обработки является пункт 2 и 5 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

• Пункт 2: обработка необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
• Пункт 5: обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Таким образом, если указанные данные требуются для выполнения Ваших обязанностей по возврату средств и оформлению первичных учетных документов, согласие не требуется.