Сбор и обработка персональных данных с 1 сентября 2022: новые правила и требования, уведомления в Роскомнадзор — Ответ Бухгалтера
- Главная →
- Журнал →
- Бизнес →
- Риски
24 августа 2022 80 513 83
В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.
Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.
Его слова подтверждаются громкими новостями из открытых источников.
Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».
С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Отчитаться
В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:
- Ф.И.О.;
- дата рождения;
- адрес регистрации и адрес проживания;
- паспортные данные, СНИЛС, ИНН;
- номер телефона;
- e-mail;
- адрес страницы в соцсетях;
- контакт в мессенджере.
То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД.
По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).
ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.
3 ст. 6 152-ФЗ).
ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).
Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.
По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.
С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).
Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне
Попробовать
С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.
- В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).
- Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
- Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
- Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
- Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
- Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
- ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
- Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).
Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.
Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.
В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).
Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Попробовать
За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).
С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).
Предприниматель по Закону от 01.05.
2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.
Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.
Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.
Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).
Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).
Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.
Работаем с персональными данными правильно: ответы на самые актуальные вопросы
Работаем с персональными данными правильно: ответы на самые актуальные вопросы
На какие организации распространяются сентябрьские изменения в работе с персональными данными?
Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?
Да, поправки в Федеральный закон № 152-ФЗ[1], внесенные Федеральным законом № 266-ФЗ[2], касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные)[3], которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).
Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации (таблица 1):
Таблица 1
Норма закона | Какой документ пересмотреть | Что учесть |
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ | Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом) | Исключить положения (если они есть), которые: – ограничивают права и свободы субъекта ПД; – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ;– допускают в качестве условия заключения договора бездействие субъекта ПД |
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ | Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания) | В поручении нужно указать: – перечень ПД и действий с ними, которые будет совершать данное лицо; – цели обработки ПД; – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ; – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД;– требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ |
Пункт 4 ст. 1 Федерального закона № 266-ФЗ | Согласие на обработку ПД | Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется) |
Пункт 6 ст. 1 Федерального закона № 266-ФЗ | ЛНА, регулирующий пропускной режим | Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку |
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ | – Положение о ПД; – Политика обработки ПД;– инструкция ответственного за ПД |
|
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ |
– обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее; – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены); |
|
Пункт 10 ст. 1 Федерального закона № 266-ФЗ | – Положение о ПД; – Политика обработки ПД; – приказы по вопросам ПД |
|
Нужно ли передавать в Роскомнадзор письменные согласия работников на обработку их персональных данных?
С 1 сентября в связи с изменениями, внесенными в Федеральный закон № 152-ФЗ, в Роскомнадзор необходимо подавать документ о начале обработки ПД. Нужно ли теперь подавать и согласие работников на обработку их ПД? Не совсем понятно, как это делать и как часто нужно извещать Роскомнадзор об обработке ПД.
Письменные согласия работников на обработку ПД не нужно передавать в Роспотребнадзор. Такой обязанности у операторов как не было ранее, так и не появилось с 1 сентября. Все согласия хранятся у работодателя и потребуются только при проверках, чтобы доказать, что вы обрабатываете ПД работников в соответствии с требованиями закона.
В Роскомнадзор направляются не согласия работников, а уведомление о намерении обрабатывать ПД, причем только один раз.
В нем работодатель информирует, что организация осуществляет обработку ПД работников, соискателей, исполнителей по договорам ГПХ, бывших работников и исполнителей (а также покупателей, вкладчиков и т.
д. — назовите нужные категории) и принимает определенные меры по их защите.
В уведомлении нет информации о каждом работнике, и к нему не нужно прикреплять согласия. При приеме новых работников уведомление заново не подается.
Однако если сведения, переданные в уведомлении, изменились (основной ОКВЭД, адрес организации, виды ПД, категории субъектов ПД, принимаемые меры защиты и т. д.
), в Роскомнадзор нужно будет направить заявление о внесении изменений в сведения в реестре операторов.
ОБРАТИТЕ ВНИМАНИЕ Если организация уже есть в реестре операторов ПД в качестве работодателя и все содержащиеся в нем сведения актуальны и полны, отправлять уведомление о начале обработки ПД не нужно. Проверить наличие организации в реестре можно на портале Роскомнадзора (https://clck.ru/qCKyV).
