Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Реформа законодательства о персональных данных: к чему готовиться юристам». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Какие ПД считаются избыточными
Представление персональных данных не может фигурировать в качестве условия сделки. Продавец не может отказаться продать товар или оказать услугу по той лишь причине, что покупатель не хочет предоставить персональные данные, которые для исполнения договора фактически не требуются. Об этом говорится в обновлённой статье 16 Закона «О защите прав потребителей».
Помимо этого, есть положение закона «О персональных данных» от 27.07.2006 N 152-ФЗ, где говорится, что «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых законных целей». Обработка персональных данных, несовместимая с целями их сбора, недопустима.
Что это значит
Продавец может запросить некоторые персональные данные, но только те, которые необходимы для исполнения договора. Избыточные данные собирать нельзя. Например, для сервиса доставки еды нужны адрес и номер телефона заказчика. Но если на сайте доставщик предлагает дополнительно заполнить пункты о семейном положении или представить фотографии всех страниц паспорта, и это обязательное условие. Налицо — нарушение.
Такой принцип работал и до внесения поправок.
Закон не имеет границ
Новой нормой (ч. 1.1. ст. 1), дополнившей Федеральный закон № 152-ФЗ, закреплен принцип экстерриториальности применения указанного закона. Теперь его требования должны соблюдаться иностранными операторами в случаях, когда они обрабатывают персональные данные наших граждан на основании договора, иных соглашений либо на основании согласия гражданина Российской Федерации на их обработку. Интересно, что данная новелла схожа с аналогичными требованиями европейского законодательства.
Несмотря на то, что формально новая норма регулирует положение иностранных операторов, ее введение также может косвенно повлиять и на деятельность российских. Ведь теперь компаниям при построении отношений с зарубежными партнерами необходимо будет исходить из новых условий, в частности, принимать меры, чтобы их контрагенты заранее понимали, что обязаны соблюдать требования российского законодательства, когда обрабатывают персональные данные российских граждан.
Уточнение порядка трансграничной передачи данных
В связи с внесенными изменениями в Федерального закона № 152-ФЗ Роскомнадзором уже реализован сервис по направлению уведомления об осуществлении трансграничной передачи персональных данных по установленной форме.
Операторы, которые осуществляли трансграничную передачу до дня вступления в силу Федерального закона № 266-ФЗ и продолжают осуществлять такую передачу после дня его вступления в силу, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомления об осуществлении их трансграничной передачи. (ч. 5 ст. 6 266-ФЗ).
Далее с 1 марта 2023 года операторы обязаны сообщать о намерении осуществлять трансграничную передачу.
Также с 1 марта 2023 года планируется вступление в силу трех проектов Постановлений Правительства РФ, касающихся трансграничной передачи персональных данных (регулирующих порядок принятия решений о запрещении или об ограничении такой передачи как Роскомнадзором, так и иными уполномоченными органами, а также предусматривающих случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона 152-ФЗ.
Ускоряется обработка данных
По новым поправкам оператор ПДн обязан быстрее реагировать на запросы граждан и РКН.
- Для граждан. Если владелец ПДн обращается с требованием прекратить его обработку данных, оператор обязан остановить её в течение 10 дней. Сведения, касающиеся обработки персональных данных, также предоставляются в течение 10 дней после обращения.
- Для Роскомнадзора. Сведения, касающиеся обработки персональных данных, оператор должен предоставить РКН в течение 10 рабочих дней (раньше было 30). Допускается увеличение срока на 5 дней, если оператор отправит в РКН уведомление с обоснованием продления. Если ответы не устроят РКН несколько раз в течение года, к вам могут прийти с внеплановой проверкой
В каких случаях потребуется уведомление Роскомнадзора
Практически любая организация и ИП обязаны отправить уведомление, если они являются работодателем или заключают договоры с физлицами. Данное действие необходимо сделать до начала обработки персональных данных.
Уведомление необходимо направить в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.
Что делать компаниям, которые сбор персональных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.
Уведомление направляется однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.
Очень хороший семинар Татьяны Рользинг и Анны Коробчук! Полученная на семинаре «От теории к практике. Порядок ведения бухгалтерского учета в производстве» информация помогла дополнить и систематизировать уже имеющиеся знания.
