Вопрос: Если появляется новый контрагент, которому передаются ПДн работников/клиентов, нужно ли каждый раз переподписывать согласие на обработку ПДн?
Если возникающие отношения подпадают под требование о необходимости получения согласия в письменной форме по ч. 4 ст. 9 152-ФЗ – придется переподписать согласия, поскольку ч. 4 ст. 9 152-ФЗ содержит требование об указании сведений о лице, которому передаются данные. Аналогично – с поручением обработки ПДн, когда нет иных правовых оснований на обработку, кроме согласия. Если же возникающие отношения подпадают под иные условия обработки ПДн и не требуют получения согласия, но вы такое согласие получаете дополнительно, то переподписание согласия остается на ваше усмотрение. Более детальный ответ на данный вопрос возможен только при рассмотрении конкретной ситуации и индивидуальных особенностей взаимоотношений с контрагентом
Вопрос: Должна ли Политика обработки ПД соответствовать рекомендациям РКН?
Рекомендации силы закона не имеют, они созданы для упрощения работы по подготовке Политики обработки ПД, разъяснения операторам общего содержания данного документа, его сути. С точки зрения 152-ФЗ принципиально важно, чтобы Политика соответствовала требованиям п. 2 ч. 1 ст. 18.1 152-ФЗ, а вопрос о том пользоваться рекомендациями или нет, остается на усмотрение оператора (за несоответствие рекомендациям ответственность не предусмотрена). Также обращаем внимание, что данные рекомендации были разработаны до вступления в силу соответствующих изменений п. 2 ч. 1 ст. 18.1 152-ФЗ, поэтому пользоваться ими следует с осторожностью, не забывая про нововведения.
Вопрос: Разъясните меры 21-П ЗИС.3 при трансграничной передаче ПДн. Как технически правильно передавать ПДн клиентов в другую страну, при условии, что вывоз СКЗИ запрещен?
Вывоз не всех СКЗИ запрещен, есть специальные сборки, которые можно официально вывозить. Подробности доступны по ссылке.
Вопрос: Является ли включение ПД в электронные справочники предприятия распространением ПД?
Если указанные электронные справочники будут доступны неограниченному кругу лиц (например, на сайте в сети Интернет), то это распространение ПДН. Если же доступ к электронным справочникам имеет ограниченный круг лиц (доступны только во внутренней сети компании, размещены в чате определенного сообщества), то это не распространение, а предоставление ПДн.
Вопрос: Ответственный за организацию обработки ПДн должен исполнять только 3 функции, указанные в ст. 22.1 152-ФЗ? Кто исполняет другие функции, например, разработка локальных актов, экспертиза процессов и договоров, разработка обучающих материалов по вопросам ПДн, взаимодействие с надзором органом и т.п.
152-ФЗ действительно закрепляет за ответственным за организацию обработки ПДн только 3 обязанности, они определены ч. 4 ст. 22.1 152-ФЗ. Однако по решению руководителя в должностную инструкцию ответственного могут быть внесены и иные обязанности по организации обработки ПДн (разработка локальных актов, актуализация сведений в реестре операторов, взаимодействие с контролирующим органом и тд). Если же дополнительные обязанности не включены в должностную инструкцию ответственного и не закреплены распоряжением руководителя за другим сотрудником на его усмотрение – ответственность за эту часть работы остается за руководителем.
Вопрос: Существует аттестованная ИСПДн Кадры + Бухи, аттестат бессрочный АРМ Win 10, а также ГИС (региональная ) Документооборот, в России импортозамещение, как поступить установить RED OS сертифицированный и аттестовать АРМ как ГИС, согласно аттестата меняется ОС, это нагрузка финансовая для переаттестации… но не кто не запрещает ИСПДн аттестовать как ГИС?
В любом случае, после изменения в ИС (замена ОС) потребуется проводить оценку соответствия требованиям по безопасности информации, будет она в виде аттестации или оценки эффективности решать вам самостоятельно. Только надо понимать, что аттестация проходит в соответствии с требованиями приказа № 77 ФСТЭК России и является более сложной и дорогой процедурой нежели оценка эффективности для ИСПДн.
Вопрос: Если мы обрабатываем ПДн в рамках договора, то согласия ПДн не нужны. Но при этом в самом договоре должна быть оговорка об обработке ПДн? если да , то почему?
Оговорка о ПДн – не обязательное условие, но бывают индивидуальные случаи, когда оператор считает необходимым добавить в договор такую оговорку (например, перестраховаться, сделать договор в этой части более понятным для субъекта ПДн, установить необходимость получения согласия в каких-то кокретных случаях, косвенно связанных с договором, указать порядок взаимодействия или обмена информацией в рамках договора определенными способами и др.).
Вопрос: ИП зарегистрирован 18.01.23, стал работодателем 17.07.23. Какую дату начала обработки персданных нужно указывать в уведомлении Роскомнадзора? Если ИП не подавал такое уведомление, можно ли подать его задним числом, т.е. сейчас, и что за это будет (штраф, проверка…)?
Рекомендуется указывать в качестве даты начала обработки ПДн – дату регистрации в налоговом органе (именно с этой датой сравнивается дата начала обработки, указанная в уведомлении, при проверке РКН). Если вы указываете иную дату – необходимо подготовить подтверждение, обосновывающее указание именно этой даты начала обработки (однако, обращаем внимание, что до того, как ИП стал работодателем, он мог обрабатывать свои ПДн, или взаимодействовать с клиентами самостоятельно, поэтому дата приема на работу первого сотрудника не совсем корректно будет отражать начало процесса работы с ПДн). В настоящее время можно подать уведомление в РКН задним числом (пресекательные сроки для подачи уведомления законом не установлены) и это не повлечет административной ответственности, если уведомление подано в добровольном порядке (т.е. без запроса или требования/предписания РКН).
Вопрос: Если субъект ПДн, разрешенных для распространения не установил запретов и условий на обработку неограниченным кругом лиц персональных данных, то обязательно ли размещать информацию об условиях обработки и о наличии запретов и условий на обработку ПДн неограниченным кругом лиц персональных данных в соответствии с п.10. ст.10.1 ФЗ 152?
