Предоставление персональных данных 2023
Обработка персональных данных в 2023 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.
Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.
Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.
Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных».
С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.
Уведомление об изменении персональных данных: новый срок
С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.
Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.
Уничтожение персональных данных: новые правила
С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.
С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:
- актом об уничтожении персональных данных;
- выгрузкой из журнала регистрации событий в информационной системе персональных данных.
К сведению
Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.
- Обязательные реквизиты акта об уничтожении персональных данных
- Обязательные реквизиты выгрузки
СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023
СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023
Оценка степени вреда: новый порядок
С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).
Степени вреда всего 3 (три):
- высокая;
- средняя;
- низкая.
Таблица. Какие персданные к какой степени вреда относятся
Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.
СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023
Передача персональных данных за границу
С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.
А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.
Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.
Обратите внимание
Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.
Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/
Ркн ужесточает проверки
Также см. «К кому придут с проверкой в 2023 году».
За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).
Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).
Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.
Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.
2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.
РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.
Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).
Образцы документов, которые нельзя игнорировать в 2023 году
Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:
Название документа | Ссылка на скачивание |
Положение о работе с персональными данными работников | СКАЧАТЬ |
Положение о порядке уничтожения персональных данных | СКАЧАТЬ |
Приказ о создании комиссии по уничтожению документов с персональными данными | СКАЧАТЬ |
Общая форма согласия на передачу и обработку персональных данных | СКАЧАТЬ |
Согласие на обработку персональных данных на сайте | СКАЧАТЬ |
Обязательство о неразглашении персональных данных | СКАЧАТЬ |
Видео по теме
Ответственность за нарушения работы с персональными данными в 2023 году
Нарушение правил обработки и хранения персональных данных приводит к штрафам на десятки, а иногда и сотни тысяч рублей. Рассказываем, за что наказывает Роскомнадзор в 2023 г. и как избежать ответственности.
17.02.2023 г. вступили в силу поправки из постановления Правительства РФ от 04.02.2023 г. № 161. РКН получил право с согласия прокуратуры проводить внеплановые проверки, если поступила информация о распространении баз данных с персональными данными. Не спасутся даже аккредитованные ИТ-организации, которые попали под мораторий на внеплановые проверки.
Второе новшество введено Законом от 29.12.2022 г. № 625-ФЗ — Роскомнадзору разрешили выписывать штрафы без фактического посещения компаний. Если получена информация об обработке данных без согласия владельца, могут выписать штраф по п. 1-2.1, п. 4 ст. 13.11 КоАП РФ без проведения контрольного мероприятия — письмо РКН от 31.01.2023 г. № 09-6488.
Третье изменение — обновление формы согласия на размещение биометрических данных в единой системе. Актуальный бланк утвердили распоряжением Правительства РФ от 01.02.2023 г. № 207-р. К биометрии относятся рост, вес, анализы ДНК и другая информация, которая относится к биологическим и физиологическим особенностям человека.
За что предусмотрена ответственность
Чаще всего штрафуют за:
- незаконную обработку данных;
- разглашение данных;
- нарушение правил обработки;
- передачу данных без разрешения или с нарушениями;
- недостаточную защиту информации;
- невыполнение требований РКН;
- другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.
По некоторым нарушениям штрафуют и компанию, и должностных лиц.
Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.
Как избежать ответственности
Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.
И не забывайте получать все необходимые согласия:
- На обработку — основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
- На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
- На обработку специальных категорий данных — тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
- На трансграничную передачу — если планируете отправлять информацию за пределы РФ.
- На обработку биометрических данных — информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.
Штрафы за нарушения
Незаконная обработка данных. За первое нарушение — ч.1 ст. 13.11 КоАП РФ:
- должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
- компания — 60 000 ₽ – 100 000 ₽.
За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:
- должностное лицо — 20 000 ₽ – 50 000 ₽;
- ИП — 50 000 ₽ – 100 000 ₽;
- компания — 100 000 ₽ – 300 000 ₽.
Обработка данных без согласия. За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:
- должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
- компания — 30 000 ₽ – 150 000 ₽.
За повторное нарушение — ч. 2.1 КоАП РФ:
- должностное лицо — 40 000 ₽ – 100 000 ₽;
- ИП — 100 000 ₽ – 300 000 ₽;
- компания — 300 000 ₽ – 500 000 ₽.