Читать далееСкрыть Иванова Виктория Витальевна зам. главного бухгалтера АО «НПП «ТОПАЗ»»
Очень своевременное мероприятие «6-НДФЛ за 2021 год: инструкция для сдачи отчета без нарушений», как раз перед сдачей отчета! Объем информации, рассмотренной лектором Самковой Н.А, огромен. На примерах разобраны практически все проблемы заполнения 6-НДФЛ за 2021 год по новой форме. Даны ответы на наиболее частые вопросы, а также ссылки на соответствующие документы.
Читать далееСкрыть Пальгина Валерия Анатольевна бухгалтер ООО «Сервис офисной техники»
Организация и ведение общего воинского учета – тема непростая, со множеством подводных камней. Я очень благодарна Вашему лектору Евгении Конюховой за такой глубокий подход к освещению вопроса в рамках семинара «Организация и ведение общего воинского учета в 2022 году от А до Я».
Читать далееСкрыть Скорик Мария Юрьевна главный бухгалтер ООО «ГЕЛАЙН Проект»
Разъяснения и комментарии об изменениях в организации и ведении воинского учета в рамках семинара «Организация и ведение общего воинского учета в 2022 году от А до Я» для меня были полезны. Хотелось бы отметить техническую сторону вопроса: подключение к семинару не представляет трудностей, очень хорошая аудиодоступность и возможность визуального восприятия методических материалов, наличие обратной связи.
Читать далееСкрыть Порошин Александр Анатольевич советник ООО «Газпром питание»
Информация о закрытии филиалов и заполнении декларации, представленная на семинаре «Обособленные подразделения: особенности расчета налогов и предоставления отчетности», была новой, но актуальной. Плюс узнала от лектора Колмаковой П.В. полезные и важные сведения про 6-НДФЛ – передам в зарплатную группу. Очень понравилось, что в паузах вы ставите заставку семинаров текущего месяца.
Читать далееСкрыть Рослякова Татьяна Александровна старший бухгалтер АО «БЕЙКЕР ХЬЮЗ»
Очень довольна семинаром А. Опальского «Учетная политика на 2022 год в организациях государственного сектора»: полученные сведения помогли мне уточнить способы учета объектов активов в учетной политике.
Читать далееСкрыть Сосновская Галина Ивановна главный бухгалтер аппарат Совета депутатов муниципального округа Котловка
Тема мероприятия «Допросы – генеральная репетиция перед визитом директора и главного бухгалтера в налоговую инспекцию» актуальная, но очень объемная, со множеством нюансов по ситуации. Лектор Хорошилов В.Н. подробно разобрал вопросы по теме и постарался максимально подробно ответить на вопрос�� слушателей. Спасибо за прекрасно организованное и полезное мероприятие!.
Сокращение сроков реагирования оператора на запросы
Оператору нужно оперативно реагировать на запросы, поступающие от субъектов персональных сведений и Роскомнадзора. Ему нужно будет передавать субъекту информацию, которая касается обработки его персональных сведений, не позже 10-ти рабочих дней (ранее — не позже 30-ти рабочих дней). Но этот срок могут продлить на 5 рабочих дней, когда оператор направляет в адрес субъекта мотивированное уведомление с указанием причины отсрочки.
Когда субъект передает оператору требование прекратить обработку его персональных сведений, последний обязан отреагировать на обращение не позже 10-ти дней, т.е. прекратить обрабатывать информацию.
Кроме того, по обращению Роскомнадзора оператор обязан предоставить необходимые сведения не позже 10-ти рабочих дней. Срок также может быть продлен на 5 рабочих дней при отправке мотивированного уведомления.
Защита персональных данных
Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.
К исключениям относятся:
- только ФИО субъектов;
- трудовые отношения;
- договорные отношения;
- общедоступные персональные данные;
- однократные пропуска на территорию;
- когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
- транспортная безопасность.
Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.
Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.
Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).
Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.
Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.
Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:
- Положение о персональных данных;
- Приказ об утверждении положения;
- Приказ о назначении ответственного лица;
- Политика в отношении обработки и безопасности персональных данных;
- Пользовательское соглашение в приложении и на сайте;
- Инструкция ответственного за организацию обработки персональных данных;
- Приказ о выделении помещений для обработки персональных данных + правила доступа;
- Журнал учета машинных носителей информации с персональными данными.
Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.
Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.
Что входит в обязанности работодателя
С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).
Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).
Что обязан сделать работодатель:
- назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
- издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
- проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
- оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
- ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
- соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.
Как передать обработку ПД третьим лицам
Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.
В акте необходимо указать:
- перечень обрабатываемых персональных данных;
- обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
- обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
- обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).