Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.


Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.

Читайте также:  Поставить пломбу на зуб бесплатно по ОМС

Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.

Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Что такое согласие на обработку персональных данных?

Это документ о том, что субъект персональных данных согласен с тем, что заинтересованная сторона вправе получать, хранить и использовать сведения о нем. При этом ч.1 ст.9 Закона 152-ФЗ не обязывает давать его письменно. Закон гласит, что соглашение может быть получено в любой форме, но быть сознательным и конкретным.

Однако, оператор обработки персональных данных несет ответственность за свои действия и при возникновении спорной ситуации сможет доказать свою правоту только при наличии письменного документа. Форма его является условной, единого бланка законодательно не установлено и каждый из операторов может сам ее разрабатывать для своих условий.

Согласие на обработку персональных данных гарантирует их защиту от неправомерных действий, применение для определенных целей и в рамках перечисленных задач.

Что является личной информацией граждан?

Понятие информации о гражданине, относящейся к персональной, дано в ст.3 Закона 152. Это любые сведения, связанные с субъектом (физическим лицом) прямо или косвенно:

  • ФИО, пол, возраст;
  • семейное положение, а также родственные связи и наличие детей;
  • сведения об образовании и наличии квалификационных навыков;
  • адрес места жительства и прописки;
  • любые фото- и видеоматериалы, используемые оператором и позволяющие точно установить личность гражданина;
  • биографические данные, включая наличие судимости, прохождения службы в армии, предыдущих мест работы и т.д.);
  • сведения о заработке и финансовом положении;
  • иные сведения, позволяющие идентифицировать физическое лицо.

Стоит перечислить и документы, в которых эти сведения содержатся:

  • гражданский паспорт, свидетельства о браке, рождении детей;
  • документы об образовании, повышении квалификации и т.д.;
  • трудовая книжка;
  • военный билет.

Остальные документы, содержащие сведения о гражданах, хранятся у работодателя и необходимы для кадрового учета. Это, например, характеристики, личные карточки, анкеты и т.д.

Читайте также:  Какое повышение социальной пенсии ожидается в 2023 году

В ряде ситуаций требуется предоставление справки о доходах, полученных в определенный временной период. Гражданину следует знать, что без его согласия эти сведения не подлежат обработке.

Можно ли отозвать согласие?

В случае обнаружения противоправных действий в отношении персональных данных, переданных для обработки оператору, а также при увольнении с работы или иных случаях гражданин вправе отозвать ранее переданное согласие. Чаще всего этот документ хоть и подписывается в сознательном порядке, но сам факт может забыться. Поэтому такие случаи достаточно редки.

При желании оформить отзыв согласия достаточно просто. Это делается путем написания заявления в произвольном виде с требованием:

  • о прекращении любых действий с полученными ранее персональными данными;
  • об уничтожении их.

При этом в заявлении можно сослаться на нормативную базу Федерального закона № 152, в частности п.2 ст.9. Оператор обязан в течение одного месяца после получения отзыва выполнить требования гражданина.

Отметим, что ответственность оператора в части обработки личных сведений закреплена ч.2 ст.13.11 КоАП и нарушением считается:

  • обработка данных в случаях, когда требуется согласие, но оно не получено от субъекта в письменном виде;
  • согласие составлено с нарушением требований с составу сведений, которые должны присутствовать в этом документе.

Как и когда необходимо информировать Роскомнадзор об утечке данных

У операторов появится новая обязанность: взаимодействовать с ГОССОПКА и информировать госорганы о компьютерных инцидентах, которые повлекли утечку персональных данных. В отношении ГОССОПКА пока не ясно, что именно будут требовать от операторов персональных данных. Порядок взаимодействия и обязанности должна будет установить ФСБ.

Ч. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Конкретные требования закон установил к тому, как уведомлять госорганы о неправомерной или случайной передаче персональных данных. Оператор, если выявил такой факт, обязан в течение 24 часов уведомить Роскомнадзор об инциденте.

