В соответствии п.2 ч.1 ст.18.1 Федерального закона от 27.07.2006 г. №152-ФЗ (далее Закон №152-ФЗ) «О персональных данных» основание обработки персональных данных отражается в документе, определяющим политику оператора в отношении обработки персональных данных, которая опубликовывается или обеспечивается иным образом неограниченный доступ к нему (ч.3 ст.13.11 КоАП РФ). Однако на официальном сайте бывшего работодателя в разделе "Персональные данные" данный документ отсутствует. По данном факту была направлено обращение которое было зарегистрировано в Роскомнадзоре за №02-11-36447 от 03.11.2023 г.
Сайт работодателя разработан на платформе Битрикс. Функционал сайта имеет всплывающее уведомление:
«Этот сайт использует cookie-файлы и другие технологи, чтобы помочь Вам в навигации, а также для предоставления лучшего пользовательского опыта и анализа использования наших продуктов и услуг. Продолжая использовать сайт, вы даете согласие на их сбор и обработку, в соответствии с политикой в отношении обработки персональных данных, размещенной в разделе «Персональные данные» с интерактивной кнопкой «Согласен».
То есть работодатель данным уведомлением «Этот сайт использует cookie-файлы и другие технологи, чтобы помочь Вам в навигации, а также для предоставления лучшего пользовательского опыта и анализа использования наших продуктов и услуг. Продолжая использовать сайт, вы даете согласие на их сбор и обработку, в соответствии с политикой в отношении обработки персональных данных, размещенной в разделе «Персональные данные» подтверждает, что функционал интернет-ресурса (сайт работодателя) содержит алгоритмы сбора персональных данных, а также работодатель посредством своего сайта собирает согласие на сбор персональных данных и их обработку с использованием информационно-телекоммуникационной сети «Интернет».
При посещении раздела «Персональные данные» по ссылке размещенной в уведомлении политика в отношении обработки персональных данных отсутствует!!!
Доступ к закрытой части сайта работодателя осуществляется через Личный кабинет, где вход организован через Единую систему идентификации и аутентификации (Госуслуги) esia.gosuslugi.ru/login/
После успешной идентификации и аутентификации на интернет-ресурсе https://esia.gosuslugi.ru/login/ осуществляется доступ в Личный кабинет на интернет-ресурсе (закрытая часть сайта работодателя).
Видно, что функционал интернет-ресурса (закрытая часть сайта работодателя) осуществляет обработку персональных данных пользователя сайта, а именно:
- фамилия, имя и отчество;
- пол;
- дата рождения;
- адрес электронной почты;
- номер телефона
То есть интернет-ресурс (закрытая часть сайта работодателя) содержит алгоритм сбора персональных данных.
Однако по вышеизложенному основная позиция Роскомнадзора от 01.12.2023 г. №08-128226 следующая:
Относительно размещения документа, определяющему политику в отношении обработки персональных данных, согласно ч. 2 ст. 18.1 Закона № 152-ФЗ, оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
По результатам анализа содержания интернет-ресурса (сайт работодателя) установлено, что функционал указанного интернет-ресурса не содержит алгоритмов сбора персональных данных.
В Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) было направлено обращение по определению законности примененной Роскомнадзором практики исключения из общих правил обработки персональных данных, установленных частью 2 статьи 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Департаментом обеспечения кибербезопасности Минцифры России дан ответ за исх.№П25-30686-ОГ от 28.12.2023 г. по правоприменительной практике Роскомнадзора по созданию возможности необоснованного установления исключений из общего порядка обработки персональных данных для некоторых работодателей.
Одновременно отмечаем, что по вопросу размещения документа, определяющего политику в отношении обработки персональных данных, в соответствии с частью 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных» Роскомнадзором было направлено соответствующее письмо в адрес работодателя.
Исходя из изложенного, Министерство не усматривает нарушений в обжалуемых действиях Роскомнадзора.
В соответствии с выше изложенным государственная политика Минцифры России и Роскомнадзора следующая, а именно не размещение документа, определяющего политику в отношении обработки персональных данных, на сайте работодателя является правомерным в случае, если на запрос Роскомнадзора работодатель даст ответ "Персональные данные субъекта персональных данных оператором не обрабатываются".
Данная государственная политика Минцифры России и Роскомнадзора распространяется, даже если сайт работодателя явно обрабатывает персональные данные, в том числе с идентификацией и аутентификацией через Портал Госуслуги!!!