Что меняется в обработке персональных данных с 1 сентября 2022 года

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что меняется в обработке персональных данных с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Уведомление об изменении персональных данных: новый срок

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе персональных данных и уведомление об изменении представленной информации.

Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Высокая степень вреда присваивается, если:

• ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
• ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи, установленные федеральными законами для специальных категорий ПД;
• ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
• обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
• иностранному гражданину поручено вести обработку персональных данных граждан РФ;
• осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

• работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
• работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
• продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
• покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

• Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
• Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

• считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
• считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

• перечень обрабатываемых персональных данных;
• обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
• обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
• обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Статья 137 УК РФ: наказание за разглашение персональных данных

Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д. Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя. Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.

Основные меры наказания прописаны в статьях 137 и 138 УК РФ:

• за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
• за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф 100-300 тысяч рублей либо в размере полученного за прошлые 1-2 года официального дохода;
• за разглашение сведений, касающихся субъектов младше 16 лет — 150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
• за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

• в течение трех рабочих дней с момента обращения;

• или в срок, указанный в постановлении суда;

• или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Новые требования к согласию на обработку персональных данных

Появились дополнительные критерии, которым должно соответствовать согласие на обработку персональных данных.

Теперь оно должно быть не только конкретным, информированным и сознательным, а еще и предметным и однозначным. Однако Роскомнадзор уже давно указывает на то, что субъект данных должен выразить согласие однозначным действием. Поэтому поправка лишь закрепляет подход, который есть в практике.

Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Еще один подход, который уже давно выработала практика, но который теперь есть в законе: запрет отказывать в услуге из-за того, что гражданин не предоставил биометрические данные или согласие на их обработку.

Предоставление биометрических персональных данных не может быть обязательным. Какие требования теперь есть к поручению на обработку данных Теперь в поручении оператора на обработку данных должен быть перечень персональных данных.

Операторам придется выбирать: указывать широкие общие или четкие узкие категории данных. Каждый из вариантов несет свой риск. Так, в первом случае есть вероятность, что практика не будет толковать категории так же широко, как оператор и обработчик данных. Но если выбрать наиболее детальные категории, поручение вероятно придется часто редактировать, поскольку объем данных может меняться.

Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

В поручение оператора на обработку персональных данных необходимо включать и обязанности обработчика: во-первых, соблюдать требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, во-вторых, предоставлять по запросу оператора в течение срока действия поручения информацию, подтверждающую принятие мер и соблюдение установленных требований, в- третьих, информировать Роскомнадзор об инцидентах.

Кроме того, теперь, если оператор поручает обработку иностранному лицу, ответственность за его действия перед субъектом данных будут нести и оператор, и обработчик. Такая поправка повысит внимание Роскомнадзора к иностранным компаниям.

Новые требования к трансграничной передаче персональных данных

Изменения в части трансграничной передачи данных вступают в силу 1 марта 2023 года

Как осуществлять трансграничную передачу данных. Наиболее обсуждаемыми стали изменения, касающиеся трансграничной передачи. Тут новый закон действительно меняет ситуацию коренным образом. Оператор до того, как начнет трансграничную передачу, обязан уведомить об этом Роскомнадзор. Операторы, которые уже занимаются такой работой, обязаны подать уведомление не позднее 1 марта 2023 года. Новелла прямо требует направлять его отдельно от уведомления об обработке персональных данных.

Закон подробно описывает, какую информацию должно содержать уведомление. Более того, обязывает оператора получать от иностранных госорганов или лиц, которым будут передавать данные, сведения об уровне защиты прав субъектов персональных данных в этом государстве. Сделать это необходимо до того, как компания подаст в Роскомнадзор уведомление.

П. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“»

Сейчас многие компании должны выбрать: подать уведомление до 1 марта 2023 года или отложить подачу, чтобы собрать информацию и проследить, как будет развиваться практика. Пока что нет ответственности за неподачу уведомления в срок. Поэтому второй подход, хотя и рискованный, может оказаться разумным в некоторых случаях.

Однако важно помнить, что в уведомлении об обработке персональных данных компании также указывают, осуществляют ли они трансграничную передачу. Следовательно, операторы, подавшие указанное уведомление и включенные в реестр операторов персональных данных, не смогут «подождать». Оператор, когда направит уведомление, может осуществлять трансграничную передачу только в странах, которые указал в уведомлении и которые Роскомнадзор признал обеспечивающими адекватную защиту прав субъектов. Это, в частности, государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Когда Роскомнадзор не признал, что страны из уведомления обеспечивают адекватную защиту, оператор сможет передавать данные, если Роскомнадзор рассмотрит уведомление и не вынесет решение о запрете или об ограничении такой передачи. Роскомнадзор должен рассмотреть уведомление в течение 10 рабочих дней. Этот срок могут продлить, если Роскомнадзор направит запрос оператору.

Новая обязанность операторов персданных

Они должны:

• незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
• обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).

Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:

• относятся к работникам;
• принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
• нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.

Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.

Что конкретно изменится для бизнеса и покупателей.

Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».

Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.

Когда можно требовать ПД.

Персональные данные для заключения договора можно потребовать в двух случаях.

• Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
• В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.

Что по этому поводу говорит закон

Статья о неразглашении персональных данных третьим лицам содержится в ФЗ № 152 от 27.06.2006 (ст. 7). Но факт существования этой статьи не предоставляет право директору бюджетной организации по умолчанию возлагать ответственность на работников, которые имеют доступ к личным данным.

Руководитель обязан оформлять обязательства о неразглашении сведений о работниках в соответствии с Постановлением Правительства от 15.09.2008 № 687. В пункте 6 Постановления говорится, что сотрудники, которые обрабатывают данные, должны быть проинформированы, что обрабатывают именно личные данные, а также об особенностях и правилах такой работы. Последние должны быть установлены нормативными правовыми актами.

Помимо этого, для защиты личной информации работников директор бюджетной организации обязательно издает приказ, которым назначаются лица, ответственные за обработку (ч. 1 ст. 22.1 Закона № 152-ФЗ).

Другие новости компании

Все Новости компании 20 апреля 2023 Обзор изменений законодательства от 20.04.2023 Эксперты Группы представляют мониторинг законодательных нововведений в РФ за период с 11 апреля по 20 апреля 2023 года. Налоги Налоговые проверки Инвестиционный консалтинг Инвентаризация Новые ФСБУ МСФО 19 апреля 2023 Льгота на РИД: порядок предоставления льготы по налогу на прибыль пересмотрят Цель законопроекта – позволить большему количеству российских компаний оформлять права на результаты интеллектуальной деятельности и эффективно ими управлять. Подробнее об инновации – в консультации Юлии Белогорцевой, Партнера практики Инвестиционного консалтинга и оценки Группы «ДЕЛОВОЙ ПРОФИЛЬ». Оценка НМА Инвентаризация НМА 11 апреля 2023 Группа «ДЕЛОВОЙ ПРОФИЛЬ» в лидерах аудиторского рейтинга «Коммерсантъ»

ИД «Коммерсантъ» выпустил рейтинг российских аудиторских компаний по итогам 2022 года. Группа «ДЕЛОВОЙ ПРОФИЛЬ» вошла в число ведущих игроков рынка.

Похожие записи:

• Что будет если прописать человека в своей квартире постоянно
• Солидарная ответственность по долгам за коммунальные услуги в 2020 году
• Единовременная социальная выплата (ЕСВ) для сотрудников полиции в 2023 году