Факт того, что субъект не установил запретов и условий, должен четко следовать из согласия на распространение. Если же субъект просто не заполнил соответствующие поля согласия – это не значит, что запреты и условия не установлены. Если из согласия явно не следует, что запреты и условия не установлены, то такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (ч. 5 ст. 10.1 152-ФЗ). Соответственно, по умолчанию, считается, что запреты все же установлены, о чем необходимо указать при размещении ПДн на сайте.
Вопрос: Будут ли выданы сертификаты по итогам вебинара?
Сертификаты по итогам вебинара не предусмотрены.
Вопрос: Кто несет ответственность, в случае обработки ПДн третьим лицом по поручению, за соответствие принятых технических мер по защите ПДн требованиям НПА?
И оператор, и лицо по поручению несут ответственность за соответствие принятых технических мер по защите персональных данных требованиям законодательства.
Вопрос: Каким квалификационным требованиям должно соответствовать лицо, ответственное за организацию обработки ПДн? Планирует ли Роскомнадзор или Минцфиры определить такие требования к ответственным?
На данный момент требования к квалификации ответственного за организацию обработки персональных данных не установлены законодательно. Рекомендуется выбирать лицо, которое имеет представление о деятельности компании по обработке ПДн в целом, а не только узкого специалиста. Рекомендации также касаются назначения ответственного не ниже заместителя руководителя. Исходите из обязанностей и объема полномочий, закрепленных должностной инструкцией ответственного.
Вопрос: Изменение адреса филиала произошло 01.11.2023 – когда необходимо уведомить РКН об изменениях?
Необходимо уведомить РКН об изменениях не позднее 15-го числа следующего месяца после изменения. В данном случае, уведомление следует подать до 15.12.2023.
Вопрос: Могут ли сотрудники по информационной безопасности одного юридического лица холдинга осуществлять свою деятельность на все юридические лица холдинга без получения лицензии?
Без лицензии оказывать услуги другим юридическим лицам нельзя. Сотрудники могут осуществлять свою деятельность только для собственных нужд юридического лица, где они трудоустроены.
Вопрос: Где посмотреть включена организация или нет?
На главной странице Портала ПДн или в разделе Реестр операторов (введите ИНН в строку поиска и нажмите кнопку “Найти”). При выборе названия организации можно ознакомиться с общедоступной информацией в реестре.
Вопрос: Куда написать запрос на проверку оператора ПДн о мерах защиты и хранения моих ПДн?
Прежде всего, в соответствии со ст. 14 152-ФЗ направьте запрос оператору, запрашивая информацию о мерах защиты ваших ПДн и другую связанную информацию. В случае отсутствия ответа, вы можете подать жалобу в территориальный орган РКН по месту регистрации. При сомнениях в правомерности обработки ПДн можно обратиться в уполномоченный орган, предоставив подробные обстоятельства нарушения.
Вопрос: Необходимо или обязательно согласовывать модель угроз? И с кем, если необходимо?
Модель угроз необходимо согласовывать только для систем, являющихся ГИС в соответствии с 676 Постановлением правительства. Согласование проводится с указанными в законе структурами.
Вопрос: При исполнении требований ст. 12 152-ФЗ к оценке получателя ПДн, как поступать, если получатель не предоставил данные об обеспечении безопасности ПДн?
В случае отказа получателя предоставить данные об обеспечении безопасности ПДн, оператор может использовать различные доступные методы оценки, включая запрос документов, изучение открытой информации о получателе. Если страна получателя обеспечивает адекватную защиту ПДн, оператор может начать трансграничную передачу после уведомления в РКН.
Вопрос: Где применяются Акты классификации вреда?
Акты классификации вреда применяются при проведении оценки вреда в соответствии с ч. 1 ст. 18.1 152-ФЗ. Оценка вреда используется для определения типа угроз безопасности персональных данных, актуальных для информационной системы, согласно п. 7 Требований ПП РФ 1119.
Вопрос: Планируются ли плановые проверки операторов ПДн Роскомнадзором в 2024 году, продолжает ли действовать мораторий на проверки?
На момент последнего обновления мораторий на плановые проверки операторов ПДн был продлен. В 2024 году планируются плановые проверки только в отношении операторов с высоким риском причинения вреда.
Вопрос: Правильно ли понимаю, что оператору ПДН нужно будет внести изменения в ОРД?
Да, правильно понимаете. Оператору ПДн необходимо внести изменения в Организационно-распорядительные документы (ОРД) с учетом изменений в законодательстве РФ в области персональных данных.
Вопрос: Может ли работник отказаться от предоставления биометрических данных?
Работник может отказаться от предоставления биометрических данных только в том случае, если предоставление этих данных не является обязательным согласно законодательству.
Вопрос: Какой правовой статус носит разъяснение, опубликованное на официальном сайте РКН?
Разъяснения, опубликованные на официальном сайте РКН, носят рекомендательный характер и отражают актуальную позицию органа. Однако, следует учитывать, что правовой статус может изменяться, и необходимо ориентироваться на актуальные законы и нормативные акты.
Вопрос: По каким критериям проводить оценку вреда субъектам ПДн в случае утечки ПДн?
Оценка вреда при утечке ПДн проводится в соответствии с ч. 1 ст. 18.1 152-ФЗ и приказом РКН от 27.10.2022 № 178. Критерии Роскомнадзора и приказа оценивают разные аспекты, и оператор должен учесть оба подхода при проведении оценки. При этом, предполагаемый вред в рамках ч. 3.1 ст. 21 152-ФЗ оценивается оператором с учетом обстоятельств конкретного инцидента, и приказ РКН № 178 при этом не применяется.
Вопрос: Достаточно ли листов ознакомления сотрудников с приказами и положениями Оператора о ПДн?
Да, в качестве подтверждения проведения ознакомления сотрудников с приказами и положениями Оператора о ПДн может использоваться любая форма, такая как листы ознакомления, журнал ознакомления и другие. Рекомендуется оформить отдельный лист ознакомления с основными нормативно-правовыми актами в области персональных данных (например, 152-ФЗ, гл. 14 ТК РФ, ПП РФ 687, 1119).
