Изменения для распространения персональных данных граждан
Как избежать штрафов и что нужно знать о новых поправках
Владельцы сайтов, которые размещают на сайте формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные.
С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 «О персональных данных».
Появились новые требования к Политике по обработке персональных данных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства.
Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.
Никита Володин
Консультант консалтинговой компании Б-152
Никита Володин, консультант компании Б-152, рассказывает, что нужно сделать владельцам сайтов, чтобы организовать сбор и обработку персональных данных и не нарушить новые требования закона.
Операторов персональных данных. Оператор собирает и обрабатывает персональные данные, например, электронные адреса для рассылки. Оператором могут быть физические и юридические лица.
Определение из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Любые данные о человеке, по которым его можно опознать. Точного перечисления таких данных в законе нет, но, например, если сведения о музыкальных предпочтениях человека без дополнительной информации нам ни о чём не говорят, то электронная почта — это уже персональные данные.
Определение из закона 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные можно получать через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. В первом случае человек сам передаёт вам свои данные, например, для оформления заказа. Чаще всего это:
- email;
- телефон;
- имя, фамилия, отчество;
- адрес;
- дата рождения;
- фотография;
- ссылка на персональный сайт и профиль в соцсетях.
Автоматически персональные данные посетителей сайта собираются при помощи cookie. Cookie — это файл с данными, который сохраняется на компьютере пользователя после посещения сайта. В куки могут храниться:
- данные о местоположении человека;
- IP-адрес;
- информация о действиях на сайте;
- добавленные в корзину товары и так далее.
Владельцы сайтов могут использовать файлы куки, например, для показа таргетированной рекламы или отправки напоминаний об оставленных в корзине товарах. Так как перечня персональных данных в законе нет, нельзя точно сказать, входят ли куки в понятие «персональных данных». Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.
Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.
Определение из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов
Создайте политику обработки персональных данных и разместите её на отдельной странице сайта
На сайте, где собираются данные пользователей, обязательно нужно разместить Политику обработки персональных данных. Это документ, в котором описано, какие именно данные и для какой цели вы собираете, как храните и обрабатываете, а также кому вы можете передавать эти данные. Политика обязательно должна содержать:
- ссылку на сайт, к которому она применяется;
- ФИО или название организации, которая получает согласие посетителя сайта;
- цели обработки персональных данных.
Целью может быть отправка пользователям рассылки или предоставление доступа к образовательным материалам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Для каждой цели укажите:
- кто передаёт вам данные (категории субъектов персональных данных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии;
- категории и перечень данных о пользователях, которые вы получаете;
- способы и сроки обработки и хранения данных,
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей.Добавьте ссылку на политику обработки персональных данных в футер сайта
Политика должна быть доступна на каждой странице, где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.
Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных
Под каждой формой сбора персональных данных добавьте уведомление о том, что вы собираете персональные данные пользователей.
Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст «Даю согласие на обработку своих персональных данных». Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст.
Если нет — на отдельной странице сайта разместите текст согласия на обработку персональных данных и добавить на него ссылку под форму.
https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=ygVt0JjQt9C80LXQvdC10L3QuNGPINC00LvRjyDRgNCw0YHQv9GA0L7RgdGC0YDQsNC90LXQvdC40Y8g0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSDQs9GA0LDQttC00LDQvQ%3D%3D
В согласии на обработку персональных данных должны быть:
- наименование или ФИО и адрес оператора, получающего согласие;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых пользователь даёт согласие;
- перечень действий с персональными данными и способы их обработки;
- если вы поручаете обработку персональных данным сторонним лицам или компаниям, укажите их адрес, наименование или ФИО;
- срок, в течение которого действует согласие, а также способ как можно его отозвать.
Пример согласия на обработку персональных данных
Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 60 до 100 тысяч рублей за первое нарушение и от 100 до 300 тысяч — за повторное (ст.13.11 КоАП РФ).
В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.
Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie
Файлы cookie считаются персональными данными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие.
Для этого на баннере добавьте кнопку «согласен» или пропишите в тексте предупреждения, например: «используя сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики».
В текст добавьте ссылку на политику обработки персональных данных. Если пользователь не хочет, чтобы эти его данные обрабатывались, он должен покинуть сайт.
В библиотеке блоков Тильды уведомление об использовании куки находятся в категории другое. Это блоки: T657, T886 и T887
Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора
Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.
В законе есть три исключения, когда можно не подавать уведомление:
- когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там;
- когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.