Отсутствие опубликованной политики обработки данных — ч. 3 ст. 13.11 КоАП РФ:
- должностное лицо — 6000 ₽ – 12 000 ₽;
- ИП — 10 000 ₽ – 20 000 ₽;
- компания — 30 000 ₽ – 60 000₽.
Отказ предоставить информацию владельцу данных — ч. 4 ст. 13.11 КоАП РФ:
- должностное лицо — 8000₽ – 12 000 ₽;
- ИП — 20 000 ₽ – 30 000 ₽;
- компания — 40 000 ₽ – 80 000 ₽.
Отказ от уточнения, блокирования или уничтожения данных. За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:
- должностное лицо — 8 000 ₽ – 20 000 ₽;
- ИП — 20 000 ₽ – 40 000 ₽;
- компания — 50 000 ₽ – 90 000 ₽.
За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:
- должностное лицо — 30 000 ₽ – 50 000 ₽;
- ИП — 50 000 ₽ – 100 000 ₽;
- компания — 300 000 ₽ – 500 000 ₽.
Необеспечение сохранности данных на материальных носителях — ч.6 ст. 13.11 КоАП РФ:
- должностное лицо — 8000 ₽ – 20 000 ₽;
- ИП — 20 000 ₽ – 40 000 ₽;
- компания — 50 000 ₽ – 100 000 ₽.
Нарушение правил обращения с собранными данными. За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:
- должностное лицо — 100 000 ₽ – 200 000 ₽.;
- компания или ИП — 1 – 6 млн ₽.
За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:
- должностное лицо — 500 000 ₽ – 800 000 ₽;
- компания или ИП — 6 – 18 млн ₽.
Отказ предоставить информацию по запросу РКН — ст. 19.7 КоАП РФ:
- должностное лицо или ИП — 300 ₽ – 500 ₽;
- компания — 3000 ₽ – 5 000 ₽.
Уклонение и препятствование проверке Роскомнадзора — ч. 1 ст. 19.4.1 КоАП РФ:
- должностное лицо или ИП — 2000 ₽ – 4000 ₽;
- компания — 5000 ₽ – 10 000 ₽.
Препятствование завершению проверки РКН. За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:
- должностное лицо или ИП — 5000₽ – 10 000 ₽;
- компания — 20 000 ₽ – 50 000 ₽.
За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:
- должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
- компания — 50 000 ₽ – 100 000 ₽.
Отказ исполнять предписание РКН — ч. 1 ст. 19.5 КоАП РФ:
- должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
- компания — 10 000 ₽ – 20 000 ₽.
Рассказываем о сложных вещах незанудно, понятно и с юмором на ютуб-канале
Подписаться →
Коротко
-
С 17.02.2023 г. РКН разрешили проводить внеплановые проверки любых организаций, если поступила информация о распространении баз персональных данных.
-
РКН может выписывать штрафы без проведения контрольных мероприятий, если получена информация о незаконной обработке данных.
-
Нужно использовать новую форму согласия на сбор биометрических данных, которая утверждена распоряжением Правительства РФ от 01.02.2023 г. № 207-р.
-
Чтобы избежать крупных штрафов, собирайте все согласия и позаботьтесь о защите данных — как бумажных, так и электронных.
-
За нарушение правил сбора, обработки и хранения персональных данных штрафуют на сумму до 18 млн руб.
Статья актуальна на 23.06.2023
С 1 сентября 2022 года 152-фз изменился: как работать с персональными данными по новым правилам
Если вы разместили в интернете формы для обратной связи, регистрации на сайте, заказа товара, подписки на рассылку, авторизации через соцсети, значит вы — оператор персональных данных (ПД).
Порядок работы с ПД регламентирован в 152-ФЗ. С 1 сентября вступили в силу поправки в этот закон.
Законодательные требования ужесточились. Новые правила гарантируют сохранность личной информации и расширяют полномочия госорганов, в первую очередь Роскомнадзора. У бизнеса стало больше обязанностей, игнорирование которых приведёт к весомым штрафам, вплоть до полумиллиона.
Рассказываем о поправках в 152-ФЗ и как теперь работать с персональными данными. Ключевая информация в сжатом виде собрана в последнем разделе: переходите к нему, если ограничены во времени.
Обновить согласия на обработку ПД, политику конфиденциальности и локальные акты
Что изменилось в законе. Закон утвердил принципы договора с субъектом персональных данных. Договор не должен:
- содержать положения, которые ограничивают права и свободы.
- устанавливать случаи обработки ПД несовершеннолетних, кроме некоторых случаев, например сбора данных образовательными организациями.
- предусматривать заключение при бездействии лица.
От пользователя требуется активное выражение согласия на сбор и обработку ПД. К примеру, он поставит галочку в чекбоксе, под которым размещена ссылка на текст согласия и политики конфиденциальности.
Вводится дополнительное требование к согласию: оно должно быть предметным и однозначным.
Что нужно сделать бизнесу. Доработать тексты договоров с клиентами, согласий, политики обработки ПД и пользовательских соглашений в соответствии с новыми принципами.
Альбина Кудрявцева, юрист для онлайн-школ и онлайн-проектов Закрепите в согласии чёткую цель сбора персональных данных — это и есть предметность.
Например, организация собирает данные и передаёт в банк для начисления зарплаты. Значит, в согласии нужно указать “перечисление заработной платы” в качестве цели и наименование банка.
Однозначность подразумевает ясное и конкретное выражение согласия — без вариантов.
Для каждой цели сбора персональных данных пропишите в политике конфиденциальности:
- категории персональных данных и их субъектов;
- способы, сроки обработки и хранения;
- порядок уничтожения ПД.
Целями сбора может быть заключение договора, оказание услуг, рекламная кампания.
Проверьте, чтобы политика конфиденциальности была опубликована на всех страницах сайта, на которых идёт сбор личной информации.
Ответственность. За обработку ПД с нарушением требований к согласию юридическое лицо будет оштрафовано на сумму от 30 до 150 тысяч. За повторное нарушение штраф составит до полумиллиона.
Несоблюдение правил опубликования политики конфиденциальности влечёт для организации штраф до 60 тысяч рублей.
Обновлённый 152-ФЗ основан на принципе экстерриториальности. Он распространяется не только на отечественных операторов, но и на иностранных юридических и физлиц, если они обрабатывают личные данные россиян на основании договора или с их согласия.
Уведомлять Роскомнадзор о начале обработки, изменении или завершении обработки ПД
Что изменилось в законе. Все операторы персональных данных обязаны подать уведомление в Роскомнадзор и вступить в единый реестр операторов. Из этого правила есть исключения, причем с 1 сентября исключений стало меньше. Можно не уведомлять Роскомнадзор, если:
-
Данные обрабатываются в целях защиты безопасности государства и общественного порядка, а также транспортной безопасности.
-
Оператор обрабатывает данные исключительно без средств автоматизации.
Также организации обязаны информировать Роскомнадзор о прекращении обработки ПД или об изменении ранее представленной информации. На выполнение требования закон отводит десять рабочих дней.
Что нужно сделать бизнесу. Если вы собираетесь обрабатывать персональные данные, отправьте уведомление в территориальный орган Роскомнадзора. Удобнее всего сделать это через официальный портал. Можно сформировать бумажный документ и отправить по почте, либо направить онлайн с помощью электронной подписи или Госуслуг.
Не забывайте в 10-дневный срок сообщать госоргану об изменениях в ПД или о прекращении их обработки. Все необходимые формы уведомлений есть в Приложениях к Приказу Роскомнадзора от 30.05.2017 № 94.
Ответственность. За непредставление сведений госорганам предусмотрен штраф: для должностных лиц — от 300 до 500 руб., для организаций — от 3 тысяч до 5 тысяч руб.
Уведомлять госорганы об утечке ПД
Что изменилось в законе. Поправки в 152-ФЗ приняты для большей сохранности личной информации россиян. И это оправдано: утечки персональных данных стали обычным явлением.
Милош Вагнер, замглавы Роскомнадзора С начала 2022 года произошло уже более 40 крупных утечек баз данных, в результате которых скомпрометировано свыше 300 млн записей.
В сеть попали личные данные пользователей Озона, Почты России, СДЭК, а Яндекс Еду уже дважды штрафовали за это.