Вопрос: Постановление (ПП) номер будет? о трансграничной передаче
Порядок принятия решения о запрещении или об ограничении трансграничной передачи персональных данных, а также порядок информирования операторов о принятом решении установлен постановлением Правительства Российской Федерации от 10.01.2023 г. № 6.
Вопрос: Каким образом доказать, что пользователь сайта дал согласие?
Для доказательства того, что пользователь сайта дал согласие, можно использовать различные средства, такие как лог-файлы сайта, записи событий и операций, отражающие предоставление согласия. Также полезными могут быть данные о пользовательском маршруте, который включает в себя последовательность действий пользователя при взаимодействии с веб-сайтом или приложением. Внедрение системы управления согласиями также может быть эффективным методом.
Вопрос: Если оператор ПДн поручил обработку биометрии другому лицу и сам никак не обрабатывает биометрию, обязан ли оператор соблюдать 572-ФЗ “Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных”?
Да, оператор ПДн обязан соблюдать требования 572-ФЗ, даже если сам не осуществляет непосредственную обработку биометрических персональных данных. В случае поручения обработки биометрии другому лицу, ответственность оператора сохраняется за соблюдение всех нормативов, включая требования 572-ФЗ. Согласование этих вопросов следует провести в договорных отношениях между оператором и исполнителем.
Вопрос: Если учебный центр заключает договор с юридическим лицом на обучение его работников, нужно ли получать согласие на обработку персональных данных этих работников учебному центру?
Да, если учебный центр предполагает осуществление обработки персональных данных работников юридического лица в ходе обучения (например, ведение журналов посещаемости, выдача сертификатов, публикация отзывов), то требуется получение согласия на обработку персональных данных от самих работников или от лица, представляющего юридическое лицо.
Вопрос: Если хостинг и сервер в аренде, кто отвечает за хранение и утечку персональных данных?
С точки зрения законодательства о персональных данных, ответственность за хранение и защиту персональных данных остаётся на операторе данных. В случае аренды хостинга и серверов, оператор обязан заключать договор с арендатором (хостинг-провайдером) с четкими условиями по обеспечению безопасности и конфиденциальности данных. В случае утечки данных, оператор всё равно несёт ответственность перед субъектами персональных данных и уполномоченным органом. Рекомендуется включать соответствующие условия в договор с провайдером и удостовериться, что провайдер следует стандартам безопасности и защиты данных.
Вопрос: Организация подала уведомление об обработке персональных данных до 2022 г. После выхода изменений к ФЗ надо заново предоставлять уведомление или необходимо его дополнить?
Рекомендуется подать корректирующее уведомление с учетом новых требований, предусмотренных статьей 22 ФЗ “О персональных данных” и приказом Роскомнадзора № 180.
Вопрос: Какие существуют требования к процедуре передачи ответа на запрос уполномоченного органа о предоставлении персональных данных?
- Мотивированный запрос:
- Проверьте мотивацию запроса, включая цель запроса и ссылки на правовые основания.
- Запрос должен содержать подтверждение полномочий органа, направившего запрос.
- Подготовка данных:
- Для передачи выберите наиболее защищенный способ (личная передача, заказное почтовое отправление, защищенный канал связи).
- Если используется электронная почта, заархивируйте данные с установкой пароля на архив.
- Защита данных:
- Предупредите получателя данных о возможности использования их только в целях запроса.
- Требуйте подтверждение соблюдения правил использования данных.
- Согласие субъекта:
- В случае запросов от организаций без полномочий, получите согласие субъекта на предоставление его персональных данных.
- Поступление запроса:
- В случае запросов, обоснованных полномочиями, не требуется согласие субъекта.
- Предостережение:
- Уведомите лиц, получающих персональные данные, о том, что данные могут использоваться только в целях запроса.
Требование органа прокуратуры, правоохранительных органов о предоставлении ответа по электронной почте может быть законным. Для обеспечения конфиденциальности данных рекомендуется использовать защищенные каналы связи и методы передачи данных.
Вопрос: Если несколько сотрудников обрабатывают информацию с сайтов, кто будет являться ответственным?
Каждый сотрудник несет ответственность за обрабатываемые им данные в пределах своих должностных обязанностей и полномочий. Тем не менее, ответственность за общую безопасность и соблюдение законодательства о защите персональных данных лежит на руководстве организации (операторе).
Вопрос: Фото на пропуске – биометрия или нет?
Нет
Вопрос: Фото в личном деле и в программе пропускного режима на предприятии будет являться биометрией?
Фото в личном деле – нет. В программе пропускного режима – зависит от содержания тех.документации к программе пропускного режима (может быть установлено, что является биометрией – тогла рассматривается как биометрия. Если документацией не определено – то нужно обратить внимание на то, как реализован пропуск и сверение фото (если, например, используется фото на пропуске и сличается фотография на пропуске и в системе – это не биометрия, если же например, на входе идет видеообработка параметров лица в автоматическом режиме и соответствующее распознавание и сличение с данными пропускной программы – то вероятнее всего речь будет идти о биометрии)
Вопрос: Управляющая компания выдает справки с данными ФИО и датой рождения. Если один из жителей отсутствует и не может дать согласие на обработку персональных данных, что указать в справке и можно ли ее выдать?
Если указанные действия управляющей компании предусмотрены нормами жилищного законодательства или договором управления, и передача сведений предусмотрена для уполномоченного лица (например, соседу или другому уполномоченному представителю), то обработка персональных данных будет осуществляться на основании ч. 1 ст. 6 и ч. 2 ст. 6 152-ФЗ без необходимости получения дополнительного согласия субъекта ПДн.
Вопрос: В поручениях на обработку ПДн оператор часто указывает, что “обработчик” обязан проводить оценку вреда. Верно ли это, учитывая, что оценка вреда – обязанность оператора?
Да, верно. Оценка вреда – это обязанность оператора, и он несет ответственность за ее проведение. Однако, в поручениях (договорах) с обработчиками оператор может включить требование о проведении оценки вреда как дополнительную меру безопасности. Это не освобождает оператора от своей обязанности
Вопрос: Если бухгалтерию перевели на аутсорсинг, нужно ли собирать согласие сотрудников на обработку ПДн новой организацией?