Создайте регламент ответов на запросы посетителей сайтаПользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.
Подготовьтесь к таким запросам заранее и закрепите во внутренних документах срок ответа. Если человек потребует прекратить обработку его персональных данных — оператор обязан это сделать также в течение 10 дней.
Если компания проигнорирует запрос пользователя или ответит после окончания положенного срока, её оштрафуют на сумму от 40 до 80 тысяч рублей.
С 1 сентября 2022 года пользователь также имеет право не предоставлять персональные данные, которые не нужны для исполнения договора. Например, если покупатель оформляет у вас доставку товара в пункт выдачи, а вы запрашиваете его домашний адрес, человек может не предоставлять вам эти данные.
Если вы откажете пользователю в доставке, то есть в исполнении договора, и он потребует объяснить, почему это произошло, нужно ответить в короткие сроки: на письменный запрос — в течение 7 дней, на устный — незамедлительно.
https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=YAHIAQE%3D
Это изменение будет особенно актуально для владельцев интернет-магазинов, поэтому им необходимо:
- определить, какие персональные данные обязательны для исполнения договора купли-продажи, чаще всего это публичная оферта на сайте;
- обосновать, зачем обрабатывается такое количество персональных данных;
- исключить из оферты сбор данных, которые не используются для исполнения договора.
Выше мы рассказали о действиях, которые необходимо выполнить всем владельцам сайтов, чтобы избежать штрафов. Далее расскажем о том, что актуально для тех, кто передаёт данные на территорию иностранного государства, или поручает обработку данных третьим лицам.
Подайте уведомление в РКН о трансграничной передачи персональных данных
Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства: органу власти, иностранному физическому или юридическому лицу.
Например, если компания помогает найти обучение за рубежом, для этого получает данные граждан России и передаёт их в иностранные школы, это считается трансграничной передачей.
К ней также относится использование сервисов, чьи базы данных расположены за границей (Mailchimp, Notion, Zoho CRM, Trello и другие).
С 1 марта 2023 года до начала трансграничной передачи нужно подать уведомление в РКН. Если после подачи уведомления прошло 10 рабочих дней и вы не получили ответ — можно осуществлять такую передачу. Ответ придёт только в случае запрета или ограничения передачи данных иностранному оператору.
Если вы ранее подали уведомление о трансграничной передачи, повторно отправлять его не нужно.
Также проверьте, в какие страны вы планируете передавать данные. Все страны мира, в соответствии с Приказом Роскомнадзора, делятся на обеспечивающие «адекватную» защиту персональных данных и не обеспечивающие.
К странам, обеспечивающим адекватную защиту персональных данных, относятся Болгария, Польша, Литва, Словения и другие подписанты Евроконвенции, а также отдельные страны по приказу Роскомнадзора. К «неадекватным» — все остальные.
Проверьте поручение на обработку персональных данныхЕсли вы поручаете обработку персональных данных другой компании, это должно быть прописано в договоре с ней. Поручать обработку можно, например, маркетинговым агентствам или дата-центрам — чаще всего это компании, которые работают на аутсорсе.
В тексте поручения на обработку персональных данных нужно прописать:
- перечень персональных данных;
- все планируемые с ними действия;
- цели обработки персональных данных;
- гарантии соблюдения конфиденциальности и безопасности персональных данных;
- обязанность обработчика по запросу оператора предоставлять сведения о соблюдении требований конфиденциальности и безопасности;
- обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных на территории РФ;
- все требования к защите персональных данных, содержащиеся в ст. 18 и ст. 19 ФЗ № 152.
Отсутствие поручения в договоре с подрядчиком может привести к штрафу от 60 до 100 тысяч рублей, а в случае повторного нарушения — от 100 до 300 тысяч рублей.
Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.
Что нужно еще сделать компаниям:
Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.
Список необходимых нормативных документов по защите персональных данных
Подписать с сотрудниками согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
Если произошла утечка персональных данных, оператор теперь обязан в течение 24 часов уведомить РКН: сообщить предполагаемые причины утечки и оценить вред.
Затем в течение 72 часов провести расследование инцидента и сообщить о его результатах.
В Минцифры готовят законопроект о внесении изменений в Кодекс административных правонарушений, согласно которым за утечки персональных данных компании будут штрафовать в размере до 3% от годовой выручки.
https://www.youtube.com/watch?v=30j9x_muPno\u0026pp=ygVt0JjQt9C80LXQvdC10L3QuNGPINC00LvRjyDRgNCw0YHQv9GA0L7RgdGC0YDQsNC90LXQvdC40Y8g0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSDQs9GA0LDQttC00LDQvQ%3D%3D
Защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Всё это прописано в приказе № 21 Федеральной службы по техническому и экспортному контролю.
