Что ждет россиян при обработке персональных данных с 1 сентября 2022 года?
В первый день осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Требования к работе с персональными данными ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.
Ранее заместитель главы Роскомнадзора Милош Вагнер говорил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян.
«С начала года произошло более 40 крупных утечек, в результате которых скомпрометировано свыше 300 млн записей», — отметил замглавы Роскомнадзора Милош Вагнер в ходе заседания Общественного совета Роскомнадзора.
По его словам, недавно принятые поправки к закону о персональных данных дают россиянам больше возможностей для защиты персональных данных.
«У операторов персональных данных также появились новые обязанности, направленные в первую очередь на повышение прозрачности их деятельности», — сказал Вагнер.
Как регулируется обработка персональных данных?
В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным.
Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:
- Ф.И.О.;
- дата рождения;
- адрес регистрации и адрес проживания;
- паспортные данные, СНИЛС, ИНН;
- номер телефона;
- e-mail;
- адрес страницы в соцсетях;
- контакт в мессенджере.
По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД). ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п. 3 ст. 6 152-ФЗ).
ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ). Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ. По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.
С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).
Что меняется для операторов и обработчиков персональных данных?
С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.
В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).
Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).
Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.
Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД. В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).
Как уведомить Роскомнадзор о сборе персональных данных
Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде;
- в электронном виде с использованием усиленной квалифицированной электронной подписи;
- в электронном виде с использованием средств аутентификации ЕСИА.
Получив от компании уведомление, Роскомнадзор в течение 30 дней внесет ее в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли та или иная компания осуществляет сбор и обработку его сведений или нет.
Штрафы за неуведомление Роскомнадзора
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Источник Информер