Да, согласно ч. 4 ст. 9 152-ФЗ, при передаче персональных данных на обработку третьему лицу (в данном случае, аутсорсинг бухгалтерии), оператор должен получить письменное согласие субъекта персональных данных на такую обработку. Следовательно, нужно собирать согласия сотрудников на обработку их персональных данных новой организацией.
Вопрос: Ресурсоснабжающая организация запрашивает справки в управляющей на должников. Должны ли мы их предоставлять, и нет ли здесь нарушений?
Из пункта 148(11) ПП РФ № 354 от 06.05.2011 не следует обязанность УК предоставлять персональные данные должников в ресурсоснабжающую организацию (РСО). Обязанность предоставления информации, как правило, устанавливается нормами жилищного законодательства. Если ресурсоснабжающая организация сослалась на указанный пункт, рекомендуется изучить договора и нормативные акты, регулирующие отношения между УК и РСО, чтобы определить обязанности сторон и наличие правового основания для предоставления данных. В случае сомнений, рекомендуется проконсультироваться с юридическими специалистами.
Вопрос: Сотрудники вносят информацию в ИБ, полученную от заказчиков как по телефону, почте – они в таком случае являются все ответственными за обработку персональных данных?
Да, сотрудники, вносящие информацию в информационную базу и обрабатывающие персональные данные, несут ответственность в пределах своих должностных обязанностей и полномочий. Они должны соблюдать требования законодательства о защите персональных данных и внутренние правила организации по обработке персональных данных.
Вопрос: Приказ Роскомнадзора № 178 будет ли корректироваться? Например, отсутствуют критерии, которые напрямую влияют на соблюдение прав субъекта и причинение ему вреда, такие как отсутствие основания на обработку ПДн, избыточность условий договоров, продолжение обработки ПДн по достижении целей или отсутствии правовых оснований на обработку.
На данный момент не планируется.
Вопрос: Если изначально компания наняла облачный аутсорсинг для сбора и обработки ПДн потенциальных клиентов. На выходе аутсорсинг присылает обезличенные данные СНИЛС без ФИО и способ связи. Кто оператор – аутсорсинг или компания?
Оператором является компания, которая определяет цели и способы обработки персональных данных. Облачный аутсорсинг в данном случае действует по поручению оператора и обрабатывает данные в соответствии с его инструкциями. Компания, определяющая сбор и обработку данных, несет ответственность за соблюдение требований законодательства о персональных данных.
Вопрос: Если клиенты передают информацию о персональных данных, как верно получать согласие на обработку ПДн? Дополню. Устно передают данные.
Если согласие требуется, оно может быть получено устно или иными способами, если законом не предусмотрено иное. Для доказательства факта получения согласия желательно иметь какую-то форму его фиксации, например, запись разговора. Важно также убедиться, что клиент понимает цели обработки и соглашается с ними. Однако, если обработка данных осуществляется на основании иных законных оснований, таких как заключение или исполнение договора, согласие может не требоваться.
Вопрос: Аватарка (фото) в сервисе или мессенджере является биометрией? Если также указана ФИО, должность и тд.
Нет, аватарка (фото) в сервисе или мессенджере обычно не считается биометрической информацией. Биометрия, как правило, относится к биологическим характеристикам человека, таким как отпечатки пальцев, распознавание лица, голоса и т.д. Обычные фотографии, даже если включают в себя ФИО и должность, не являются биометрическими данными в том смысле, как это определено в законодательстве.
Вопрос: Как правильно применять законный интерес оператора в качестве основания на обработку ПДн? Есть ли критерии, какие случаи к такому основанию относятся?
Основание, указанное в п. 7 ч. 1 ст. 6 152-ФЗ, предусматривает, что обработка ПДн допускается 1 – для достижения общественно-значимой цели (общественный интерес), 2 – для осуществления прав и законных интересов оператора или третьих лиц. По 1 критерию важно учесть, что к общественным интересам следует относить не любой интерес, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде (Постановление Пленума Верховного Суда РФ от 15.06.2010 N 16) . Применяя второй критерий необходимо учитывать баланс между интересами оператора и правами субъектов ПДн. Для этого важно понять цель обработки, обосновать необходимость обработки и используемый объем ПДн, оценить соотношение прав субъектов ПДн с законным интересом оператора, принимать достаточные меры для защиты ПДн. Ссылаться на законный интерес рекомендуется, если достижение целей обработки иным способом невозможно, или такой способ практически не может быть реализован (сложный, трудоемкий, требует значительных финансовых затрат и тд.). В основном п. 7 ч. 1 ст. 6 применяется, когда речь идет о деятельности по взысканию просроченной задолженности, опубликовании информации в СМИ и иных открытых источниках, при оформлении доверенности, при организации пропускного режима с фиксированием ПДн, ведь получение согласия каждого посетителя невозможно, а обеспечить безопасность на территории необходимо. Важно помнить, что применение законного интереса всегда связано с определенными рисками (например, обжалование со стороны субъектов), поскольку в настоящее время однозначной позиции уполномоченного органа нет, а также правоприменительная практика различна.
Вопрос: Если компания перешла в сертифицированный по требованиям безопасности ПДн ЦОД, распространяется ли сертификат соответствия и на ПДн компании?
Распространяется частично. В части защиты общей инфраструктуры ЦОДа (т.е. серверов на которых будут расположены ваши ресурсы). А вот защиту непосредственно виртуальных машин, операционных систем где будут хранится ваши ПДн вы должны обеспечить самостоятельно. Разделение зон ответственности на примере сервиса Яндекс.Облако.
Вопрос: Когда будут размещены актуальные разъяснения Роскомнадзора об обработке биометрических ПДн, в замен тех, которые были удалены с портала Роскомнадзора?
Официальная информация уполномоченного органа по данному вопросу в настоящее время отсутствует.
Вопрос: Может ли работодатель, не нарушив требования законодательства РФ, направить работнику запрошенные им скан-копии трудовой книжки (т.е. непубличные ПДн) на его личный адрес электронной почты на @mail.ru без применения средств защиты от разглашения (например, без помещения персональных данных в запароленный архив)? Госуслуги так делают. Но вот суд считает отправку конфиденциальных данных на @mail.ru разглашением (КС. Постановление от 26.10.2017 N 25-П о проверке конституционности п5 ст2 ФЗ-149).
