Персональные данные: Ответы на часто задаваемые вопросы. Часть 3

• 21. Что подразумевается под "шифровальными (криптографическими) средствами" в уведомлении о начале обработки ПДн, например, электронная подпись?
• 22. Критично ли, если в уведомлении Роскомнадзора сотрудник указан со старой фамилией после её смены, или необходимо направлять изменения?
• 23. Что включает в себя аудит сайта на соответствие требованиям по обработке персональных данных?
• 24. Возможно ли назначить двух ответственных за организацию обработки ПДн: одного по персоналу, второго по клиентам?
• 25. В ЕГРЮЛ скорее всего согласие не надо на основании 129-ФЗ?
• 26. Сколько операторов на сегодняшний день заявили о себе/внесены в реестр РКН?
• 27. Выписка ЕГРЮЛ,там есть персональные данные, ФНС не собирает согласие ПДн? Почему публикуются данные без согласия?
• 28. Проверка алкорамкой - обработка ПДн спец категории - инфо: трезв или пьян + ФИО?
• 29. Вопрос по пункту 420-ФЗ "оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта"? Какое должно быть документальное подтверждение?
• 30. Гражданин, имея мобильный телефон с адресной книгой, является оператором персональных данных? А если он ими делится?

21. Что подразумевается под "шифровальными (криптографическими) средствами" в уведомлении о начале обработки ПДн, например, электронная подпись?

Под шифровальными (криптографическими) средствами в уведомлении о начале обработки персональных данных понимаются специальные программные и/или аппаратные комплексы, предназначенные для защиты информации путем ее преобразования (шифрования). Примерами таких средств являются КриптоPro CSP, ViPNet Client и другие аналогичные продукты, используемые для обеспечения конфиденциальности, целостности и подлинности данных. Электронная подпись (ЭП) сама по себе не является шифровальным средством, но ее функционирование часто основывается на использовании криптографических алгоритмов. Тем не менее, в контексте уведомления, речь идет именно о комплексных программно-аппаратных средствах криптографической защиты информации (СКЗИ), а не просто о наличии электронной подписи.

22. Критично ли, если в уведомлении Роскомнадзора сотрудник указан со старой фамилией после её смены, или необходимо направлять изменения?

Да, это критично, и Вам обязательно необходимо внести изменения в реестр операторов персональных данных. Такая обязанность по актуализации сведений закреплена в части 7 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Оператор обязан сообщать в уполномоченный орган по защите прав субъектов персональных данных об изменениях сведений, указанных в уведомлении, в течение десяти рабочих дней с даты возникновения таких изменений.

23. Что включает в себя аудит сайта на соответствие требованиям по обработке персональных данных?

Аудит сайта на соответствие требованиям законодательства о персональных данных – это комплексная проверка, которая позволяет выявить потенциальные нарушения и риски. Он включает в себя оценку по следующим ключевым параметрам:

1. Проверка размещения сайта: Убедиться, что серверы сайта находятся на территории Российской Федерации, как того требует законодательство.
2. Наличие файлов cookie и метрических программ: Оценка использования cookie-файлов, Яндекс.Метрики, Google Analytics и других инструментов сбора данных.
3. Предупреждающий баннер: Проверка наличия и корректности всплывающего баннера об использовании cookie-файлов и сборе данных.
4. Формы сбора персональных данных: Анализ всех форм на сайте (обратная связь, подписка, регистрация) на предмет наличия обязательных ссылок на политику конфиденциальности и согласия на обработку ПДн.
5. Политика обработки персональных данных: Проверка актуальности и полноты опубликованного на сайте документа "Политика в отношении обработки персональных данных". Он должен содержать все необходимые разделы и соответствовать требованиям закона.
6. Уведомление в Роскомнадзор: Проверка факта подачи уведомления в РКН и его актуальности.
7. Соответствие Политики и Уведомления: Анализ соответствия сведений, указанных в Уведомлении Роскомнадзора, данным в Политике обработки ПДн на сайте.
8. Отсутствие предустановленных галок: Проверка, чтобы в формах согласия на обработку ПДн не было заранее проставленных галочек.
9. Публикация фотографий: Если на сайте размещены фотографии физических лиц, проверяются правовые основания для их распространения (наличие согласия, если требуется).

Подробнее об аудите сайта и типичных ошибках можно узнать в специализированных статьях и руководствах.

24. Возможно ли назначить двух ответственных за организацию обработки ПДн: одного по персоналу, второго по клиентам?

Исходя из буквального толкования пункта 1 части 1 статьи 18.1 и части 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ответственным за организацию обработки персональных данных может быть одно лицо. Закон не предусматривает возможности разделения этой функции между несколькими сотрудниками или лицами по разным категориям субъектов данных. Оператор должен назначить одного ответственного, который будет координировать все процессы обработки ПДн в компании.

25. В ЕГРЮЛ скорее всего согласие не надо на основании 129-ФЗ?

В соответствии с пунктом 1 статьи 6 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением решений об учреждении личных фондов и уставов таких фондов, сведений об учредителях личных фондов, а также сведений, доступ к которым ограничен в соответствии с абзацами вторым и третьим п. 1 ст. 6 Федерального закона от 08.08.2001 № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и Федеральным законом от 3 августа 2018 года № 290-ФЗ "О международных компаниях и международных фондах". В данном случае согласие не требуется, обработка осуществляется в силу пункта 2 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

26. Сколько операторов на сегодняшний день заявили о себе/внесены в реестр РКН?

Реестр операторов, осуществляющих обработку персональных данных, размещен на официальном сайте Роскомнадзора по адресу.

В настоящее время в реестре содержатся сведения о 1 854 906 операторах персональных данных (по состоянию на 14.06.2025).

27. Выписка ЕГРЮЛ, там есть персональные данные, ФНС не собирает согласие ПДн? Почему публикуются данные без согласия?

В соответствии с пунктом 1 статьи 6 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением решений об учреждении личных фондов и уставов таких фондов, сведений об учредителях личных фондов, а также сведений, доступ к которым ограничен в соответствии с абзацами вторым и третьим п. 1 ст. 6 Федерального закона от 08.08.2001 № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и Федеральным законом от 3 августа 2018 года № 290-ФЗ "О международных компаниях и международных фондах". В данном случае согласие не требуется, обработка осуществляется в силу пункта 2 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

28. Проверка алкорамкой - обработка ПДн спец категории - инфо: трезв или пьян + ФИО?

Вопросы толкования понятия ПДн, в том числе специальных категорий, относятся к полномочиям Минцифры РФ.

29. Вопрос по пункту 420-ФЗ "оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта"? Какое должно быть документальное подтверждение?

Должны быть ЛНА, связанные с организационными мерами.

30. Гражданин, имея мобильный телефон с адресной книгой, является оператором персональных данных? А если он ими делится?

В соответствии с пунктом 1 части 2 статьи 2 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» действие Закона о персональных данных не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных. Таким образом, ведение телефонной книги физическим лицом в личных целях не подпадает под регулирование Закона о персональных данных.