Новые требования в работе с персональными данными работников и покупателей/клиентов

Автор: Марина Климова, профессиональный бухгалтер и независимый налоговый консультант, автор более 70 книг и многочисленных статей по проблемам бухгалтерского учёта и налогообложения, к. э. н.

Любая организация или ИП, имеющие дело с персональными данными физических лиц, считаются т. н. операторами персональных данных. А сами физические лица – субъектами персональных данных.

Законодательство, устанавливающее требования к действиям операторов, постоянно развивается с целью повышения защиты персональных данных граждан. Разберемся с главными нововведениями в этой области, касающимися широкого круга операторов персональных данных.

Уведомляйте Роскомнадзор

Роскомнадзор – это уполномоченный орган по защите прав субъектов персональных данных.

По общему правилу оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении ее осуществлять (п. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» – далее Закон № 152-ФЗ).

От этой обязанности в ряде случаев оператор освобожден. Все исключения приведены в п. 2 ст. 22 Закона № 152-ФЗ, но список исключений с 01.09.2022 г. сильно сократился. Теперь в обязанности оператора входит уведомлением Роскомнадзора о намерении обрабатывать персданные:

1. в соответствии с трудовым законодательством;
2. полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. относящиеся к членам (участникам) общественного объединения или религиозной организации;
4. разрешенные субъектом персональных данных для распространения;
5. включающие в себя только фамилии, имена и отчества субъектов персональных данных;
6. необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

Звучит туманно? Что же от вас требуется на практике?

Как только наступит начало сентября и соответствующие поправки в закон вступят в силу, подайте уведомление об обработке (намерении осуществлять обработку) вышеуказанных видов персональных данных. Сделать это можно через Портал персональных данных (pd.rkn.gov.ru), который курирует Роскомнадзор. На портале имеется форма уведомления для заполнения, но, честно говоря, сообразить, как именно заполнить ее строки, довольно трудно. Например, вы должны указать цель обработки персональных данных, описать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Законом № 152-ФЗ, и меры по обеспечению безопасности персональных данных при их обработке; указать срок или условие прекращения обработки персональных данных; привести сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации и др. Если не знаете с какой стороны подступиться, воспользуйтесь чужим опытом. На портале есть реестр операторов персональных данных. Сведения, содержащиеся в нем, являются общедоступными. Поэтому вы можете посмотреть реестровую запись, например, любой крупной компании и заполнить свое уведомление по образу и подобию.

Дополнительно можно изучить Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения», Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В дальнейшем нужно не забывать уведомлять Роскомнадзор об изменении ранее предоставленных сведений, а также в случае прекращения обработки персональных данных. Оператор обязан подать соответствующее информационное письмо, заявление в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (п. 7 ст. 22 Закона № 152-ФЗ). С 01.01.2023 сроки уведомления изменят: в случае изменения в ранее переданных сведениях об обработке персданных, оператор должен будет уведомить контролирующий орган не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения; в случае прекращения обработки персональных данных оператор обязан будет уведомить об этом Роскомнадзор в течение десяти рабочих дней с даты прекращения обработки персональных данных (п. 7 ст. 22 Закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ).

Нарушение рассмотренных требований влечет предупреждение или наложение административного штрафа на должностных лиц и ИП – 300-500 тыс. руб.; на юридических лиц – 3-5 тыс. руб. (ст. 19.7 КоАП РФ).

Сообщайте об утечках

С 01.09.2022 операторам персданных вменили обязанность взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (п. 12 – 14 ст. 19 Закона № 152-ФЗ).

Сама эта система, название которой обычно обозначают аббревиатурой ГосСОПКА, создана во исполнении требований ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации.

Если вы обнаружите утечку персональных данных граждан в результате кибератаки на ваши информационные ресурсы, нужно будет в произвольной форме сообщить об инциденте по электронной почте в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) (см. сайт Центра – cert.gov.ru).

Ответственность непосредственно за нарушение данного правила пока не предусмотрена, однако риски для оператора персональных данных зависят от последствий как самой утечки сведений по причине их недостаточной защищенности, так и безучастности к такой утечке.

Если же оператор обнаружил, что персональные данные были неправомерно или случайно переданы (предоставлены, распространены, к ним был получен доступ), что повлекло нарушение прав субъекта персданных, он обязан уведомить Роскомнадзор (п. 3.1 ст. 21 Закона № 152-ФЗ):

1. в течение 24-х часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2. в течение 72-х часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Эта обязанность также возникла с сентября 2022 г., за ее неисполнение придется отвечать по ст. 19.7 КоАП РФ.