Указанный пример (КС. Постановление от 26.10.2017 N 25-П о проверке конституционности п.5 ст.2 ФЗ-149) связан с рассмотрением конкретной ситуации по отправке конфиденциальных сведений на личную эл. почту (отправка сотрудником на свой (личный) адрес эл. почты не принадлежащей ему конфиденциальной информации (информация принадлежит работодателю) при установлении локальными актами работодателя такого запрета, о чем сотрудник был проинформирован, что в свою очередь влечет лишение работодателя права осуществлять прерогативы обладателя информации и контролировать ее дальнейшее использование и тд.). Т.о. принятое КС Постановление не запрещает использование эл. почты для направления ПДн в целом (запрет зависит от конкретных обстоятельств и условий). Чтобы использовать эл. почту для направления сотруднику запрошенных им сведений рекомендуем: 1) разъяснить субъекту риски отправки информации по незащищенному каналу, 2) обговорить возможность изменения способа направления информации, 3) если субъект настаивает – получить согласие в свободной форме или письменное заявление от сотрудника о предоставлении сведений, в котором будет указан способ предоставления информации и сведения о том, что о рисках он проинформирован.
Вопрос: Можно ли передавать информацию о ПДн по электронной почте – один сотрудник информацию получил от клиента, отправил по эл. почте другому сотруднику на внесение в ИБ. Так можно делать? Или это будет считаться нарушением?
Прямого запрета на использование эл.почты нет, правовые последствия различаются в зависимости от степени разумности и осмотрительности самого обладателя информации (принятые локальные акты, меры по защите информации, доведение требований закона о ПДн и локальных актов до сотрудников, использование только корпоративной почты, соответствие целям обработки, соответствие совершаемых действий полномочиям сотрудников и тд). Вместе с тем, поскольку эл.почта является незащищенным каналом связи, рекомендуется минимизировать ее использование для отправки ПДн, либо направлять данные, например, в запароленном виде.
Вопрос: Несовершеннолетний в возрасте с 14 до 18 лет может самостоятельно давать согласие на обработку персональных данных при оказании услуг по договору?
Это определяется исходя из положений ст. 26 ГК РФ. Иными словами, если несовершеннолетний вправе самостоятельно выступать стороной сделки с учетом положений ГК РФ, то и согласие он вправе давать самостоятельно.
Вопрос: Работников ЦОД, обслуживающих места хранения ПДн компании-клиента, надо ли включать их в согласие уведомление на обработку ПДн с субъектом?
Уведомление и согласие не требует включения в них сведений о конкретных работниках. Включаются только сведения о лице (владелец ЦОД), который выполняет действия по хранению ПДн по поручению оператора. Согласие можно получить по телефону в случаях, когда не требуется письменная форма согласия.
Вопрос: Как обеспечить в данном случае идентификацию субъекта, если он обращается впервые? Как обеспечить соответствие такого согласия требованиям ст. 9 152-ФЗ: «согласие должно быть конкретным, предметным, информированным, сознательным и однозначным»?
Для соответствия критериям ч. 1 ст. 9 152-ФЗ субъекту по телефону необходимо кратко и доступно разъяснить, для чего будут использоваться ПДн, кто их будет обрабатывать. Также можно указать, куда ему обращаться по вопросам обработки ПДн, ответить на возникающие у субъекта вопросы относительно обработки его ПДн, возможно указать, где он может ознакомиться с политикой и т.д. Если клиент обращается впервые и идентификацию провести не представляется возможным, то данные обрабатываются как данные, полученные от абонента конкретного номера. Если в дальнейшем предполагается “живое общение” с клиентом – можно его идентифицировать и подтвердить, что ранее полученные в устном порядке сведения актуальны и предоставлены им.
Вопрос: Почему копия паспорта к ПДн не относится, разве по копии паспорта нельзя однозначно определить субъекта?
Копия паспорта, содержащая персональные данные, действительно относится к категории персональных данных. В соответствии с законодательством о персональных данных (например, в России по Закону № 152-ФЗ), копия паспорта рассматривается как документ, содержащий персональные данные субъекта (ФИО, серия и номер паспорта и прочее). Такие данные нуждаются в особой охране и обработке в соответствии с законом.
Вопрос: Возможна ли передача ПД надзорному органу ( МУБ “Управление пожарной охраны…) без согласия субъекта? Если да, на что ссылаемся? Каким образом безопасно передать ПД?
1. Проверьте мотивировку запроса, чтобы убедиться в полномочиях лица, запрашивающего сведения. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации. Запросы прокуратуры, правоохранительных органов и иных госструктур, как правило, мотивированы и законны, для предоставления информации в рамках таких запросов не требуется согласие субъекта (пп. 2 ч. 1 ст. 6 152-ФЗ). Для передачи сведений необходимо выбрать наиболее защищенный способ передачи (передать лично, направить заказным постовым отправлением, использовать защищенный канал связи). Если необходима передача по эл. почте – заархивируйте передаваемые сведения и установите пароль на архив, сообщив его исполнителю запроса дополнительно.
2. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, необходимо получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
Вопрос: Как регулятор относится к отсутствию срока в явном виде, но ссылкой на то, что данные будут обрабатываться пока не будут исполнены цели обработки?
Допускается как указание срока, так и условий, при наступлении которых обработка ПДн будет прекращена (достижение цели обработки, исполнение договора, прекращение трудовых отношений и тд.). Обязательно включайте положения о праве субъекта на отзыв согласия.
Вопрос: Можно ли изменить дату начала обработки персональных данных, если ошибочно подали дату самого уведомления?
Да, изменения в содержащуюся в реестре операторов информацию, можно подать путем направления уведомления об изменении по ссылке.
Вопрос: Что такое письменная форма согласия? Согласие в электронном виде является письменным? Если нет, то почему?
Письменная форма согласия – это согласие, соответствующее требованиям ч. 4 ст. 9 152-ФЗ. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Вопрос: На предприятии ведется видеонаблюдение в целях безопасности труда, считается ли это обработкой биометрических данных?