Утечка ПД в законе поименована как инцидент. Если инцидент случился, необходимо:
-
В течение 24 часов сообщить в Роскомнадзор: объяснить причины неправомерной или случайной передачи персональных данных, потенциальный вред и какие меры приняты.
-
Расследовать инцидент в течение 72 часов и отчитаться о результатах.
Что нужно сделать бизнесу. Проработать процедуру: кто из сотрудников отвечает за уведомление службы, кто — за расследование. Формы уведомлений есть на сайте Роскомнадзора — воспользуйтесь ими.
Также организации должны передавать информацию об инцидентах в Госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Регламента взаимодействия с ними пока нет: в скором времени его разработает ФСБ.
Ответственность. За непредставление сведений должностное лицо будет оштрафовано на 500 руб., компания — на 5 тысяч.
Обновить положения, касающиеся получения биометрических ПД
Что изменилось в законе. Предоставление биометрии не является обязательным условием для заключения договора. Исключения связаны лишь с осуществлением правосудия и исполнением судебных актов. В остальных случаях оператор не имеет права отказать пользователю в обслуживании, если тот не хочет сдавать, например, отпечаток пальца.
Что нужно сделать бизнесу. В текст договора с клиентами добавить пункт «Предоставление биометрических персональных данных не является обязательным. Отказ в их предоставлении не влечет отказа оператора в обслуживании».
Ответственность. Наказание за обработку ПД, не предусмотренную законодательством, закреплено в ст. 13.11 КоАП. Должностное лицо оштрафуют на сумму от 10 до 20 тысяч, а компанию — на сумму от 60 до 100 тысяч рублей.
Биометрическая идентификация, наравне с открытым банкингом и искусственным интеллектом, помогает снижать издержки и повышать эффективность финуслуг. Но только, если действовать в рамках закона. Прочтите, как выдержать баланс между внедрением технологий и требованиями госорганов.
Быстрее отвечать на запросы субъектов
Что изменилось в законе. Пользователи имеют право запрашивать у оператора разную информацию: для каких целей собирают их данные, у кого есть к ним доступ, где находится оператор и т.д. Раньше компания должна была отвечать на обращения в течение месяца, теперь — в течение десяти рабочих дней. Срок может быть продлен на пять дней.
Что нужно сделать бизнесу. Закрепить во внутренних документах, что срок реагирования на запросы пользователей составляет десять дней, и проинформировать об этом сотрудников.
В аналогичный срок оператор обязан прекратить обработку данных по требованию пользователя.
Ответственность. Если компания проигнорирует запрос пользователя или затянет сроки, ее оштрафуют на сумму от 40 до 80 тысяч. Для должностных лиц штраф составит до 12 тысяч, для ИП — до 30 тысяч.
По-новому составлять поручение обработчику ПД
Что изменилось в законе. Оператор может поручить обработку данных третьему лицу — обработчику. К примеру, оператором является фирма-работодатель, а обработчиком — кадровое агентство. Обработчик обязан соблюдать секретность работы с информацией. Закон конкретизировал, что нужно включить в текст поручения.
Что нужно сделать бизнесу. Если передаёте персональные данные на обработку третьим лицам, в тексте поручения пропишите:
- перечень ПД;
- перечень операций с ними;
- цели обработки;
- обязанность соблюдать конфиденциальность;
- обязанность по запросу оператора отчитаться о мерах, принятых для сохранения секретности;
- обязанность использовать для записи и хранения ПД российские базы;
- требования к защите обрабатываемых ПД.
Зарубежная компания-обработчик отвечает перед субъектами персональных данных наравне с оператором.
Изменения в 152-ФЗ с 1 марта 2023 года
С 1 марта 2023 года начнут действовать дополнительные правила работы с персональными данными.
Правило о трансграничной передаче ПД. Под трансграничной подразумевается передача данных через границу иностранным операторам.
Роскомнадзор утвердит список стран, которые обеспечивают адекватную защиту прав субъектов персональных данных. Прежде всего, это страны Конвенции Совета Европы о защите физлиц при автоматизированной обработке данных: Болгария, Польша, Литва, Словения, Турция, Украина, Великобритания и т.д.
До начала трансграничной передачи российская компания обязана уведомить Роскомнадзор. Служба примет решение: разрешить или запретить передачу данных иностранному оператору. Подать уведомление можно через специальный портал. Нужно успеть до 1 марта 2023 года.