Не отказывай в обслуживании

С учетом нового п. 3 ст. 11 Закона № 152-ФЗ предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, когда обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных на основании законодательства (к бизнесу такие случаи отношения не имеют). В законе четко зафиксировали, что оператор не вправе отказывать гражданину в обслуживании в случае его отказа предоставить биометрические персональные данные.

Биометрические персональные данные представляют собой сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (п. 1 ст. 11 Закона № 152-ФЗ).

Так, к этому виду персональных данных, в частности, относятся дактилоскопические данные, скан радужной оболочки глаз, анализы ДНК, данные о росте и весе, изображения человека (фотография и видеозапись), но только если с их помощью проводится идентификация субъекта персональных данных. Например, к биометрическим персданным относится фотографическое изображение физического лица, содержащееся в системе контроля управления доступом на предприятие, если оно используется для установления его личности при однократном или многократном входе, выходе, перемещении по территории (см. Письмо Минцифры России от 17.07.2020 № ОП-П24-070-19433). Но при этом с учетом разъяснений, данных Минкомсвязи в Письме от 28.08.2020 № ЛБ-С-074-24059, не относятся к биометрическим персональным данным:

1. Данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.), т.е. без проведения процедур идентификации (установления личности).
2. Данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность.
3. Фотографическое изображение, содержащееся в личном деле работника.
4. Подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы.
5. Рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента.
6. Материалы видеосъемки в публичных местах и на охраняемой территории, не используемые для идентификации субъекта персональных данных.

Другой новый закон – от 01.05.2022 № 135-ФЗ – внес изменения в ст. 16 Закона РФ от 07.02.1992 № 2300-I «О защите прав потребителей». Статью дополнили п. 4, запрещающим продавцу (исполнителю, владельцу агрегатора) отказывать потребителю в заключении, исполнении, изменении или расторжении договора с ним в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.

Потребитель вправе требовать, чтобы ему объяснили со ссылкой на закон причины, определяющие невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных. Если вопрос задан устно, ответ должны дать немедленно, если в письменной форме (в том числе в форме электронного документа), то в течение семи дней со дня обращения потребителя.

Эти новые положения распространили на отношения, возникшие из ранее заключенных договоров (п. 2 ст. 2 Федерального закона от 01.05.2022 № 135-ФЗ).

Заодно с 01.09.2022 ввели административное наказание за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если предоставление персональных данных является обязательным в соответствии с федеральными законами и принятыми в соответствии с ними иными НПА или непосредственно связано с исполнением договора с потребителем. За это ч. 7 ст. 14.8 КоАП РФ (с учетом ст. 2.4 КоАП РФ) установлен штраф на должностных лиц и ИП в размере 5-10 тыс. руб.; на юридических лиц – 30-50 тыс. руб.

Обновите политику по обработке персданных

Изложено в предыдущем разделе – повод для бизнеса крепко задуматься о правомерности своих действий и освежить в памяти нормы ст. 5 Закона № 152-ФЗ, определяющей принципы обработки персданных. Юрлицо – оператор персональных данных обязано издать политику в отношении обработки персональных данных, соответствующие локальные акты, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений (п. 2 ст. 18.1 Закона № 152-ФЗ). В новую редакцию этого пункта включили оговорку: «такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности». Кроме того, с помощью этих документов оператор обязан теперь разъяснить субъекту персданных не только обязательность предоставления их в силу требований закона, но и случаи, когда обязательно получение оператором согласия на обработку персональных данных, а также последствия отказа предоставить персональные данные и (или) дать согласие на их обработку (п. 2 ст. 18 Закона № 152-ФЗ в ред., действующей с 01.09.2022).

В связи с этим нужно обновить политику (политики) по обработке персданных, ЛНА, составить недостающие документы, опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (в т. ч., на сайте организации) (п. 2 ст. 18.1 Закона № 152-ФЗ).

При составлении (переработке) документа, определяющего политику оператора в отношении обработки персональных данных помогут Рекомендации Роскомнадзора (rkn.gov.ru/personal-data/p908), а также чужой опыт: очень многие крупные компании публикуют такие документы на своих сайтах. Только не забудьте учесть новые требования, о которых мы рассказали!

Почитайте дополнительно

В завершении порекомендуем два полезных документа, которые помогут проверить себя на предмет соблюдения законодательства об обработке персональных данных и подготовиться к потенциальным контрольным мероприятиям:

Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных, утв. Постановлением Правительства РФ от 29.06.2021 № 1046 (ред. от 16.12.2021) – содержит описание видов и приемом контроля. Применяется в новой редакции с 01.03.2022;

Приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами» - это, по сути, анкета с вопросами, которые будут задавать проверяющие. Можно пройти этот тест заранее и исправить огрехи. Документ применяется с 11.03.2022.