Республика права

Онлайн журнал о праве и законе

Сбор персональных данных – теперь это мрак. Коснется всех!

Опубликовано: 25 февраля, 2023 Категория: Гражданское право Комментариев нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных – теперь это мрак. Коснется всех!». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Новая обязанность операторов персданных
2. В каких случаях потребуется уведомление Роскомнадзора
3. Как уведомить Роскомнадзор о сборе персональных данных
4. Изменения в Законе о персданных
5. Срок обработки персональных данных
6. Изменяются правила защиты ПДн
7. Особое внимание к случаям утечек
8. Что конкретно изменится для бизнеса и покупателей.
9. Изменения в правилах работы с персональными данными сотрудников в 2022 году
10. Что относится к персональным данным работника
11. Риски при нарушении требований к обработке персональных данных работников организации
12. Изменение требований к поручениям

Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Новая обязанность операторов персданных

Они должны:

  • незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
  • обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).

Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:

  • относятся к работникам;
  • принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
  • нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.

Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • наименование компании (ФИО ИП) и ее адрес;
  • цель обработки персональных данных (например, заключение трудовых договоров);
  • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
  • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
  • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
  • предполагаемая дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
  • сведения об обеспечении безопасности персональных данных.
Читайте также:  Собянин проиндексировал с 1 января 2023 года социальные выплаты на 10%

Направить уведомление можно следующими способами:

  • в бумажном виде,
  • в электронном виде с использованием усиленной квалифицированной электронной подписи,
  • в электронном виде с использованием средств аутентификации ЕСИА.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

  • трансграничной передачи персональных данных;
  • обработки специальных категорий данных (например, состояние здоровья человека);
  • биометрических данных;
  • персональных данных несовершеннолетних лиц;
  • а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Срок обработки персональных данных

Срок обработки персональных данных — это период от начала обработки данных до ее прекращения. Начало обработки для каждого субъекта персональных данных будет разным. Рекомендуем разграничить начало для каждого из них. Например, срок обработки персональных данных клиентов начинается с момента регистрации на сайте или заключения договора, а срок обработки данных сотрудников — с начала действия трудового договора. Дата прекращения обработки персональных данных определяется моментом наступления одного из событий:

  • достигнута цель обработки;
  • истек срок действия согласия субъекта или он отозвал согласие на обработку данных;
  • обнаружена несанкционированная обработка данных;
  • организация прекратил свою деятельность. Сколько хранить персональные данные.

Персональные данные не стоит хранить дольше того срока, который нужен для их обработки. Лучше всего указать конкретную дату (число, месяц, год) и основание, которое станет причиной прекращения обработки персональных данных.

Изменяются правила защиты ПДн

Работодатель теперь обязан составить и утвердить положение о защите ПДн. В этом документе прописываются категории риска каждого документа/электронного носителя персданных, а также наличие угроз компрометации информации с этих носителей. Ранее такой документ рекомендовался, теперь он стал обязательным.

Что касается уничтожения персональных данных, то это возможно лишь в конкретных случаях, перечисленных в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:

  • Закончился срок хранения документа
  • Цель обработки достигнута или их больше не нужно обрабатывать
  • Оператор неправомерно обрабатывает ПДн
  • Владелец персональных данных отозвал согласие, потребовав прекратить обрабатывать и распространять его ПДн

Особое внимание к случаям утечек

У операторов появилась новая обязанность информировать Роскомнадзор об инцидентах с персональными данными, а именно, о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав их субъектов (п. 3.1. ст. 21 152-ФЗ). Для этого был запущен специальный сервис Роскомнадзора.

Действовать операторам придется оперативно, так как уведомление о произошедшем инциденте должно быть направлено в течение двадцати четырех часов с момента его выявления.

При этом уведомление должно содержать не только указание на сам факт утечки, но и сведения о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном их правам, о принятых мерах по устранению последствий соответствующего инцидента, и др.

Читайте также:  Налоги и страховые взносы: что изменится с 2023 года?

