С 1 сентября 2022 года вступают в силу изменения в закон «О персональных данных».
Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.
Формы уведомлений будут утверждены приказом Роскомнадзора. До этого оператор вправе заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе по форме, утвержденной Приказом от 30.05.2017 № 94.
Когда уведомляем Роскомнадзор
Паспортные данные, ФИО, адрес, телефон и другие сведения о физическом лице — такая информация относится к персональным данным. Что касается организаций и ИП, которым сообщают такие данные и есть операторы персональных данных, которые эти данные обрабатывают. Вот поэтому любая компания, имеющая такие данные о своих работниках, клиентах или покупателях является оператором персональных данных.
Важно понимать, что организация или ИП вправе осуществлять обработку персональных данных физического лица только с его письменного согласия либо без согласия в установленных законом случаях. Исчерпывающий перечень таких случаев содержится в п.2—11 ч.1 ст.6 Закона о персональных данных.
Но до начала обработки персональных данных организация обязана сообщить об этом в Роскомнадзор, за исключением установленных законом случаев. С 1 сентября исключений почти не останется (ст.22 Закона № 152 ФЗ).
Сообщать об обработке персональных данных будет необходимо даже в том случае, если организация или ИП становится обладателем информации только о фамилии, имени и отчестве физического лица. Например, при оформлении дисконтных карт клиентов. Кроме того, если раньше не требовалось подавать уведомление, когда персональные данные собирались для однократного пропуска на ее территорию, то с 1 сентября это нужно будет делать.
Так же с 1 сентября появилась обязанность уведомлять Роскомнадзор, если организация или ИП будет заключать «обычные» договоры с физическими лицами, даже если их персональные данные не распространяются и не предоставляются третьим лицам. Например, сообщить в Роскомнадзор нужно будет организации или интернет-магазину, оказывающей услуги, в случае, когда они заключают договор с физическим лицом, и в договоре содержатся персональные данные (Ф.И.О., адрес и другие персональные данные, необходимые для оформления заказа).
Обработка персональных данных работников – самый распространенный повод для уведомления. Это говорит о том, что всем работодателям необходимо сообщить в Роскомнадзор об обработке персональных данных работников.
Однако, данные ситуации достаточно редки и большинству компаний при сборе персональных данных придется уведомлять Роскомнадзор.
Еще стоить обратить внимание, что действие Закона № 152-ФЗ распространяется также на иностранных юридических и физических лиц, если они обрабатывают персональные данные граждан РФ:
– на основании договора или соглашения, стороной которого является гражданин России;
– или на основании согласия такого гражданина на обработку его персональных данных.
В этом случае, по новым правилам иностранная организация или иностранный гражданин, даже если они зарегистрированы и осуществляют свою деятельность на территории иностранного государства, обязаны соблюдать все требования Закона № 152-ФЗ (включая получение согласия субъекта персональных данных, уведомление Роскомнадзора и т.п.), если они обрабатывают персональные данные российских граждан.
Что нужно сделать с 1 сентября 2022?
1. Уведомить Роскомнадзор об обработке персональных по новым основаниям (ст.22 Закона о персональных данных в новой редакции).
Все работодатели должны направить уведомление в Роскомнадзор об обработке персональных данных своих работников (в бумажном виде или по электронной форме). Тогда данная организация включается в реестр операторов персональных данных. Ранее такая обязанность в Законе о персональных данных отсутствовала. Уведомление необходимо направить и тем операторам, которые стали обязанными информировать Роскомнадзор по другим новым основаниям.
Если организация уже включена в реестр операторов, она должна не позднее 15.09.2022 (п.7 ст. 22 Закона № 152-ФЗ в новой редакции) уведомить Роскомнадзор о новой цели обработки персональных данных. Например, «Обработка в рамках трудовых отношений» или «Обработка при получении данных о ФИО». Подробно об этом мы расскажем ниже.