[1] Здесь и далее: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 02.07.2021).
Как компании избежать штрафов при работе с персональными данными сотрудников
Утечки информации беспокоят не только граждан, но и бизнес. С 1 сентября 2022 года в России заработали новые правила хранения и обработки персональных данных сотрудников. Разбираемся, к чему это обязывает работодателей.
Что такое персональные данные
При найме специалиста в штат, заключении договора с ИП или самозанятым работодатель так или иначе получает доступ к личной информации человека, то есть становится оператором персональных данных. В федеральном законе закрепили категории этих данных:
- Общие, например, Ф.И.О, пол, дата рождения, место жительства и работы.
- Специальные — информация о расовой и национальной принадлежности, политических и религиозных взглядах, состоянии здоровья и личной жизни, судимостях.
- Биометрические — данные, которые характеризуют биологические и физические особенности человека: фото, отпечатки пальцев, группа крови.
- Иные — данные, которые не относятся к предыдущим категориям, например: номер паспорта, реквизиты банковских карт.
Любые действия с личными данными возможны только с согласия человека. Так было и раньше — все заполняли согласие на хранение и обработку персональных данных при трудоустройстве. Теперь правила дополнили новыми требованиями.
Что изменилось с 1 сентября
Первое: сообщать Роскомнадзору о работе с персональными данными теперь обязаны практически все компании и предприниматели.
— Если до сентября список организаций, которые могли не уведомлять регулятора, был обширным, теперь исключений очень мало.
Необязательно сообщать Роскомнадзору о работе с персданными в трёх случаях: данные включили в государственные информационные системы для защиты безопасности, их обрабатывают без автоматизации, и если это предусмотрено законом ради безопасности транспортного комплекса государства, — объясняет управляющий RTM Group, эксперт в области права в IT Евгений Царёв.
Второе: компании должны утверждать положение о защите персональных данных.
https://www.youtube.com/watch?v=M-nbqueFX5I\u0026pp=ygXtAdCh0LHQvtGAINC4wqDQvtCx0YDQsNCx0L7RgtC60LAg0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSDRgcKgMcKg0YHQtdC90YLRj9Cx0YDRjyAyMDIyOiDQvdC-0LLRi9C1INC_0YDQsNCy0LjQu9CwINC4wqDRgtGA0LXQsdC-0LLQsNC90LjRjywg0YPQstC10LTQvtC80LvQtdC90LjRjyDQssKg0KDQvtGB0LrQvtC80L3QsNC00LfQvtGAIC0g0J7RgtCy0LXRgiDQkdGD0YXQs9Cw0LvRgtC10YDQsA%3D%3D
Обратите внимание: если у вас есть интернет-ресурс, где собираете личные данные пользователей, на страницах ввода людьми своих данных вы обязаны разместить положение о политике конфиденциальности.
Третье: если персональные данные сотрудников попали в руки посторонних, работодатель обязан сообщить об этом в Роскомнадзор в течение 24 часов после инцидента. Далее следует провести внутреннее расследование и доложить ведомству о результатах в течение 72 часов — кто виноват в утечке, какие меры приняли в компании.
Четвёртое: изменились требования к оформлению согласия на обработку персональных данных. Оно должно быть предметным и однозначным — нужно чётко указать цели сбора личной информации, категории данных.
Важно: сбор биометрических данных нужно обязательно отмечать в согласии. Иначе компания будет не вправе запросить даже фото нового сотрудника для оформления пропуска на территорию.
Пятое: сократили срок ответа работодателя на запрос сотрудника информации по его персональным данным. Ответ нужно дать в течение 10 рабочих дней или продлить рассмотрение на 5 рабочих дней по уважительным причинам. Раньше общий срок ответа ограничивали 30 днями.
Шестое: сотрудника нужно ставить в известность, если его персональные данные запрашивают у третьих лиц. Например, компания хочет получить сведения о человеке от бывшего работодателя, вуза или госорганов, тогда перед запросом необходимо составить документ по образцу и дать работнику на подпись.
Седьмое: уничтожение персональных данных тоже регламентируется. В статье 21 федерального закона перечислили ситуации, когда личную информацию о сотрудниках необходимо удалить, например:
- закончился срок хранения документа
- пропала необходимость хранения
- данные обрабатывают неправомерно
- сотрудник отозвал согласие, потребовал прекратить работу с его персональными данными
— По требованию работника или контрагента персональные данные должны уничтожить в течение 7 рабочих дней. В случае неправомерной обработки, которую выявит оператор, – 10 дней, в остальных случаях – 30 дней. Уничтожают данные физически (бумажный носитель) или путём стирания (электронные данные), — уточняет судебный эксперт и партнёр юридического бюро «Палюлин и партнеры» Антон Палюлин.
Грядущие изменения
С1 марта 2023 года компаниям нужно будет информировать Роскомнадзор о передаче данных на территорию другого государства.
— Сообщение будет содержать название страны, в которую планируется передать информацию, категорию персональных данных, дату начала и окончания передачи данных, то есть все детали. Если регулятор сочтёт, что передача данных россиян небезопасна, действия запретят, — уточняет Евгений Царёв.
Нарушения и штрафы по новому закону
- Во-первых, прежние административные штрафы за некорректную обработку персональных данных сохранились.
- Во-вторых, добавились новые: если компания не уведомила Роскомнадзор о намерении хранить и обрабатывать чьи-то личные данные, штраф будет от 3 до 5 тысяч рублей.
- Евгений Царёв поделился списком самых частых нарушений работодателей:
- Работник не дал согласие на обработку персональных данных
- Компания не уведомила Роскомнадзор
- Фактические цели обработки персданных не совпали с заявленными
- Личные данные сотрудника неправомерно распространили
Ответственность за нарушения закрепили в статье 90 ТК РФ. Сотрудник имеет право подать в суд на компанию, которая незаконно использовала его персональные данные. Прецеденты есть, например, случай по делу N 2-706/2018 в суде города Серпухова Московской области.
Работодатель выдал характеристику человека неустановленному лицу, без согласия на это самого работника. Суд взыскал с работодателя в пользу сотрудника 10 тысяч рублей в качестве компенсации морального вреда.
https://www.youtube.com/watch?v=M-nbqueFX5I\u0026pp=YAHIAQE%3D
Уже сталкивались на практике с нововведениями? Много хлопот добавилось вашим юристам и кадровикам ????
Поделитесь историей
про работу, собеседования, нарушения ваших трудовых прав, HR-кейсы
Связаться с нами
Персональные данные: какие изменения учесть компаниям с 1 сентября
Изменения коснулись широкого круга вопросов. Среди них: когда нужно уведомить о намерении обрабатывать персональные данные; что включать в локальные акты и как их правильно размещать на сайте компании; что делать, если произошла утечка данных.
Срок ответа ведомству сократили с 30 календарных до 10 рабочих дней. Он может быть увеличен в пределах 5 рабочих дней на основании мотивированного уведомления.
Уведомление об обработке персональных данных
1. Из Закона о персональных данных исключили большинство случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные.
Таким образом, следует проинформировать ведомство, если компания собирается обрабатывать, в частности, персональные данные (ссылки ведут на утратившие силу нормы о случаях, когда уведомление не требовалось):
Если для обработки персональных данных не используют средства автоматизации, уведомлять ведомство не нужно. Например, данные о посетителях организации записывают в бумажный журнал при выдаче им разовых пропусков.
2. Скорректировали требования к содержанию уведомления. Если данные будут обрабатывать в разных целях, то для каждой из них понадобится указать:
- категорию данных и их субъектов;
- правовое основание обработки;
- перечень действий с данными и способы их обработки.
Если у физлиц или юрлиц есть доступ к персональным данным в государственных (муниципальных) информационных системах или они обрабатывают данные из этих систем по договору, Ф.И.О. таких физлиц (наименование юрлиц) нужно привести в уведомлении.
3. В законе закрепили положение о том, что формы уведомлений должен установить Роскомнадзор (пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных).
Роскомнадзор 1 сентября разъяснил рассмотренные изменения. Подробности в нашей новости.
Локальные акты по вопросам обработки персональных данных
В законе конкретизировали требование о том, что локальные акты должны содержать:
- категории и перечни обрабатываемых данных;
- категории субъектов данных;
- способы и сроки обработки, хранения данных;
- порядок их уничтожения.
- Эти положения нужно установить для каждой цели обработки данных.
- Если компания собирает персональные данные граждан через свой сайт, проверьте, где именно на сайте опубликован документ о политике обработки данных и сведения о реализуемых компанией требованиях к их защите.
- Такая информация должна быть опубликована в том числе на страницах сайта, где непосредственно идет сбор персональных данных (например, на страницах с формами, которые заполняют пользователи).
Обязанности в случае компрометации персональных данных
У компании есть 24 часа с момента происшествия, чтобы сообщить в Роскомнадзор:
- об инциденте;
- его предполагаемой причине и вреде, причиненном субъектам данных;
- мерах по устранению последствий инцидента;
- представителе компании, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с происшествием.
У компании есть 72 часа с момента инцидента, чтобы провести внутреннее расследование и сообщить в Роскомнадзор о его результатах, а также о виновниках (при наличии).
На сайте Роскомнадзора доступны для заполнения и отправки электронные формы уведомлений.
Компания обязана взаимодействовать с госсистемой обнаружения компьютерных атак (ГосСОПКА), в том числе направлять сообщения об утечке данных. Механизм взаимодействия определит ФСБ.
Поручение обработки персональных данных другому лицу
В поручении нужно дополнительно отразить:
- перечень персональных данных;
- обязанность использовать для записи и хранения персональных данных базы данных на территории РФ;
- меры, которые должен предпринять исполнитель для выполнения требований Закона о персональных данных;
- обязанность по запросу предоставлять в течение срока действия поручения информацию о соблюдении условий обработки персональных данных;
- обязанность уведомить о случаях компрометации обрабатываемых данных.
Согласие на обработку персональных данных
В число требований к согласию включили то, что оно должно быть предметным и однозначным.
Если получение согласия обязательно, компания должна разъяснить физлицу последствия не только отказа в предоставлении данных, но и отказа дать согласие на их обработку.
Предоставление информации физлицам об обработке их данных
Перечень сведений дополнили информацией о том, какими способами компания выполняет обязанности, предусмотренные Законом о персональных данных.
По запросу гражданина или его представителя сведения нужно предоставить в течение 10 рабочих дней. Срок может быть увеличен в пределах 5 рабочих дней на основании мотивированного уведомления. Ответ дается в той же форме, в какой поступил запрос, если в запросе не указано иное.
Обязанности компании, которая получила данные не от самого физлица
В состав информации, которую по общему правилу организация обязана предоставить физлицу до начала обработки его данных, включили их перечень.
Прекращение обработки данных по требованию физлица
У компании есть 10 рабочих дней с момента получения требования физлица, чтобы прекратить обработку данных о нем или обеспечить прекращение обработки (если ее ведет другое лицо). Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления.
Особенности обработки данных потребителей
1. По общему правилу продавец не может отказать потребителю в заключении, исполнении, изменении или расторжении договора из-за отказа потребителя предоставить персональные данные.
Есть два исключения:
- данные нужны для исполнения договора;
- предоставить данные требует закон.
За нарушение запрета могут оштрафовать:
- должностных лиц на сумму от 5 тыс. до 10 тыс. руб.;
- юрлиц – от 30 тыс. до 50 тыс. руб.
2. Если потребитель потребует объяснить, почему из-за непредставления персональных данных ему отказали в заключении, исполнении, изменении или расторжении договора, ответить нужно в течение 7 дней, при устном запросе — незамедлительно.
3. Нельзя отказывать в обслуживании физлицу, если оно не хочет предоставлять биометрические данные или соглашаться на обработку персональных данных, а закон не требует от компании получать такое согласие.
Требования к договору, для исполнения которого нужны персональные данные
Договор не может содержать положения:
- ограничивающие права и свободы физлица;
- устанавливающие случаи обработки данных несовершеннолетних (если иное не предусмотрено законом);
- позволяющие заключать договор при бездействии физлица.
Использование данных иностранными лицами
Положения Закона о персональных данных распространили на иностранные компании и физлиц, которые используют данные российских физлиц (например, по договору).
Если компания передала данные иностранной организации для обработки, ответственность перед физлицом несут обе организации.
