Персональные данные: что изменилось в законодательстве с 1 сентября 2022

С 1 сентября 2022 года вступил в силу ряд законов, предусматривающих совершенствование правовой защиты в области персональных данных и усиления государственного контроля в этой сфере.

На что обратить внимание: 5 ключевых новшеств

1. О намерении обработать персональные данные сотрудников, которые были получены в рамках трудовых отношений, нужно сообщать в Роскомнадзор, в том числе если такая информация работодателю нужна для оформления трудового договора, выплаты зарплаты, пропуска к месту работы.

Уведомить ведомство можно в электронной или бумажной форме по месту нахождения работодателя, указанному в учредительных документах и свидетельстве о постановке на налоговый учёт в ИФНС (Письмо Роскомнадзора от 19 августа 2022 № 08-75348).

В ряде случаев уведомлять Роскомнадзор не обязательно. Например, если обработка персональных данных ведётся без средств автоматизации, при работе госсистем по охране безопасности и общественного порядка, в случаях, предусмотренных законодательством о транспортной безопасности.

2. Для обработки персональных данных необходимо согласие их обладателя. Оно может быть дано в любой форме, позволяющей подтвердить факт получения. Согласие на обработку должно быть информативным, конкретным, сознательным, предметным и однозначным.

С 1 сентября 2022 ввели ряд правил для получения согласия, которое связано с заключением или исполнением договоров, обработка которых возможна без разрешения субъекта персональных данных. Чтобы обработать данные без согласия владельца, нужно, чтобы подписанный субъектом персональных данных договор отвечал ряду требований:

• не ограничивал его права и свободы;
• не допускал обработку информации о несовершеннолетних;
• не предусматривал бездействие лица в качестве условия заключения договора.

Если текст договора будет содержать такие условия, для работы с персональными данными потребуется согласие субъекта персональных данных, независимо от того, что обработка требуется для заключения или исполнения такого договора.

3. В политику обработки персональных данных необходимо внести изменения. Для каждой цели обработки нужно указать:

• категории и перечень обрабатываемых персональных данных;
• категории субъектов, данные которых обрабатываются;
• способы, сроки их обработки и хранения;
• порядок уничтожения данных после достижения целей их обработки.

Запрещено включать в документ положения, ограничивающие права субъекта персональных данных. Если данные собираются посредством интернета, на страницах сайта, где ведётся сбор, необходимо опубликовать политику их обработки.

4. Биометрия стала необязательной. Если последнее напрямую не предусмотрено законом, сотрудник вправе отказаться фотографироваться на пропуск или предоставлять отпечатки пальцев для прохода в офис, а работодатель не вправе заставить его сделать это и применять какие-либо санкции.

5. Стали строже правила обработки персональных данных третьими лицами. Операторы персональных данных при определённых условиях могут поручить их обработку третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого потребуется заключить соответствующий договор. Также обработка может происходить на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных. В акте необходимо указать:

• перечень обрабатываемых персональных данных;
• обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
• обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
• обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ. В те же сроки оператор обязан уведомить об инциденте Роскомнадзор.

Как действуют правила для иностранных компаний

Иностранные организации и физлица также должны соблюдать правила обработки персональных данных (ч. 1.1 ст. 1 Закона № 152-ФЗ). Положения закона применяются к случаям, когда персональные данные граждан РФ обрабатываются на основании договора (соглашения) или на основании согласия гражданина на обработку персональных данных.

Если российский оператор поручает обработку персональных данных иностранной организации или физлицу, ответственность перед субъектом персональных данных несёт как само лицо, так и оператор персональных данных (ч. 6 ст. 6 Закона № 152-ФЗ).

Если субъект ПД запрашивает информацию или требует прекратить обработку данных

Субъект персональных данных вправе потребовать от оператора персональных предоставить ему информацию относительно их обработки, а также потребовать прекратить обработку.

Информацию относительно обработки необходимо предоставить в течение 10 рабочих дней со дня получения запроса оператором. Срок можно продлить, но не более, чем на 5 рабочих дней и при наличии мотивированного уведомления с указанием причин продления (части 3 и 7 ст. 14 Закона № 152-ФЗ).

Сроки для прекращения обработки персональных данных по требованию их субъекта — аналогично. 10 рабочих дней (плюс 5 при наличии мотивированного уведомления). Оператор обязан прекратить обработку, а если такая функция переложена на отдельного обработчика, обеспечить перекрещение обработки. Исключение составляют случаи, когда работа с персональными данными осуществляется без согласия физлица (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Как поступить при инциденте

Работу с персональными данными контролирует Роскомнадзор. Если компания установит факт случайной или неправомерной передачи, предоставление и распространение персональных данных, нарушающих права их обладателей, они должны в установленном порядке сообщить об этом в ведомство.

В течение 24 часов с момента выявления инцидента оператор должен уведомить Роскомнадзор об инциденте, сообщить о его возможных причинах и предполагаемых негативных последствиях для субъекта персональных данных. Также следует сообщить о принятых мерах по устранению последствий произошедшего и данные о контактном лице.

В течение 72 часов в Роскомнадзор следует сообщить об итогах внутреннего расследования происшествия и лицах, действия (бездействия) которых послужили причиной инцидента.

О компьютерных сбоях, которые повлекли неправомерную передачу персональных данных, следует сообщать через госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Какая ответственность предусмотрена

Работодатели несут ответственность за неуведомление (несвоевременное уведомление) Роскомнадзора о планируемой обработке персональных данных. Статьёй 19.7 КоАП РФ предусмотрены штрафы:

• для физлиц — 100 — 300 рублей;
• для организаций — от 3 до 5 тысяч рублей;
• для должностных лиц — от 300 до 500 рублей.

За нарушения в работе с персональными данными Роскомнадзор вправе наложить штраф (ст. 13.11 КоАП РФ).

Таблица 1. Штрафы за нарушение в работе с ПД 2022

При повторных нарушениях размеры штрафов увеличиваются.