- Определите, какие персональные данные собираются на сайте.
- Добавьте ссылку на политику обработку персональных данных в подвал сайта.
- Проверьте, чтобы под формами сбора персональных данных на сайте был чек-бокс с предупреждающим текстом о том, что пользователь соглашается на обработку персональных данных. В тексте должна быть ссылка на пользовательское соглашение или согласие на обработку персональных данных.
- Разместите на сайте уведомление об использовании cookie.
- Если вы не подали уведомление об обработке персональных данных в реестр операторов — сделайте это.
- Разработайте регламент реагирования на запросы пользователей и проведите тренинг для сотрудников, обрабатывающих персональные данные.
- Если у вас интернет-магазин, проверьте содержание оферты и формы на предмет «избыточных» персональных данных.
- Если вы планируете осуществлять трансграничную передачу персональных данных — подайте уведомление в РКН.
- Если вы юрлицо — разработайте пакет внутренних документов по защите персональных данных, подпишите согласие с сотрудниками на обработку персональных данных, защитите данные необходимыми мерами.
Никита ВолодинИллюстрации, дизайн и верстка: Юлия Засс
Если материал вам понравился, расскажите о нем друзьям. Спасибо!
Изменения по персональным данным с 01.03.2023
Обработка персональных данных в 2023 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.
Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.
Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.
Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных».
С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.
Уведомление об изменении персональных данных: новый срок
С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.
Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.
Уничтожение персональных данных: новые правила
С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.
С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:
- актом об уничтожении персональных данных;
- выгрузкой из журнала регистрации событий в информационной системе персональных данных.
К сведению
Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.
- Обязательные реквизиты акта об уничтожении персональных данных
- Обязательные реквизиты выгрузки
СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023
СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023
Оценка степени вреда: новый порядок
С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).
Степени вреда всего 3 (три):
- высокая;
- средняя;
- низкая.
Таблица. Какие персданные к какой степени вреда относятся
Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.
СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023
Передача персональных данных за границу
С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.
А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.
Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.
Обратите внимание
Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.
Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/
Ркн ужесточает проверки
Также см. «К кому придут с проверкой в 2023 году».
За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).
Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).
Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.
Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.
2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.
РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.
Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).
Образцы документов, которые нельзя игнорировать в 2023 году
Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:
Название документа | Ссылка на скачивание |
Положение о работе с персональными данными работников | СКАЧАТЬ |
Положение о порядке уничтожения персональных данных | СКАЧАТЬ |
Приказ о создании комиссии по уничтожению документов с персональными данными | СКАЧАТЬ |
Общая форма согласия на передачу и обработку персональных данных | СКАЧАТЬ |
Согласие на обработку персональных данных на сайте | СКАЧАТЬ |
Обязательство о неразглашении персональных данных | СКАЧАТЬ |
Видео по теме
Распространять персональные данные граждан по-старому больше не получится
Партнер юридической компании «Гареев, Махно и Касьян» Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.
С 1 марта 2021 г. компании и ИП обязаны соблюдать новые правила сбора и размещения персональных данных в открытом доступе. Нововведения способны ощутимо усложнить жизнь предпринимателей
С 1 марта 2021 г. в нашей стране введен новый порядок распространения персональных данных граждан1. В статье мы расскажем об этих изменениях и рассмотрим проблемы, которые могут возникнуть у предпринимателей уже сейчас.
Персональные данные (ПД) – это любая информация о человеке: Ф.И.О., дата рождения, паспортные данные, адрес, e-mail и т.д.
Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.
Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.
Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.
ПД, размещенные в открытом доступе, – это ПД, размещенные в интернете, доступ к которым предоставлен всем желающим без необходимости регистрации на сайте.
Да, если соблюдено одно из указанных условий.
- На вашем сайте в открытом доступе размещаются ПД.
- Вы собираете и структурируете ПД, размещенные в открытом доступе.
- Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе. Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.
Нет, если соблюдено одно из указанных условий.
- На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД. Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее. Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.
- Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2. Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.
- Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.
1.
Законность распространения ПД подтверждалась несколькими способами.
- Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте4. Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.
- Заключение договора с лицом, по которому компания распространяла ПД в его интересах. В этом случае согласие не требовалось5. Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.
2.
Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно6.
Пример: гражданин получил на свой e-mail именное предложение оформить кредит. Он обращается письменно в банк (к оператору) с требованием уничтожить ПД как полученные незаконно и ссылается на то, что никогда не передавал свои ПД в этот банк и не заключал с ним договор.
3. Если оператор получал от лица отзыв согласия на обработку ПД, у него было 30 дней на то, чтобы прекратить обработку ПД и уничтожить их7.
Введено новое понятие – ПД, разрешенные субъектом ПД к распространению.
Под этим термином закон понимает ПД, к которым лицо предоставило доступ неограниченному кругу лиц путем дачи согласия на обработку персональных данных, разрешенных для распространения (далее – согласие на распространение)8.
Это означает, что установлен отдельный порядок регулирования распространения ПД, который не соответствует общему порядку регулирования обработки ПД.
Если раньше для распространения ПД достаточно было получить общее согласие на обработку ПД, то теперь для этого нужно получить отдельное согласие.
Иными словами, оператор должен получить:
- согласие на обработку ПД, по которому сможет собирать, систематизировать, хранить и осуществлять иные действия с ПД;
- отдельное согласие на распространение ПД, без которого распространение ПД будет незаконным.
- Законность распространения ПД и их сбора из открытых источников подтверждается исключительно наличием согласия на распространение.
- Если ранее оператор мог законно распространять ПД путем получения согласия на обработку ПД, заключения договора или сбора ПД из открытых источников, то теперь законное условие одно – получение отдельного согласия на распространение ПД9.
- Установлены требования к оформлению согласия на распространение ПД.
1.
Требования к содержанию согласия на распространение ПД должны быть в ближайшее время приняты Роскомнадзором10. С текстом проекта приказа Роскомнадзора можно ознакомиться на сайте: regulation.gov.ru.
Форма согласия на распространение ПД, которую предлагает Роскомнадзор, на наш взгляд, перегружена лишней информацией. Например, оператор должен будет указывать в согласии свои коды по классификаторам (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). Каким образом знание этих кодов может помочь лицу в спорах с оператором – непонятно.
2.
В форме согласия на распространение ПД оператор обязан дать возможность лицу предусмотреть:
- перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение11;
- запрет на распространение и предоставление ПД неограниченному кругу лиц12;
- запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
- условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.
Чтобы соответствовать этим требованиям, операторам придется потратиться на создание на своих сайтах отдельных форм согласий, которые будут учитывать все возможные варианты запретов и ограничений.
При этом обыватели часто не знают, что такое ПД и какие у них есть права относительно обработки их ПД. Непонятно, как они самостоятельно смогут заполнить такое согласие и не допустить ошибок.
3. Согласие на распространение ПД может быть получено оператором непосредственно или с использованием информационной системы Роскомнадзора13.
Согласие оператор может получить от лица в письменной форме или через специальную онлайн-форму на своем сайте. При этом молчание или бездействие лица не являются согласием на распространение ПД14.
Информационная система Роскомнадзора должна заработать с 1 июля 2021 г. Пока она находится на стадии разработки, и о ней ничего не известно, а разъяснений со стороны Роскомнадзора нет. Поэтому комментировать данную норму еще рано.
4. Оператор обязан не позднее 3 рабочих дней с момента получения согласия на распространение ПД опубликовать информацию:
- об условиях обработки ПД;
- об условиях обработки ПД неограниченным кругом лиц15;
- о наличии запретов на обработку ПД.
Согласно м Роскомнадзора, озвученным на дне открытых дверей 28 января 2021 г., данная информация должна быть опубликована оператором на своем сайте таким образом, чтобы доступ к документу был у всех желающих. Как мы указывали выше, письменных разъяснений нет, и нам остается довериться данной позиции.
Так как четкие требования к форме согласия не установлены, возникает риторический вопрос: в каком объеме должны быть раскрыты ПД в данном документе, чтобы лицо нельзя было спутать с тезкой? Такой пример: на сайте размещены ПД двух человек, Ф.И.О. которых идентичны. При этом один из них разрешает распространять все свои ПД, а другой – только Ф.И.О. и номер телефона. Как стороннее лицо должно определять, к кому из них относятся те или иные условия обработки ПД?
Что делать оператору, если согласие на распространение ПД составлено некорректно?
1.
Если из текста документа не следует, что лицо согласно на распространение ПД, то такие ПД должны обрабатываться оператором без права распространения16. Данный пункт позволяет сделать вывод о том, что малейшее сомнение в правильности оформления согласия будет трактоваться не в пользу оператора.