Нет, это обработка общих ПДн
Вопрос: «Согласие на передачу ПДн для их обработки» – только в письменном виде? А как же согласия на веб-сайтах в электронном виде?
Согласие на передачу ПД, если речь идет о передаче ПДн сотрудников третьему лицу, берется в письменной форме в соответствии со ст. 88 ТК РФ (также предусмотрены исключительные случаи). Если речь идет не о сотрудниках, то также проверяются правовые основания передачи данных и в случае отсутствия иного основания – берется согласие. Что касается веб-сайтов, то здесь речь идет скорее не о передаче ПДн, а об их сборе посредством сайта. Кроме того, публичной офертой и условиями использования сайта может быть предусмотрена передача данных для оказания пользователю какой-либо услуги, что соответствует правовому основанию, установленному п. 5 ч. 1 ст. 6 152-ФЗ.
Вопрос: Может ли являться правомерным получение “устного” согласия? То есть звонок в колл-центр предполагает продолжение разговора в качестве согласия. Можно ли, имея, запись разговора доказать, что оператор собрал персональные данные корректно?
Да
Вопрос: Управляющие компании обслуживающие многоквартирные дома с их жителями у нас хранятся ФИО, паспортные данные и даты рождения. Является ли это персональными данными и надо ли получать письменное согласие от жителей? (также они приходят за справками по зарегистрированным жителям в квартире). Договор управления подписан с жителями.
Если указанные действия предусмотрены как обязанность УК нормами жилищного законодательства или договором управления, то обработка ПДн будет осуществляться на основании пп. 2, 5 ч. 1 ст. 6 152-ФЗ, что не требует получать дополнительное согласие субъекта ПДн)
Вопрос: При подаче уведомление в РКН постоянно выходят ошибки, отправка невозможна. С чем это может быть связано? Есть ли техподдержка в РКН для решения данного вопроса?
Ошибки при заполнении уведомления могут быть связаны с некорректным заполнением информации (поле с ошибкой подсвечивается красным), либо с истечением сессии на заполнение уведомления (около 30-40 мин система дает на заполнение, потом могут действительно появляться сбои и ошибки). Техподдержки нет, обратиться в отдел по защите прав субъектов ПДн соответствующего тер. органа РКН, в который вы подаете уведомление.
Вопрос: Если обработка осуществляется в рамках договора, и ПДн клиента при этом сохраняются в базе данных 1С, в этом случае нужно брать согласия? Почему?
Условия обработки ПДн в соответствии с ч. 1 ст. 6 152-ФЗ одинаковы как для обработки без использования средств автоматизации, так и для автоматизированной обработки. Поэтому любая обработка в рамках заключения и исполнения договора допустима без согласия (п. 5 ч. 1 ст. 6 152-ФЗ). Главное условие – соответствие целям договора.
Вопрос: До договора, способ связи и как обращаться – ПДн со всеми вытекающими, или это обезличенные ПДн, как определить истинность предоставленных данных?
Если эти сведения обрабатываются для рассмотрения вопроса о заключении договора, то действует правовое основание по п. 5 ч. 1 ст. 6 152-ФЗ и отдельное согласие не требуется. Но обрабатывать и хранить эти сведения необходимо не дольше, чем требуют цели обработки.
Вопрос: Компания через свою группу в ВК делает рассылку информационного и рекламного материала своим подписчикам. В таком случае согласие надо?
Согласие на такую рассылку пользователь ВК, по сути, дает при нажатии кнопки “Подписаться” на то или иное сообщество/автора. Если взаимодействие не выходит за пределы ВК, то обработка осуществляется на основании условий использования ВК и политики конфиденциальности ВК, и отдельно получать согласие не требуется.
Вопрос: По вопросу включения согласия на рассмотрение кандидата в форму анкеты: сроки хранения анкеты и согласия совпадают? Что делать с разными сроками хранения, как отделить в таком случае анкету и согласие?
В анкету кандидата согласие, как правило, включается с целью обработки ПДн, содержащейся в анкете, для рассмотрения вопроса о принятии на работу, хранение анкеты в течение времени принятия решения или для включения кандидата в кадровый резерв . При достижении этих целей такая анкета подлежит удалению в течение 30 дней. При этом, хранение – это тоже обработка ПДн, поэтому срок обработки данных ограничен сроком хранения такой анкеты, определяемым исходя из цели обработки (например, рассмотрение вопроса о трудоустройстве – более короткий срок хранения, чем включение в кадровый резерв). Анкета – это один материальный носитель ПДн и срок хранения у нее один, не совсем понятно, а каких разных сроках хранения идет речь в вопросе.
Вопрос: Является ли размещение фотографий коллектива на сайте или в соц.сети распространением ПД? Какое согласие необходимо получить? Как корректно называть эту цель?
1. Если публикуются фотографии без подписи – правовые основания определяются ст. 152.1 ГК РФ (не требуется согласие для размещения фото с публичных, массовых мероприятий и т.д.).
2. Если размещаются фотографии конкретных сотрудников с подписью – то руководствуемся ст. 10.1 152-ФЗ и получаем согласие на распространение (приказ РКН № 18) – непосредственно или с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Вопрос: Планируется ли разработать требования к обезличиванию ПДн для коммерческого сектора? Если при обезличивании не будет соблюдено требование о возможности восстановления данных, можно ли такие действия квалифицировать в качестве уничтожения ПДн при соблюдении требований РКН о фиксации уничтожения?
1. Официальная информация уполномоченного органа по данному вопросу в настоящее время отсутствует.
2. В соответствии с п. 8 ст. 3 152-ФЗ действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных – уничтожение ПДн.
Вопрос: Есть договор с компанией, через которую организовываются командировки (бронирование билетов, гостиниц и иного трансфера), требуется ли брать согласие на передачу ПДн сотрудника, который направляется в командировку, в эту компанию?
Данные действия (привлечение третьего лица для организации командировок) являются с точки зрения ч. 3 ст. 6 152-ФЗ поручением на обработку ПДн. Поскольку речь идет о сотрудниках, то в соответствии со ст. 88 ТК РФ для передачи ПДн в рамках договора поручения необходимо получить от сотрудников письменные согласия на обработку ПДн (ч. 4 ст. 9 152-ФЗ).