Специальная процедура оценки вреда. Ст. 18.1 ФЗ «О персональных данных» перечисляет меры, направленные на сохранность ПД.
Среди них есть пункт «оценка вреда, который может наступить в случае нарушения 152-ФЗ». До сих пор регламента проведения оценки не было. К 1 марта 2023 года Роскомнадзор должен разработать такой регламент.
Соответственно, операторы обязаны будут действовать по утверждённой процедуре.
Об обновлении 152-ФЗ коротко
-
Персональные данные — это любая информация, которая идентифицирует человека: ФИО, дата рождения, номер телефона, адрес почты. Если компания собирает персональные данные клиентов и пользователей, то считается их оператором и обязана соблюдать 152-ФЗ.
-
Поправки в 152-ФЗ должны минимизировать утечки личной информации. Если утечка всё же произошла, в течение суток необходимо оповестить Роскомнадзор. А в течение трёх — расследовать инцидент и отчитаться о результатах. В скором времени ФСБ разработает порядок взаимодействия с ГосСОПКой: её тоже надо будет информировать об инцидентах.
-
До начала обработки ПД отправьте уведомление в Роскомнадзор. Их же следует поставить в известность, если произошли изменения в персональных данных, либо вы прекратили их обрабатывать. Все формы уведомлений есть в Приказе, срок — десять рабочих дней.
-
Обновите согласия на обработку персональных данных, политику конфиденциальности и все локальные акты в этой сфере. Уберите положения, которые ограничивают права пользователей, пропишите цели сбора ПД.
-
На запросы пользователей отвечайте в течение десяти дней. В этот же срок прекратите обрабатывать личную информацию, если человек на этом настаивает.
-
Не отказывайте клиенту в обслуживании, ссылаясь на его отказ сдать биометрию: это нарушение 152-ФЗ.
- До 1 марта 2023 года организация, которая передаёт ПД через границу, обязана получать одобрение Роскомнадзора. Подать уведомление можно через официальный портал. Если служба не даст разрешения, трансграничную передачу персональных данных придётся прекратить, а ранее переданные сведения — уничтожить.
Разъяснения к Федеральному закону о внесении изменений в ФЗ “О персональных данных” (№ 266 от 14.07.2022)
Федеральный закон № 266-ФЗ от 14 июля 2022 вносит множество изменений в основной закон о работе с персональными данными № 152-ФЗ. Изменения касаются всех участников процесса — от операторов и сторонних обработчиков персональных данных (ПДн) до регуляторов и органов государственной власти.
Закон № 266-ФЗ о внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее № 266-ФЗ) получился достаточно объёмным — 46 страниц.
При этом одни нововведения радикально меняют правила игры для компаний, другая часть имеет второстепенный характер и не потребует существенных изменений в процессах, третья — так или иначе уже вошла в практику, но была зафиксирована «в бумаге». В этой статье мы проанализируем пункты, которые абсолютно точно должны учитывать компании в своей деятельности.
Их не очень много, но общую картину подходов к защите персональных данных они поменяли достаточно заметно.
1. Необходимо детализировать перечень персональных данных
Одно из первых изменений в законе касается состава персональных данных, которые оператор получает от субъекта и передаёт на обработку третьим лицам. Если раньше закон требовал указывать только действия, которые будут совершаться с данными, и цели обработки, то теперь нужно чётко прописывать перечень данных.
Это касается и поручений на обработку ПДн, которые оператор даёт третьим лицам, и прямого взаимодействия с субъектом данных — ему теперь нужно сообщить состав обрабатываемых персональных данных, если они получены не от самого субъекта.
Это достаточно логичное нововведение — субъект должен быть в курсе, с какими именно его данными проводятся операции. В рамках нашей проектной практики мы всегда рекомендовали заказчикам указывать такой перечень, теперь это нужно делать в обязательном порядке.
2. Роскомнадзор должен знать обо всех случаях обработки ПДн
Это коснётся практически всех — меняется логика уведомлений Роскомнадзора, которые раньше во многих случаях можно было не отправлять.
Самые частые кейсы — при обработке данных сотрудников и при заключении с субъектом договора, который не предусматривает распространение и передачу персональных данных третьим лицам.
Кроме того, предусматривались случаи, когда ПДн включали в себя только ФИО субъекта или оператор собирал данные для организации однократного пропуска на территорию оператора и др.
Всё это теперь исключается из закона. Новая редакция оставляет всего два сценария, когда обрабатывать данные можно без ведома Роскомнадзора:
- Работа государственных информационных систем по охране безопасности и общественного порядка.
- Обработка ПДн без каких-либо средств автоматизации.
Эти ситуации такие редкие, что их можно опустить. Абсолютному большинству компаний следует подготовить новые уведомления.
3. Логика документации исходит от целей обработки
Это очень важное нововведение, которое потребует значительных изменений у многих организаций.
Теперь, когда оператор разрабатывает документы, определяющие его политику в отношении обработки персональных данных, например, локальные акты или организационно-распорядительную документацию, то для каждой цели обработки следует перечислять целый набор сведений — от перечня ПДн и сроков их обработки до порядка их уничтожения. Полный список сведений достаточно обширный и приведён в пункте 10 № 266-ФЗ.
Мы же можем только порадоваться за своих заказчиков, поскольку iTPROTECT уже 5 лет разрабатывает документы именно по таким «лекалам».
Другим компаниям следует внимательно пересмотреть свою документацию и удостовериться, что она расписана в соответствии с целями обработки ПДн.
Наша практика показывает, что в большинстве случаев документация формируется в связи с субъектами или же всё отдельно — субъекты, цели, действия. Теперь Роскомнадзор, инициатор изменений, явно указал, какой подход является предпочтительным и верным.
Кстати, это касается и уведомлений из предыдущего пункта. Они теперь тоже зависят от целей — категории персональных данных и субъектов, правовые основания обработки, перечень действий с ПДн в документ включать не нужно. Здесь тоже есть много деталей, которые можно почитать в пункте 14 (б) № 266-ФЗ.
4. Последствия нарушений и борьба с утечками
Новый закон устанавливает порядок оценки негативных последствий, которые могут наступить для субъектов ПДн из-за нарушений № 152-ФЗ «О персональных данных» от 27.07.2006.
Раньше единого взгляда на такую оценку не было, операторы с интеграторами разрабатывали собственные методы. Теперь в законе прописано, что проводить её нужно по требованиям Роскомнадзора.
Конкретные требования пока не анонсированы — будем следить за новостями от регулятора.
В пункте 11 мы видим воплощение в реальность давних ожиданий всего рынка. Теперь оператор персональных данных обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
При этом необязательно интегрироваться технически — как нам сообщает регламент самой ГосСОПКА, сообщить об инциденте можно и по телефону, и по почте.
Порядок передачи информации в дальнейшем определят совместно федеральные органы исполнительной власти и уполномоченные органы безопасности.
Возможность введения штрафов пока только обсуждается, но в любом случае всем операторам ПДн лучше обновить свои инструкции для ответственных за обработку персональных данных лиц. Что считать инцидентом, а что нет, — этот вопрос пока открыт, так как здесь ситуация может сильно отличаться от одной компании к другой.
Также, наконец, произошло то, о чём много говорили в последние месяцы: необходимо сообщать Роскомнадзору обо всех утечках в течение 24 часов. А в течение 72 часов оператор персональных данных обязан уведомить о результатах внутреннего расследования по инциденту и виновниках утечки, если таковые есть. Последствия пока не обозначены, но почти наверняка будут определены позднее.
Также стоит отметить, что перед регулятором нужно отчитываться об устранении фактов противоправной обработки ПДн. Этот момент тоже необходимо отразить в инструкциях.
5. Ужесточается трансграничная обработка ПДн
Седьмой пункт № 266-ФЗ кардинально меняет вопрос регулирования передачи персональных данных за границу, и эти обновления нужно внимательно изучить всем компаниям, которые в своих процессах сталкиваются с такими задачами. Здесь много важных деталей. Например, что оператор может / не может / должен делать до начала обработки ПДн или как Роскомнадзор решает, куда можно / нельзя передавать данные.
Например, добавляется обязанность оператора запрашивать у иностранных обработчиков персданных сведения об их защите. Также нужно отдельно уведомлять Роскомнадзор о трансграничной обработке ПДн.
Это самостоятельный документ, выступает в качестве дополнения к стандартному оповещению о самом факте обработки, в нём необходимо прописывать даты обработки персданных и оценку условий по сохранению конфиденциальности данных за рубежом.
Форму документа, обязанности ответственного, например, по подготовке и отправке его регулятору и другие, связанные с трансграничной передачей данных, тоже нужно прописывать в организационных документах.
Здесь же отмечу, что в законе появляется новая шестая статья: если оператор поручает обработку иностранным физическим и юридическим лицам, эти третьи лица тоже несут ответственность перед субъектом.
Какие последствия эта ответственность понесёт для иностранных юрлиц, пока непонятно, ведь федеральный закон не является трансграничным и не распространяется на другие страны.
Но тем не менее, такая норма теперь есть.
6. Взаимодействие со сторонними обработчиками ПДн
Детализированы меры, которые оператор может принимать в отношении третьих лиц, которым он передаёт персональные данные — появляется утверждённая законом возможность убедиться, что данные остаются в безопасности при обработке.
Теперь такие организации обязаны в течение периода работы с ПДн по запросу оператора «предоставлять документы и иную информацию» для подтверждения того, что меры по защите действительно были приняты.
Это касается и иностранных лиц из предыдущего пункта.
В прежней редакции № 152-ФЗ «О персональных данных» устанавливалась следующая цепочка ответственности: оператор отвечает за безопасность данных перед субъектом, а сторонние обработчики — перед оператором. Теперь же сказано, что сторонний разработчик обязан обеспечивать безопасность ПДн при обработке, и что он должен уведомлять оператора о случаях неправомерной обработки данных.
Основной вывод для компаний — ранее составленные поручения на обработку персданных нужно скорректировать.
7. Срок ответа субъектам ПДн становится меньше
Пункт 8 устанавливает, насколько быстро нужно ответить субъекту ПДн на запрос по поводу «уточнения его персональных данных, их блокирования или уничтожения».
Теперь отреагировать на них необходимо в течение 10 рабочих дней (до этого статья 20 № 152-ФЗ позволяла готовить ответ в течение 30 дней). При этом уточняется, что обозначенный срок можно продлить, направив «мотивированное уведомление с указанием причины».
Ещё одно небольшое нововведение заключается в том, что субъект теперь может, помимо прочего, запрашивать информацию о способах исполнения оператором своих обязанностей.
В своей проектной практике мы всегда готовим для заказчиков отдельный регламент работы с субъектами персональных данных, в котором прописывается порядок ответов на запросы и предоставления такой информации. Соответственно, при наличии подобных регламентов в организации — необходима их корректировка.
8. Изменение работы с биометрическими данными
Пункт под номером 6 дополняет статью 11 № 152-ФЗ, которая касается биометрических данных. Теперь оператор не вправе отказывать в обслуживании субъекту, если тот отказывается предоставлять свою биометрию.
На это нововведение стоит обратить особое внимание банкам, которые используют в своих приложениях вход по отпечатку пальца или FaceID. Если клиент не желает это использовать, отказать в услугах нельзя.
К тому же нередко биометрические данные собираются для контроля доступа, например, на территорию предприятия — теперь заставлять сотрудников сдавать свои отпечатки пальцев или создавать 3D-модель лица официально нельзя.
На практике этот момент можно с легкостью обойти, поэтому данный пункт можно отнести к не самым существенным. Однако на уровне согласия на обработку персданных лучше прописывать необязательность сдачи биометрических данных.
Если в вашей организации этот момент уже учтён, то и документы менять не придётся.
Когда мы начнём жить по-новому
Изменения вступают в силу не сразу и не одновременно.
Изменения в регулировании трансграничной передачи ПДн, сроках подтверждения факта удаления ПДн, введение новых механизмов уведомлений, оценки последствий по методике Роскомнадзора начнут действовать с 1 марта 2023 года. Другие нормы заработают уже 1 сентября. Подробности о том, когда какие пункты станут актуальными — написано в статье 6 этого закона.
Подводя итог, можно отметить, что времени остаётся не очень много, но и работа тоже предстоит вполне подъёмная. По своему опыту могу сказать, что значительная часть требований так или иначе уже была реализована в практических процессах. По крайней мере, мы в своих проектах зачастую уже работали по логике, которая теперь закреплена законодательно.