2.
Если из текста согласия на распространение ПД не следует, что субъект ПД не установил запреты и условия обработки ПД или он не указал перечень и категории ПД, в отношении которых установлены запреты и условия, то такие ПД должны обрабатываться оператором без права распространения и предоставления неограниченному кругу лиц17. Это означает, что если есть сомнения в правильности установления лицом запретов или условий обработки ПД, то оператор обязан обрабатывать ПД без их раскрытия неограниченному кругу лиц.
Порядок прекращения распространения ПД.
1.
Если ранее оператор должен был прекратить обработку ПД в течение 30 дней с момента получения от лица отзыва согласия, то сейчас он должен прекратить распространение, предоставление ПД и закрыть доступ к ним в любое время по требованию лица18.
Согласие на распространение ПД прекращает действовать с момента, когда оператор получил такое требование19. При этом в законе не определена форма требования. Скорее всего, оно может быть оформлено как письменно, так и в электронном виде.
Возникает вопрос: что делать оператору, если требование было получено на e-mail ночью или в выходной день? Формально он должен удалить ПД с сайта немедленно, поскольку согласие больше не действует. Такой порядок может привести к недобросовестному поведению со стороны граждан (субъектов ПД).
2.
Субъект ПД вправе обратиться к любому лицу, обрабатывающему его ПД, т.е. не только к оператору, которому было дано согласие на распространение ПД, но и к другим лицам, которые стали обрабатывать ПД в последующем. Гражданин вправе требовать от таких лиц:
- прекратить распространение ПД, или
- прекратить предоставление ПД и доступ к ним в случае, если такое лицо не соблюдает требования, установленные ст. 10.1 Закона о персональных данных (особенности обработки ПД, разрешенных субъектом ПД для распространения), или
- обратиться в суд.
В случае такого обращения лицо, обрабатывающее ПД, обязано прекратить распространение, передачу ПД и доступ к ним:
- в течение 3 рабочих дней с момента получения требования, или
- в срок, указанный в решении суда, или
- в течение 3 рабочих дней с момента вступления в силу решения суда20.
Если раньше обязанность доказать незаконность обработки ПД лежала на гражданине (субъекте ПД), то сейчас «обработчик и распространитель» ПД должен доказать законность распространения или обработки ПД.
Закон прямо указывает, что лицо должно доказать законность последующего распространения или обработки ПД в случае, если ПД были раскрыты неопределенному кругу лиц субъектом без предоставления оператору согласия21.
Это означает, что если субъект сам раскрыл свои ПД на сайте оператора, то ответственность несут только те лица, которые взяли ПД с указанного сайта и продолжают распространять или обрабатывать ПД.
Возникает вопрос: как оператор будет доказывать тот факт, что ПД были распространены субъектом самостоятельно? Здесь также есть шанс, что субъекты ПД будут злоупотреблять своими правами.
Закон указывает, что если ПД были раскрыты неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, то лицо, в последующем распространяющее или обрабатывающее ПД, обязано доказать законность распространения или обработки ПД.
Что делать компаниям, которые собирают ПД из открытых источников?
До 1 марта 2021 г. действовала норма, согласно которой не требовалось получать согласие на обработку ПД лица, если ПД размещались в открытом доступе самим лицом или по его просьбе. Такие ПД назывались «персональными данными, сделанными общедоступными субъектом ПД».22 Пример: компания собирает ПД о конкретном лице на странице социальной сети для его оценки как потенциального клиента банка.
Обработка персональных данных с 1 сентября 2022 года: что поменялось
- Главная →
- Журнал →
- Бизнес →
- Риски
24 августа 2022 80 736 83
В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.
Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.
Его слова подтверждаются громкими новостями из открытых источников.
Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».
С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Отчитаться
В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:
- Ф.И.О.;
- дата рождения;
- адрес регистрации и адрес проживания;
- паспортные данные, СНИЛС, ИНН;
- номер телефона;
- e-mail;
- адрес страницы в соцсетях;
- контакт в мессенджере.
То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД.
По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).
ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.
3 ст. 6 152-ФЗ).
ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).
Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.
По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.
С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).
Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне
Попробовать
С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.
- В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).
- Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
- Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
- Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
- Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
- Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
- ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
- Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).
Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.
Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.
В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).
Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Попробовать
За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).
С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).
Предприниматель по Закону от 01.05.
2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.
Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.
Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.
Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).
Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).
Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.