29.08.2022 10:23
6962

Что ждет россиян при обработке персональных данных с 1 сентября 2022 года?

Что ждет россиян при обработке персональных данных с 1 сентября 2022 года?В первый день осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Требования к работе с персональными данными ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

Ранее заместитель главы Роскомнадзора Милош Вагнер говорил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян.

«С начала года произошло более 40 крупных утечек, в результате которых скомпрометировано свыше 300 млн записей», — отметил замглавы Роскомнадзора Милош Вагнер в ходе заседания Общественного совета Роскомнадзора.

По его словам, недавно принятые поправки к закону о персональных данных дают россиянам больше возможностей для защиты персональных данных.

«У операторов персональных данных также появились новые обязанности, направленные в первую очередь на повышение прозрачности их деятельности», — сказал Вагнер.

Было скомпрометировано свыше 300 миллионов записей. Его слова подтверждаются новостями из открытых источников. Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

Как регулируется обработка персональных данных?

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным.

Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

- Ф.И.О.;

- дата рождения;

- адрес регистрации и адрес проживания;

- паспортные данные, СНИЛС, ИНН;

- номер телефона;

- e-mail;

- адрес страницы в соцсетях;

- контакт в мессенджере.

К персональным данным относится информация, которая позволяет установить личность — субъект ПД.

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД). ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п. 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ). Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ. По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

Что меняется для операторов и обработчиков персональных данных?

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).

Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.

Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.

Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).

Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.

Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).

ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).

Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД. В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

- наименование компании (ФИО ИП) и ее адрес;

- цель обработки персональных данных (например, заключение трудовых договоров);

- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);

- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);

- правовое основание обработки персональных данных;

- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);

- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;

- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;

- предполагаемая дата начала обработки персональных данных;

- срок или условие прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;

- сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

- в бумажном виде;

- в электронном виде с использованием усиленной квалифицированной электронной подписи;

- в электронном виде с использованием средств аутентификации ЕСИА.

Получив от компании уведомление, Роскомнадзор в течение 30 дней внесет ее в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли та или иная компания осуществляет сбор и обработку его сведений или нет.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Подписывайтесь на наш телеграм-канал «БИЗНЕС Крым» https://t.me/businesskrim, чтобы быть в курсе всех новостей и событий!