В случае непредставления или несвоевременного представления уведомления организация может быть привлечена к административной ответственности по ст.19.7 КоАП РФ с взысканием штрафа в размере:
от 3 000 руб. до 5 000 руб. — для организаций;
от 300 руб. до 500 руб. — для должностных лиц.
Это важно! Рекомендуемая форма уведомления в настоящее время утверждена приказом Роскомнадзора от 30.05.2017 N 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Организации вправе, пока Роскомнадзор не утвердит новые обязательные формы, использовать данную форму. Однако, с 1 сентября 2022 г. в ней дополнительно нужно будет указать:
– категории персональных данных и субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными и способы обработки персональных данных отдельно для каждой цели обработки персональных данных (ч. 3.1 ст. 22 Закона N152-ФЗ в новой редакции);
– Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, которые содержатся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона N152-ФЗ в новой редакции).
Порядок направления уведомления содержится в Письме Роскомнадзора от 19.08.2022 N 08-75348.
2. Внести изменения и дополнения в политику персональных данных. В данном документе нужно (п.2 ч.1 ст.18.1. Закона о персональных данных в новой редакции):
– прописать категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения для каждой цели обработки;
– исключить все положения, ограничивающие права субъектов персональных данных, а также полномочия и обязанности операторов, не предусмотренные законодательством РФ.
3. Опубликовать политику персональных данных на всех страницах сайта, на которых осуществляется сбор персональных данных (ч.2 ст.18.1. Закона о персональных данных в новой редакции).
4. Внести изменения и дополнения в форму согласия на обработку персональных данных (ч.1 ст.9, ч.2 ст.18 Закона о персональных данных в новой редакции).
5. Внести изменения и дополнения в форму договора поручения на обработку персональных данных (ч.3 ст.6 Закона о персональных данных в новой редакции).
6. При сборе персональных данных разъяснять гражданам юридические последствия отказа предоставить персональные данные и/или дать согласие на их обработку (если в соответствии с законом их предоставление и/или согласие на их обработку обязательно) (ч.2 ст.18 Закона о персональных данных в новой редакции).
7. Если персональные данные получены оператором не от субъекта персональных данных, то дополнительно к информации, указанной в п.3 ст.18 Закона № 152-ФЗ, надо предоставлять также сам перечень полученных персональных данных (п.2.1. ч.3 ст.18 Закона о персональных данных в новой редакции).
8. Выполнять иные требования, предусмотренные Законом № 152-ФЗ с учетом внесённых изменений.
Новые требования к содержанию уведомления в Роскомнадзор
С 1 сентября для каждой цели обработки данных в уведомлении нужно будет указать:
– категории персональных данных (общедоступные; биометрические; специальные; иные);
– категории субъектов, персональные данные которых обрабатываются (например, работники компании; кандидаты на работу, направившие резюме при устройстве на работу; физические лица, с которыми заключены договоры гражданско-правового характера (ГПХ); клиенты; посетители и др.);
– правовое основание обработки персональных данных (указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных: например, статьи 86-90 Трудового кодекса РФ; ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ “О связи и др.);
– перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.
Также в уведомлении нужно будет указать ФИО физического
лица или наименование юридического лица, которые имеют доступ и (или)
осуществляют на основании договора обработку персональных данных,
содержащихся в государственных и муниципальных информационных системах.
Если организация (физлицо) имеет доступ к такой системе
(например, к государственной автоматизированной информационной системе
учета древесины и сделок с ней, предусмотренной ст. 50.6
Лесного кодекса РФ), или по поручению оператора обрабатывает
содержащиеся в данной системе персональные данные, то наименование
такой организации (ФИО гражданина) должно быть отдельно указано
в уведомлении.
Когда согласие на обработку не нужно?