Кроме того, в течение семидесяти двух часов оператор должен уведомить Роскомнадзор о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В свете планируемого увеличения административной ответственности за инциденты с персональными данными, операторам данных следует внимательнее относится к их защите, стремиться предотвратить утечки, а не только реагировать на уже произошедшие факты нарушений.

Что конкретно изменится для бизнеса и покупателей.

Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».

Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.

Когда можно требовать ПД.

Персональные данные для заключения договора можно потребовать в двух случаях.

  • Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
  • В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.

Изменения в правилах работы с персональными данными сотрудников в 2022 году

В 2022 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.

Случаи, когда необходимо отдельное согласие физического лица:

  1. Организация занимается распространением данных неограниченному кругу лиц.
  2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • паспортные данные, СНИЛС, ИНН;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • номер телефона или электронная почта;
  • прочие сведения, которые могут идентифицировать человека.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • — на граждан — от 500 до 1 000 руб.;
  • — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

Читайте также:  Оплата больничного листа после увольнения

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
  • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
  • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Изменение требований к поручениям

В обновленной редакции Закона № 152-ФЗ уточнили, что обработчик сведений должен соблюдать принципы, правила обработки, конфиденциальность информации, принимать необходимые меры, которые направлены на обеспечение выполнения обязанностей, предусмотренных законодательством.

В поручении оператору нужно установить список персональных сведений и действий (операций) с данными, которые будет совершать обработчик, а также его обязанность по соблюдению конфиденциальности. Также в поручении определяется обязанность по запросу оператора в течение периода действия поручения передавать документацию и сведения, которые подтверждают принятие мер и соблюдение обязанности обеспечивать безопасность персональных данных при их обработке.

В поручении отражается обязанность обработчика направлять оператору уведомление об утечках персональных сведений.

Каждая организация вправе самостоятельно разработать Положение, законодатель не устанавливает его строгой формы. Обязательным является наличие следующих разделов:

  1. Общие положения.

Раздел должен содержать цели, для которых документ составлен, а также перечисление данных, которые относятся к персональным. Все формулировки можно перенести из ст. 3 Закона.

  1. Основные понятия и состав персональных данных.

Руководствуйтесь при составлении этого раздела ст. 3 Закона. Укажите также документы работников, в которых содержатся их ПД:

  • документы, на основании которых оформляется трудовой контракт;
  • трудовые книжки;
  • личные дела работников;
  • отчетность налоговая, статистическая и т.д.;
  • приказы по организации и их копии.
  1. Обработка персональных данных.

Перечислите все условия, которые необходимо соблюдать при обращении с ПД. Соотнесите их с теми, что указаны в ст. 6 Закона.

  1. Передача персональных данных.

Определите правила передачи и получения ПД как внутри организации, так и третьим лицам. Здесь же укажите, как и где они хранятся (обычно это отдел кадров и бухгалтерия, где сведения о работниках хранятся в бумажном и электронном виде).

  1. Доступ к персональным данным.

Доступ к ПД сотрудников строго ограничен кругом лиц, которые используют их в процессе осуществления своих должностных полномочий. Перечислите должности, кто вправе получать и обрабатывать такие сведения, и их действия с ПД.

  1. Ответственность за нарушение норм в отношении обработки и защиты персональных данных.

Закрепите меру ответственности за работниками в случае нарушений правил данного Положения. Степень ответственности избирается в соответствии со ст. 90 ТК РФ.

Положение о персональных данных вводится в действие на основании приказа руководителя.

Обязательным является ознакомление с текстом Положения всех сотрудников организации, в том числе вновь принимаемых (ч. 2 ст. 22, ст. 68 ТК). Подтверждается этот факт одним из способов:

  • личной подписью в трудовом договоре, где содержится отсылка на действующее Положение;
  • личной подписью в листе ознакомления к Положению или журнале ознакомлений с приказами и распоряжениями.

При несоблюдении порядка обращения с персональными данными, если отсутствует Положения или не ознакомлен сотрудник с ним, руководитель может быть привлечен к административной ответственности в соответствии со ст. 5.27 КоАП.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *