Изменения в обработке персональных данных с 1 сентября 2022 года

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Изменения в обработке персональных данных с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
• персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

• перечень обрабатываемых персональных данных;
• обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
• обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
• обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.

Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.

Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• получаемых и обрабатываемых в рамках трудового законодательства;
• получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
• относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
• разрешенных физлицом для распространения;
• включающих в себя только фамилии, имена и отчества физлиц;
• необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

1. обследование;

2. моделирование угроз;

3. разработка технического задания;

4. проектирование системы защиты;

5. реализация технической части системы защиты;

6. реализация организационных мер;

7. оценка эффективности принятых мер;

8. аттестация;

9. поддержание необходимого уровня защиты в процессе эксплуатации.

Главные требования к мерам по защите персональных данных в организации

Характерным для действующей нормативно-правовой базы РФ в сфере информационной безопасности является предоставление права компаниям и предпринимателям самостоятельно решать, как предупреждать незаконные действия с используемыми ПДн. Есть, конечно, исключения, например, в обязательном порядке в организации должен быть назначен сотрудник, несущий ответственность за соблюдение мер защиты. В остальном можно выбирать те средства, которые:

• будут достаточными, чтобы не дать злоумышленникам или неуполномоченным сотрудникам совершать какие-либо действия с конфиденциальными сведениями;
• позволят эффективно выполнять поставленные рабочие задачи;
• будут соответствовать ФЗ-152 и другим нормативно-правовым актам, регулирующим работу операторов ПДн;
• будут учитывать особенности используемой информационной системы.

Что прописано в ФЗ-152?

Даже если всю работу по построению системы защиты ИСПДн будут выполнять аутсорсеры, руководителю нужно быть в курсе основных положений ФЗ-152 по данному вопросу. Необходимая информация представлена в Статье 19, в частности, там указано, что:

1. на оператора возлагается обязанность предупреждать любые риски, связанные с неправомерными операциями с ПДн на всех этапах обработки;
2. должны быть четко установлены угрозы безопасности и предприняты меры (технические и организационные) по их нейтрализации;
3. нужно разработать процедуру анализа соответствия СЗ потенциальным рискам;
4. все носители ПДн должны быть учтены и защищены от несанкционированного физического и информационного воздействия;
5. требуется четкий план действий на случай взлома сервера, хакерской атаки, корпоративного шпионажа, в том числе должны быть продуманы способы и порядок восстановления утраченных либо поврежденных сведений;
6. любая операция с ПДн должна фиксироваться, а процесс соблюдения принятых мер безопасности — контролироваться ответственным за это работником;
7. необходимо четко придерживаться установленных Правительством РФ правил в отношении ПДн разного уровня защищенности и требований к материальным носителям биометрической информации;
8. система безопасности должна постоянно модернизироваться — по желанию операторы могут пользоваться дополнительными средствами и методиками, если это не противоречит основному закону в отношении ПДн.

Коллективный договор

Не требуется согласия работников и членов их семей (а также бывших работников и членов их семей) на обработку их ПД, которая необходима для выполнения нанимателем и профсоюзной организацией нанимателя обязанностей, предусмот­ренных коллективным договором.

Логика рассуждений должна быть следующей.

По общему правилу, закрепленному в абз. 8 ст. 6 и абз. 3 п. 2 ст. 8 Закона от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) не требуется согласие субъекта на обработку его ПД в процессе трудовой (служебной) деятельности в случаях, предусмот­ренных законодательством.

Наниматель вправе устанавливать дополнительные трудовые и иные гарантии для работников по сравнению с законодательством о труде (ст. 7 ТК).

При организации труда работников наниматель должен исполнять обязанности, вытекающие из законодательства, локальных правовых актов и трудовых договоров (ст. 55 ТК).

Как правило, дополнительные трудовые и иные гарантии для работников устанавливаются в коллективном договоре организации. Именно в нем часто предусмотрены обязательства по оказанию материальной помощи (в т.ч. бывшим работникам), выплаты к праздничным и юбилейным датам, организация оздоровления, добровольное медицинское страхование и т.п.

Все работники (в т.ч. впервые принятые) должны быть ознакомлены нанимателем с действующими у него коллективными договорами (ст. 373 ТК), что соответствует принципу прозрачности обработки персональных данных.

Что относится к персональным данным

Под личной информацией подразумевается любые данные, которые относится к человеку, как субъекту, определяемому принятым законодательством РФ «О персональных данных» № 152-ФЗ (п. 1 ст. 3) от 27.07.2006 года.

Данный ФЗ не разъясняет, какие данные включаются в этот термин. К таким сведениям можно отнести:

• ФИО сотрудника.
• Дата рождения.
• Данные паспорта.
• Адрес проживания.
• ИНН.
• Номер СНИЛС.
• Образование.
• Трудовой стаж.

Это наименьшая информация о человеке, которая предоставляется при устройстве на предприятие. В процессе труда к списку прибавляется дополнительная информация:

• Обязанности по трудовому контракту.
• Информация о состоянии воинского учета.
• Наличие социальных льгот.
• Информация о наказаниях и вознаграждениях.
• Отчеты для статистических структур и т.д.

Накапливаемые данные сохраняются в личном деле работающего. Вся информация о работающем регламентируется ФЗ № 152, который обязан соблюдаться учреждением, нанимающим работников для работы с личной информацией.

Ниже приведен образец документа на согласие обработки личных сведений.

Закон не имеет границ

Новой нормой (ч. 1.1. ст. 1), дополнившей Федеральный закон № 152-ФЗ, закреплен принцип экстерриториальности применения указанного закона. Теперь его требования должны соблюдаться иностранными операторами в случаях, когда они обрабатывают персональные данные наших граждан на основании договора, иных соглашений либо на основании согласия гражданина Российской Федерации на их обработку. Интересно, что данная новелла схожа с аналогичными требованиями европейского законодательства.

Несмотря на то, что формально новая норма регулирует положение иностранных операторов, ее введение также может косвенно повлиять и на деятельность российских. Ведь теперь компаниям при построении отношений с зарубежными партнерами необходимо будет исходить из новых условий, в частности, принимать меры, чтобы их контрагенты заранее понимали, что обязаны соблюдать требования российского законодательства, когда обрабатывают персональные данные российских граждан.

Похожие записи:

• Заявление о наложении ареста на денежные средства
• Пошаговая инструкция «Раздел лицевых счетов в квартире»
• Почти все, что вы хотели знать о льготах для студентов в 2023 году