Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что меняется в обработке персональных данных с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
Как и когда нужно уведомлять Роскомнадзор
Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.
Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.
Когда можно не подавать уведомление
Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
- персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Новые штрафы за персональные данные для операторов
Новые требования к обработке персональных данных повлекли новую ответственность для операторов.
Изменения внесли в статью 14.8 Кодекса РФ об административных правонарушениях (Федеральный закон от 28.05.2022 N 145-ФЗ). Они действуют с 01 сентября 2022 года.
Ответственность грозит операторам, которые отказались заключить, исполнить, изменить или расторгнуть договор с потребителем из-за его отказа предоставить ПД. За такие действия компанию могут оштрафовать на сумму от 30 до 50 тысяч рублей, а должностное лицо – от 5 до 10 тысяч рублей.
Важно учитывать, что ответственность не наступает, когда:
- потребитель был обязан сообщить ПД согласно требованиям федеральных законов или других правовых актов,
- предоставление данных непосредственно связано с исполнением договора.
Изменения в правилах работы с персональными данными сотрудников в 2023 году
В 2023 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.
Случаи, когда необходимо отдельное согласие физического лица:
- Организация занимается распространением данных неограниченному кругу лиц.
- Организация занимается передачей информации третьим лицам.
К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.
Порядок и условия обработки персональных данных
В этом разделе перечислите действия, которые будет совершать компания с пересданными. Укажите способы обработки, сроки обработки и хранения. Действия, совершаемые с персональными данными:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
При составлении текста выберите те действия, которые совершает ваша компания с данными. Обычно в Политике перечисляют все способы.
Способ обработки пересданных может быть:
- автоматизированным (с использованием средств вычислительной техники);
- неавтоматизированным (вручную).
В Политике необходимо указать способ, который используют в компании. Чаще всего указывают оба.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В случае если персональные данные указаны не точно или обнаружена их несанкционированная обработка, оператор должен актуализировать информацию или прекратить обработку персональных данных. В этой связи пропишите в политике, что ваша компания обязана внести изменения, уничтожить или блокировать данные, если субъект представит вам сведения о том, что данные устарели, недостоверны или получены незаконно. Пропишите срок, в течение которого субъект должен сообщить эти сведения.
Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и обращений.
Политика утверждается приказом руководителя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.
С Политикой необходимо ознакомить всех работников организации под подпись. Напомним еще раз, что Политика обязательно должна быть размещена на сайте компании.
Закон не имеет границ
Новой нормой (ч. 1.1. ст. 1), дополнившей Федеральный закон № 152-ФЗ, закреплен принцип экстерриториальности применения указанного закона. Теперь его требования должны соблюдаться иностранными операторами в случаях, когда они обрабатывают персональные данные наших граждан на основании договора, иных соглашений либо на основании согласия гражданина Российской Федерации на их обработку. Интересно, что данная новелла схожа с аналогичными требованиями европейского законодательства.
Несмотря на то, что формально новая норма регулирует положение иностранных операторов, ее введение также может косвенно повлиять и на деятельность российских. Ведь теперь компаниям при построении отношений с зарубежными партнерами необходимо будет исходить из новых условий, в частности, принимать меры, чтобы их контрагенты заранее понимали, что обязаны соблюдать требования российского законодательства, когда обрабатывают персональные данные российских граждан.
В каких случаях потребуется уведомление Роскомнадзора
Практически любая организация и ИП обязаны отправить уведомление, если они являются работодателем или заключают договоры с физлицами. Данное действие необходимо сделать до начала обработки персональных данных.
Уведомление необходимо направить в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.
Что делать компаниям, которые сбор персональных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.
Уведомление направляется однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.
Изменяются правила защиты ПДн
Работодатель теперь обязан составить и утвердить положение о защите ПДн. В этом документе прописываются категории риска каждого документа/электронного носителя персданных, а также наличие угроз компрометации информации с этих носителей. Ранее такой документ рекомендовался, теперь он стал обязательным.
Что касается уничтожения персональных данных, то это возможно лишь в конкретных случаях, перечисленных в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:
- Закончился срок хранения документа
- Цель обработки достигнута или их больше не нужно обрабатывать
- Оператор неправомерно обрабатывает ПДн
- Владелец персональных данных отозвал согласие, потребовав прекратить обрабатывать и распространять его ПДн
При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:
- При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
- до 70 тысяч рублей (для юридического лица);
- до 5 тысяч рублей (для ИП).
- В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
- обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
- необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
- производится с добровольного согласия работника, предоставленного в письменном виде.
Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.
Что конкретно изменится для бизнеса и покупателей.
Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».
Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.
Когда можно требовать ПД.
Персональные данные для заключения договора можно потребовать в двух случаях.
- Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
- В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.
Регистрация изменения полномочий в электронном журнале безопасности
Требование:
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе:
(применимо для УЗ — 1)
Возможные способы выполнения:
-
обеспечение ИС автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС;
-
отражение в электронном журнале безопасности полномочий сотрудников оператора ПДн по доступу к ПДн, содержащимся в ИС. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;
-
назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям.