Елена Андреева. Обработка персональных данных: все ли агентства недвижимости являются операторами?
Обработка персональных данных: все ли агентства недвижимости являются операторами?
Роскомнадзор, являющийся уполномоченным органом, считает, что оператор персональных данных (ПД) — это тот, кто, прежде всего, совершает какие-либо операции с ПД. Одновременно возникает и обязанность определения целей такой обработки. Т.е. если даже у вас не определена цель обработки ПД – вы все равно оператор.
Статья 1: закон регулирует отношения, связанные с обработкой ПД, осуществляемой различными органами, юридическими и физическими лицами. Это действия (операции) с ПД, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных. Из изложенного следует, что, если конкретное лицо осуществляет какие-либо из перечисленных действий, то это лицо следует именовать оператором.
Закон стремится сделать деятельность, связанную с обработкой ПД, прозрачной и понятной для человека — носителя защищаемых данных. Т.е. клиенту ли сотруднику мы должны объяснить – ЗАЧЕМ. А если его данные мы обрабатываем без цели – это уже нарушение.
Т.е., так или иначе, все организации являются операторами хотя бы потому, что у них есть данные о сотрудниках. Тем, более, если есть данные о клиентах.
Поскольку агентства недвижимости тоже это делают – мы тоже операторы, и обязаны соблюсти все предусмотренные законом меры по защите информации. С этой точки зрения законодатель прав – мы обладаем данными о значительных человеческих ресурсах и планируемых операциях с ними – с недвижимостью. И разглашать эту личную информацию без разрешения собственника мы не имеем права. Фактически используя ее для бизнеса, мы ее «обрабатываем», как гласит закон.
Далее агентства невдижимости должны понять, используют они программные средства или нет? Большинство из нас используют как минимум 1С для ведения кадровых дел. В первом случае необходимо выполнять требования постановления Правительства РФ № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", во втором - требования постановления Правительства РФ № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", т.е. на бланках и бумаге. Причем во втором случае требования могут устанавливаться на местном уровне.
Должны ли мы встать на учет? А вот тут все зависит от того, какая информация у нас есть
Согласно статье 22 ФЗ Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; С сотрудника мы должна взять согласие на обработку его ПД.
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Т.е. по клиентским договорам, включающим согласие на обработку ПД.
3) относящихся к членам (участникам) общественного объединения …
4) являющихся общедоступными персональными данными; Такими данными являются официально собранные адресные справочники, которые есть в других странах, но у нас пока нет (хотя когда-то, помните, были телефонные справочники). В этом и заключается основная правовая коллизия ФЗ 152. Создавался он по примеру европейского законодательства, но вот этот изъян не учли. Общедоступных персональных данных о физлицах у нас, видимо, просто нет. Но, судя по трактовке, например, отдельные выдаваемые данные Госреестра и Земкадастра можно считать общедоступными. А также информацию из реестра ИП.
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях ( пропуск на территорию вашего офиса, например);
8) обрабатываемых без использования средств автоматизации.
Таким образом, у агентств недвижимости есть следующие варианты:
Обязательные действия:
- прописать согласия на обработку данных в клиентских договорах и данных о сотрудниках. Не забывая о том, что «оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов». Т.е. объяснить и клиенту и сотруднику, как будут использоваться его данные. И кто к ним будет иметь доступ.
- разработать положения о защите информации и технические меры: условия хранения документов, пароли, уровни доступа и т.п.
- провести инструктаж в целях защиты персональных данных, как сотрудников, так и клиентов. В том числе и по вопросам конфиденциальности информации и ответственности за нее.
Действия по усмотрению:
- заявить в уполномоченный орган о намерении и целях обработки данных, если есть несоответствия с п. 22 ФЗ. Определение целей обработки данных обязательно. В этом случае агентство вместе с этими целями попадает в будущем в Федеральный реестр баз персональных данных. Далее возможно два варианта: мы стоим на учете, но обезличиваем данные, в том числе в статистических целях, что позволяет нам избегать обязательного получения некоторых согласий. Либо мы получаем письменные согласия абсолютно от всех участников нашей информационной системы.
- не заявлять о таком намерении. В этом случае мы либо должны вести весь документооборот на бумаге, хранить все договора с клиентами и сотрудниками, включающими их согласия на обработку данных (это надо делать во всех случаях) и не вести других баз.
Большинство агентств недвижимости, которые ведут все прочие базы в целях своей деятельности, должны предусмотреть НЕиспользования там личной информации, как вариант – это базы исключительно объектов недвижимости без личных данных собственников. Либо включающих только ФИО. В ином случае от АН потребуется письменное согласие клиента и разъяснения целей. Иными словами, если мы используем данные об объектах недвижимости, мы должны «обезличить» эти объекты, «оторвать» их от информации о собственниках.
Отдельно надо сказать об информации, полученной из других источников. В том числе информационных, например, в интернет. Здесь вступает в силу понятие публичной оферты. Однако, доказывать это придется, если что, агентству недвижимости. К тому же закон установил, что субъекту ПД также необходимы разъяснения о целях, пользователях и правах субъекта до того, как данные будут использоваться. А агентство должно заручиться доказательством того.
Другое дело, о чем агентства недвижимости должны предоставлять отчетность. Если АН стоит на учете в уполномоченном органе, то, по его требованию, предоставляет информацию из своей информационной системы. И в интересах субъектов персональных данных. И в интересах других органов, а также по вопросам соответствия данных, используемых агентством, заявленным при постановке на учет целям. Периодическая отчетность пока законом не предусмотрена.
Если в информационной системе на законных основаниях есть ПД, то их субъект (клиент, сотрудник) имеет право на получение от агентства недвижимости информации о наличии персональных данных, а также возможность ознакомления с ними (измененияудаления) при обращении, либо в течение десяти рабочих дней с даты получения запроса.
Единственный момент, наталкивающий на размышления – это оговоренная в законе как не подпадающая под его действие обработка данных для личных нужд.
Какой вариант работы с персональными данными теперь изберут агентства недвижимости – решать им.
Автор: Андреева Елена.
Источник публикации: www.ufareal.ru
Количество просмотров -