В таком уведомлении необходимо указать предполагаемые причины и вред, перечислить, какие меры приняла компания, чтобы устранить последствия. Также следует предоставить сведения о лице, которое будет взаимодействовать с Роскомнадзором.

В течение 72 часов с момента, когда выявили инцидент, оператор должен уведомить Роскомнадзор о результатах внутреннего расследования, а также предоставить сведения о лицах, чьи действия стали причиной инцидента.

Требование информировать госорганы об утечке персональных данных — новелла для российского законодательства. Однако похожие требования уже есть в законодательстве об объектах критической информационной инфраструктуры.

КоАП предусматривает штраф до 500 тыс. руб. для субъектов КИИ, если они не проинформируют об инцидентах.КоАП-1 Поэтому есть вероятность, что для операторов персональных данных тоже введут повышенный штраф. Однако пока что оператора, который не уведомит чиновников об утечке, можно оштрафовать до 5 тыс. руб. по общей норме Ко АП о непередаче сведений госорганам.

Новые штрафы за персональные данные для операторов

Новые требования к обработке персональных данных повлекли новую ответственность для операторов.

Изменения внесли в статью 14.8 Кодекса РФ об административных правонарушениях (Федеральный закон от 28.05.2022 N 145-ФЗ). Они действуют с 01 сентября 2022 года.

Ответственность грозит операторам, которые отказались заключить, исполнить, изменить или расторгнуть договор с потребителем из-за его отказа предоставить ПД. За такие действия компанию могут оштрафовать на сумму от 30 до 50 тысяч рублей, а должностное лицо – от 5 до 10 тысяч рублей.

Читайте также:  Прожиточный минимум в Волгоградской области

Важно учитывать, что ответственность не наступает, когда:

  • потребитель был обязан сообщить ПД согласно требованиям федеральных законов или других правовых актов,
  • предоставление данных непосредственно связано с исполнением договора.

Изменение № 4: сократились сроки реагирования на запросы

Как было раньше. Если Роскомнадзор или субъект ПДн писал компании запрос с просьбой предоставить какие-то сведения, которые касаются обработки личных данных, на ответ давалось 30 дней.

Как сейчас. Время на ответ сократили до десяти дней с возможностью продления этого срока ещё на пять дней, если нужно время на сбор данных. Такой же срок установлен и для запросов о прекращении обработки ПДн. Если человек просит удалить его из базы, это нужно сделать тоже за десять дней.

Что это значит. Реагировать на запросы органов и граждан придётся быстрее. В документах ничего менять не нужно.

Что делать, если сотрудник отказывается подписывать согласие?

Иногда встречаются ситуации, когда при приеме на работу некоторые люди отказываются подписывать соответствующие документы из-за своих личных убеждений. В большинстве своем, они вызваны опасениями, связанными с возможным использованием персональных данных в целях, которые могут нанести вред их владельцу. Эти опасения связаны в основном с незнанием законов, которые, наоборот, призваны защитить его персональные данные.

Закон в этом случае гласит о том, что предприятие не имеет права трудоустроить такого человека, так как тем самым оно нарушает закон, и может быть привлечено к ответственности. Получается, что избежать этой процедуры не удастся, так как, согласно делопроизводству, на предприятии должны храниться ксерокопию документа, удостоверяющего личность, оригинал трудовой книжки, копия диплома, и другие, в зависимости от профессии. Все это персональные данные, согласие на обработку которых получено не было.

Единственный случай, когда можно применять обработку персональных данных без согласия их владельца, только в том случае, когда нужно реализовать новые цели по условиям договора, заключенного ранее, и это действует только с принятыми в штат сотрудниками.

В любой момент человек давший согласие на обработку персональных данных может написать заявление об отзывы написанного ранее документа, однако, никакого реального эффекта данная мера не имеет, так как человек получившие на это право может им пользоваться в полной мере.

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).


Похожие записи:

Напишите свой комментарий ...