Вопрос: Я верно понимаю, что запрещено заранее запрашивать по электронной почте копии документов для трудоустройства?
Если необходимо получить копии документов, то нужно получить на это согласие потенциального работника. При этом субъекту должен быть предоставлен выбор способа предоставления таких копий в случае его согласия. Электронную почту лучше не использовать, поскольку она не является защищенным каналом связи, но если субъект выразит на это согласие – противоречить закону это не будет. Предложить можно, требовать – нет. Например, можно предварительно на адрес электронной почты оформляемого работника направить предложение о работе (справку, памятку и т.д.) , в котором указать перечень необходимых для трудоустройства документов и предложить представить их копии для сокращения времени оформления. При этом указать, что предоставляя в ответном письме и или иным выбранным способом копии документов, он соглашается на обработку ПДн. А потом при оформлении уже можно подписать соответствующее согласие на хранение копий документов в личном деле.
Вопрос: При изменении адреса домена сайта, нужно ли перезаключать согласии ?
Если речь идет про распространении ПДн в порядке ст. 10.1 152-ФЗ, то нужно перезаключать согласия на распространение, поскольку по приказу РКН № 18 – указание конкретного Интернет-ресурса является обязательным условием формы такого согласия.
Вопрос: Требуется ли получать Согласие работника на передачу его ПДн (ФИО и email) на «облачный» сервер в сети Интернет для создания учетной записи и возможности выполнения работником своих должностных обязанностей с использованием данного сервера?
Если это напрямую связано с возможностью работника исполнять свои должностные обязанности – то согласие не требуется.
Вопрос: Если на сайте размещены отзывы клиентов о работе, нужно ли брать согласие?
Если отзывы анонимны – нет. Если отзывы формируются путем заполнения соответствующей формы на сайте, где указываются ПДн, то в форму нужно добавить согласие и ссылку на политику. Если отзывы, содержащие ПДн, формируются непосредственно после посещения клиентом компании в бумажном виде и потом размещаются на сайте не анонимно, то также нужно получать согласие на распространение, предусмотренное ст. 10.1 152-ФЗ (Приказ РКН № 18)
Вопрос: Как определить/доказать, что согласие на обработку ПДн является информированным, сознательным?
Согласие должно содержать наиболее полную информацию об обработке ПДн, быть понятным, “незавуалированным”. Должно быть очевидно, как будет происходить обработка: кто является оператором, для каких конкретных целей используются данные, будут ли они передаваться третьим лицам, в каком объеме и какими способами будет производиться обработка ПДн, какие действия будут осуществляться, сколько действует согласие и как его отозвать.
Вопрос: Необходимо ли брать отдельное/новое согласие на обработку ПД сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить ПД сотрудников для участия? Быть может достаточно одного, которое сотрудника дали своему работодателю? Или нужно согласие на распространение?
Достаточно получить одно согласие на обработку ПДн в целях участия в торгах, электронных конкурсах/аукционах на объем данных, необходимых для указанных целей и разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учетом его должностных обязанностей и требований законодательства о торгах.
Вопрос: Лог-файлы? Это гражданину я распечатаю лог, как правило, на иностранном языке, и он увидит там нечто, что его убедит? А лог формируем тоже при нём? … Очень много сомнений.
Если гражданин или РКН запрашивает лог-файлы, то задача оператора их предоставить. А далее уже гражданин или РКН решают, что делать с этими файлами. И зададут дополнительные вопросы.
Вопрос: Корректно ли определение в согласии на обработку ПД цели: “получения пропуска для осуществления работ и участия в мероприятиях”, которое дается работодателю? Или необходимо брать новое согласие для каждого нового места проведения работ, куда будут направляться ПД для получения и организации пропусков?
В совокупности с должностными полномочиями сотрудников, выполняющих работы для разных заказчиков, а также с учетом законных интересов заказчиков при организации пропускного режима, указанная цель будет достаточной. Рекомендуем только добавить, что имеется в виду получения пропуска для осуществления работ и участия в мероприятиях… именно третьих лиц (заказчиков, организаторов мероприятий) с учетом требований к организованному ими пропускному режиму.
Вопрос: Если организация оказывает услуги дистанционно и для исполнения договора документы приходят по электронной почте, как получать согласие заранее?
В соответствии с п. 5 ч. 1 ст. 6 152-ФЗ согласие не требуется, как для исполнения договора, так и для его заключения. Поэтому, если Правилами предоставления дистанционных услуг или иным локальным документом, с которым потенциальный клиент может ознакомиться до принятия решения о намерении заключить договор, предусмотрен определенный порядок взаимодействия, перечень документов, необходимых для заключения договора и тд, то здесь согласие не потребуется. Если есть какие-то индивидуальные особенности – можно предварительно направлять потенциальному клиенту памятку о том, какие документы необходимы, какими способами можно их направить (советуем предусмотреть несколько способов, помимо эл. почты), для каких целей они нужны и указать, что направляя ПДн выбранным способом вы даете согласие на их обработку в целях… (и указать конкретные цели). Также можно получить предварительное согласие по телефону, сохранив запись.
Вопрос: Какие последствия если организация на всякий случай берет согласие, чтобы потом при необходимости не искать субъекта ПДн?
Если данное согласие соответствует цели обработки, не ущемляет права субъектов ПДн (не навязывает доп. услуги, на которые клиент не согласен) , объем данных, указанных в согласии, не избыточен по отношению к цели обработки, но при этом есть иные правовые основания обработки – получение согласия является не обязательным, но допустимым (нарушения закона не будет (при условии соответствия согласия вышеуказанным критериям), максимум при проверке РКН эта ситуация может быть отмечена как рекомендация).
Вопрос: Как правильно передать сведения, содержащие ПДн, в правоохранительные органы, если они требуют передать их по электронной почте? Все-таки нужно соблюдать 152-ФЗ или закон о полиции в рамках оказания содействия полиции?
Возможно, за архивировать передаваемые сведения и установить пароль, который сообщить иным способом ответственному исполнителю.
Вопрос: Есть ли нормативная база, где присутствует запрет нахождения УКЭП сертификата и контейнера на HDD диске WIn или Linux?
Есть НПА, где прописано, где должны хранится УКЭП, и там не указано место хранения SDD
Вопрос: Полное ФИО – это ПДн?
ПДн
Вопрос: Организация-аутсорсер при передаче базы 1С клиенту при расторжении договора передала персональные данные, а именно паспортные данные, СНИЛ и т.д. сотрудников других организаций, является ли это утечкой персональных данных?
Утечка – это неправомерная или случайная передача ПД. если у вас нет основания для такой передачи, то это можно квалифицировать как утечку, да.
Вопрос: Организация-аутсорсер при передаче базы 1с клиенту при расторжении договора передала персональные данные, а именно паспортные данные, СНИЛ и т.д. сотрудников других организаций, является ли это утечкой персональных данных? Нам передали такие данные, т.е. мы должны сообщить об этом РКН?
С точки зрения ч. 3.1 ст. 21 152-ФЗ данные обстоятельства свидетельствуют о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Обязанность уведомить РКН возникает не у вас, а у тех операторов, ПДн сотрудников которых случайно/неправомерно переданы вашей компании с момента установления ими такого факта. С вашей стороны – вы можете сообщить об этом факте компании-аутсорсеру или при наличии сведений – в компании, данные сотрудников которых попали в ваше распоряжение, по вашему усмотрению – можете проинформировать РКН.
Вопрос: Допустим пол запрашивали излишне. Мои действия? В суд. Пока суд да дело, я просрочил ОСАГО. Или, скажем, пришёл мастер по вызову посмотреть стиральную машину. Подписываю по итогам работы акт или другие документы и там согласие впечатано. Меня не устроило согласие. Что следует делать? Переписывать согласие или не ставить галочку – он скажет, что ему что дали то и привёз. Он же не юрист сидеть со мной и сочинять отдельное согласие.
Возможно, не всегда предусмотренные законом механизмы защиты прав субъектов ПДн работают так эффективно и быстро, как хотелось бы. Но тем не менее, если не получилось урегулировать вопрос на месте, вы вправе после вынужденного оформления согласия обратиться в адрес оператора с отзывом согласия, с претензией, с требованием о прекращении обработки данных, обосновав свою позицию. Также можно обратиться в РКН с жалобой и в Центр правовой поддержки граждан в цифровой среде за консультацией.
Вопрос: Компания – исполнитель по договору получает от заказчика заявку с указанием ФИО, датой рождения и номером телефона работников Заказчика. В таком случае Заказчик исполнителю должен направить поручение? Исполнитель по договору будет обработчиком ПДн?
Не любая передача ПДн является поручением на их обработку (поручение возникает, когда оператор сам бы мог выполнить какие-либо действия с ПДн, но поручает это третьему лицу, например, можно вести бух.учет самостоятельно, но оператор нанимает компанию-аутсорсера). Соответственно исполнитель не всегда является лицом, действующим по поручению.
Вопрос: Видеонаблюдение на рабочем месте с записью речи – является сбором персональных данных?
Да (но не биометрия).
Вопрос: Если сайт запрашивает только «Как к вам обращаться и куда писать» – это разве ПДН? В политике сайта написано, что ПДН не собирается и не проверяется истинность вашего Имени или прочей информации в разделе «как к вам обращаться». Если посетитель сайта сам начинает заполнять свои ФИО в разделе «как к вам обращаться» – это же субъект распространил свои ПДн, и сайт не несёт ответственности?
Чтобы исключить сбор перс данных на сайте, нужно отключить все файлы Cookies, убрать метрические программы и убрать все формы обращения. Тогда на сайте не будет сбора ПДн. В противном случае возникает спорная ситуация, которую порой приходится обжаловать в суде.
Вопрос: Компания – исполнитель по договору получает от заказчика посредством эл. почты от физлица заявку с указанием ФИО, датой рождения, эл. почтой, СНИЛС, сведения об образовании, номером телефона – как компании-исполнителю идентифицировать личность, как в рамках закона действовать исполнителю? Услуги по договору оказываются дистанционно.
Идентификацию личности должен провести оператор – заказчик, который передает ПДн исполнителю. Если есть необходимость – запросите у заказчика данную информацию и то, каким способом проводилась идентификация. Существуют различные способы идентификации (биометрические, с использованием ЕСИА, регистрация и т.д.), при необходимости можете предусмотреть условиями договора удобный и приемлемый для вашей компании способ идентификации.
Вопрос: Есть ли прецеденты наложения штрафов за использование сервисом Google, в размере установленном КоАП от 6 млн.?
Нет
Вопрос: В случае если фото не сопровождается указанием ФИО, оно тоже рассматривается как ПДн, а не как изображение гражданина в рамках ГК РФ?
Фото будет являться ПДн, но правовые основания обработки как раз будут определяться ст. 152.1 ГК РФ.
Вопрос: Если субъект ПДн, разрешенных для распространения не установил запретов и условий на обработку неограниченным кругом лиц персональных данных, то обязательно ли размещать информацию об условиях обработки и о наличии запретов и условий на обработку ПДн неограниченным кругом лиц персональных данных в соответствии с п.10. ст.10.1 ФЗ-152?
Данные формулировки на сайте помогут вам минимизировать риски, того что с вас спросят за размещение фото. Так как невозможно предугадать, как на это посмотрит контролирующий орган в случае проверки. И обратите внимание, что по умолчанию – запреты есть, чтобы запретов не было нужно, чтобы гражданин так и написал при заполнении согласия “я не устанавливаю запреты и условия..”.
Вопрос: Ознакомление с локальными актами проводим в документообороте. Достаточно ли РКН распечаток из документооборота?
Для исполнения требования об ознакомлении, предусмотренного ч. 1 ст. 18.1 152-ФЗ – достаточно, НО не достаточно для исполнения п. 8) ст. 86 ТК РФ. Положения данной статьи требуют, чтобы работники были ознакомлены ПОД РОСПИСЬ с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Вопрос: Здравствуйте! Самозанятый бухгалтер заключает договоры с ИП на оказание бухгалтерских услуг. У ИП нет работников. Нужно ли самозанятому регистрироваться в РКН? И нужно ли, если ИП станет работодателем?
Регистрироваться нужно, если полученные данные обрабатываются с использованием средств автоматизации.