Определены требования к договору, который заключается
с субъектом персональных данных и в связи с заключением
которого обработка персональных данных может осуществляться без получения
согласия. Например, согласие не нужно получать для исполнения договора
с гражданином, который является (пп.5 п.1 ст.6 Закона № 152-ФЗ):
стороной данного договора, либо выгодоприобретателем по договору,
либо поручителем по договору.
Также не нужно получать согласие, если обработка
необходима для заключения договора по инициативе субъекта персональных
данных или договора, по которому субъект персональных данных будет
являться выгодоприобретателем или поручителем.
Такой договор не должен:
– ограничивать права и свободы субъекта персональных
данных,
– допускать обработку персональных данных несовершеннолетних,
если иное не предусмотрено законодательством РФ,
– содержать положения, допускающие в качестве условия
заключения договора бездействие субъекта персональных данных.
Но сообщить об обработке таких персональных данных оператор обязан.
Прекращение обработки персональных данных и предоставление данных о них гражданину
Установлен срок прекращения оператором обработки персональных данных по требованию субъекта персональных данных.
Субъект персональных данный вправе в любое время обратиться к оператору и потребовать прекратить обработку его персональных данных. Исключение — ситуации, которые предусмотрены п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных (в частности, когда обработка осуществляется с согласия субъекта персональных данных).
Оператор обязан прекратить обработку в течение 10 рабочих дней с момента получения соответствующего требования. Данный срок может быть продлен на 5 рабочих дней с направлением в адрес субъекта персональных данных уведомления с указанием причин продления.
Также значительно сократились сроки предоставления оператором запрашиваемой у него информации.
Субъект персональных данных вправе получить у оператора сведения об обработке его персональных данных. По новым правилам такие сведения предоставляются в течение 10 дней после получения соответствующего запроса (вместо 30 дней — как было ранее). Аналогичный срок установлен для ответа на запрос Роскомнадзора о предоставлении информации.
Например, покупатель, который передал свои персональные данные магазину при оформлении заказа, может затребовать у этого магазина информацию о том, в каких целях и какими способами он использует персональные данные, сколько они будут обрабатываться и храниться, какие лица имеют доступ к его персональным данным и другие сведения, указанные в ст.14 Закона о персональных данных.
Введены новые обязанности оператора
С 1 сентября 2022 г. оператор обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Включая информирование
о компьютерных инцидентах, в результате которых произошла неправомерная передача персональных данных. Порядок такого взаимодействия будет определен Роскомнадзором.
Введена дополнительная обязанность оператора по устранению допущенных нарушений при обработке персональных данных. Если установлен факт неправомерной или случайной передачи персональных данных, то оператор обязан уведомить об этом Роскомнадзор в следующие сроки: в течение 24 часов — о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде, принятых мерах по установлению последствий этого инцидента. Помимо этого, оператор должен представить сведения об уполномоченным оператором лице, которое будет взаимодействовать с Роскомнадзором по факту этого инцидента;
в течение 72 часов — о результатах внутреннего расследования выявленного инцидента. Также следует предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии таких лиц).
На портале Роскомнадзора оператору предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:
- в бумажном виде;
- в электронном виде с использованием усиленной квалифицированной электронной подписи;
- в электронном виде с использованием средств аутентификации ЕСИА.
После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.
Предельный срок уведомления об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.
Обратите внимание! Компания “Бухгалтерра” готова помочь в составлении уведомления и отправки его в Роскомнадзор.
Составление и отправка уведомления в Роскомнадзор – 3500 руб
Комплект сбора документов для уведомления – 15 000 руб:
– Приказ о назначении ответственного за разработку персональных данных;
– Политика в отношении обработки персональных данных;
– Положение о защите и обработке персональных данных;
– Заключение об оценке вреда, который может быть причинен субъектам ПД;
– Правила проведения внутреннего аудита;
– Журнал ознакомления работников;
– Приказ об утверждении перечня мест хранения ПД;
– Приказ об утверждении списка лиц, допущенных к обработке с ПД;