Как работать с персональными данными после 1 сентября 2022: новые требования
С 1 сентября 2022 года начнут действовать новые нормы сбора персональных данных. Вступят в силу поправки в закон «О защите прав потребителей» (от 07.02.1992 № 2300-1). Продавцам (исполнителям, владельцам агрегаторов) запретят отказывать покупателям в заключении, исполнении и расторжении договора при отказе последних предоставить персональные данные.
За несоблюдение нормы будут штрафовать. Соответствующую меру предусматривает Федеральный закон от 28.05.2022 № 145-ФЗ, которым были внесены поправки в статью 14.8 КоАП.
Новые нормы призваны пресечь принудительный сбор продавцами персональных данных покупателей в целях, не связанных с предметом договора.
Какие ПД считаются избыточными
Представление персональных данных не может фигурировать в качестве условия сделки. Продавец не может отказаться продать товар или оказать услугу по той лишь причине, что покупатель не хочет предоставить персональные данные, которые для исполнения договора фактически не требуются. Об этом говорится в обновлённой статье 16 Закона «О защите прав потребителей».
Помимо этого, есть положение закона «О персональных данных» от 27.07.2006 N 152-ФЗ, где говорится, что «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых законных целей». Обработка персональных данных, несовместимая с целями их сбора, недопустима.
Что это значит
Продавец может запросить некоторые персональные данные, но только те, которые необходимы для исполнения договора. Избыточные данные собирать нельзя.
Например, для сервиса доставки еды нужны адрес и номер телефона заказчика.
Но если на сайте доставщик предлагает дополнительно заполнить пункты о семейном положении или представить фотографии всех страниц паспорта, и это обязательное условие. Налицо — нарушение.
Такой принцип работал и до внесения поправок.
Что конкретно изменится для бизнеса и покупателей
Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».
Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.
Когда можно требовать ПД
Персональные данные для заключения договора можно потребовать в двух случаях.
- Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
- В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.
Когда нельзя
Вне закона окажутся требования предъявить паспорт при возврате денег за товар, указать ФИО или электронную почту при покупке товара. Все эти данные можно получить и использовать только с согласия покупателя.
- На сколько оштрафуют
- Для бизнеса новый закон выливается в появление ещё одного контролирующего органа в лице Роспотребнадзора и ещё одного возможного штрафа.
- За одно нарушение оштрафуют:
- организацию — от 30 до 50 тысяч рублей;
- должностное лицо организации и ИП — от 5 до 10 тысяч рублей.
Покупатель покупателю — рознь
Новые нормы касаются потребителей, покупающих товары для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности. Например, если вы покупаете самокат для индивидуального использования, поправки действуют. А если покупаете 30 самокатов для организации кикшеринга — уже нет.
Новшество не затронет компании, работающие B2B, но на них по-прежнему будет распространяться закон о персональных данных.
Как работать с рассылками после 1 сентября 2022
На e-mail и других видах рассылок поправки существенно не отразятся. По-прежнему нужно придерживаться правил.
Четыре табу: что нельзя
- Требовать указать адрес и дать согласие на рассылку в качестве обязательного условия сделки.
- Предустанавливать галочки в чекбоксах, пользователь должен сделать это добровольно сам.
- «Вшивать» и прятать согласие на рассылку в другие документы.
- Объединять согласие на обработку персональных данных и согласие на рассылку. Это два отдельных действия. Их контролируют разные ведомства: Роскомнадзор и ФАС соответственно.
Если пользователь хочет отписаться от рассылки, отключите и уведомьте его об этом. В противном случае это может закончиться объяснениями с ФАС и штрафом. Это касается как обезличенных, так и личных писем. Обращение по ФИО в письме не спасёт. Антимонопольщики придерживаются мнения, что даже с применением такой «хитрости» письмо останется рекламным.
Если договор заключён раньше 1 сентября 2022
Новые требования будут распространяться на все договоры, в том числе те, которые были заключены раньше 1 сентября. При этом если для соблюдения новых условий пришлось изменить договор, а покупатель понёс убытки, продавец должен полностью их компенсировать.
Учтите все новые требования законодательства и работайте с клиентами без ошибок и штрафов.
О типовых нарушениях законодательства в области персональных данных, способах минимизировать риски и избежать нарушений, нововведениях законодательства и новых правилах проведения надзорных проверок Роскомнадзором расскажем на семинаре: «Как организовать работу с персональными данными в компании: новые требования законодательства, ответственность за несоблюдение, претензии Роскомнадзора».
Новые правила обработки персональных данных
С 1 сентября работодатели обязаны сообщать Роскомнадзору об обработке персональных данных сотрудников.
В последние несколько лет утечки личной информации участились, и государство хочет пристальнее следить за её обработкой и защитой. Так, вступают в силу новые правила, утверждённые Законом от 14.07.2022 г. № 266-ФЗ.
До 1 сентября организации и предприниматели должны сообщить Роскомнадзору об обработке персональных данных сотрудников.
Что нового для работодателей
Появляется новая обязанность — уведомлять о сборе и обработке данных, которые нужны для составления и исполнения трудового договора.
Правило распространяется не только на работников, но и на всех физических лиц. Например, когда персданные фиксируют для оформления разового пропуска на территорию предприятия.
Исключение — неавтоматизированная обработка данных. Если данные записывают в бумажный журнал, уведомлять Роскомнадзор не нужно.
Кроме этого работодатели в течение 10 дней должны:
- уведомлять об изменении состава сведений, которые собираете. Например, если начали спрашивать у сотрудников об их семейном положении;
- отвечать на запросы Роскомнадзора и сотрудников о том, собираете ли вы данные, и какие именно;
- сообщать Роскомнадзору о прекращении обработки персональных данных.
Чтобы повысить защиту персональных данных, компании и предприниматели должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК).
После подключения к системе вы считаетесь оператором персональных данных. Если произойдёт утечка данных, то в течение 24 часов нужно направить в ГосСОПК уведомление и назвать возможные причины утечки. В течение 72 часов операторы предоставляют отчёт о причинах и причастных лицах.
Новым ИП — год Эльбы в подарок
Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев
Уведомите Роскомнадзор об обработке персональных данных
Проверьте, есть ли организация или ИП в базе данных Роскомнадзора. Если организация уже есть в реестре, повторно отправлять уведомление не нужно.
Если записи нет, подготовьте уведомление по форме, которая утверждена Приказом от 30.05.2017 г. № 94.
Уведомление подают:
- в электронном виде через сайт Роскомнадзора — подписывают электронной подписью;
- в электронном виде через ЕСИА;
- заказным письмом через Почту России.
Документ подают один раз без указания сотрудников. Поэтому Роскомнадзор не требует уведомлений при найме нового персонала. Но, если меняется состав собираемой информации, ведомству сообщают о новых категориях обрабатываемых данных.
Если меняется сотрудник, который отвечает за обработку персональных данных, в Роскомнадзор отправляют уведомление с ФИО и должностью нового ответственного лица.
Проверьте согласия на обработку персональных данных
Согласие на обработку персональных данных должны дать все сотрудники. В документе указывают цель сбора информации — без противоречивых и размытых формулировок.
Проверьте текущие согласия, чтобы в них не было пунктов, которые нарушают права сотрудников. Сверьте цель сбора данных со ст. 86 ТК РФ — произвольные формулировки запрещены. Если нашли ошибки, подготовьте и подпишите новые документы.
Если отправляете данные сторонней организации для обработки, хранения и защиты, получите согласие от сотрудников на передачу сведений третьим лицам. Здесь можно указать произвольную цель.
Как накажут за нарушение правил
За обработку данных без уведомления Роскомнадзора штрафуют по ст. 19.7 КоАП РФ:
- 300 ₽ – 500 ₽ — должностных лиц и ИП;
- 3 000 ₽ – 5 000 ₽ — организации.
Скорее всего, в будущем штрафы увеличат. Пока что их оставили минимальными, чтобы дать бизнесу время на адаптацию к новым правилам.
Коротко о главном
- С 1 сентября 2022 года работодатели уведомляют Роскомнадзор об обработке персональных данных сотрудников.
- До 1 сентября уведомление сдают организации и ИП, которые уже обрабатывают персданные работников.
- Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 г. № 94.
- Работодатели подключаются к ГосСОПК для защиты информации от утечки.
- За нарушение правил ИП и должностных лиц штрафуют на 300 ₽ – 500 ₽, организации — от 3 000 ₽ до 5 000 ₽.
Статья актуальна на 29.08.2022