Персональные данные: что учесть бизнесу с 1 сентября?

1 сентября 2022 года вступили в силу изменения в Федеральный закон «О персональных данных». Изменения затрагивают широкий круг вопросов и повлияют на обязанности многих компаний.

Рассказываем подробно о каждом нововведении:

Уведомление об обработке персональных данных

Пожалуй, одним из наиболее важных изменений является нововведение о подаче уведомлений об обработке персональных данных.

Все операторы персональных данных обязаны подать в Роскомнадзор уведомление о том, что они обрабатывают персональные данные, указать категории этих данных и другую информацию. До вступления поправок в силу, Федеральный закон «О Персональных данных» предусматривал ряд исключений, когда компаниям не нужно подавать уведомление:

·        Если компания обрабатывает данные своих работников;

·        Если компания обрабатывает данные своих клиентов (иными словами, использует персональные данные только в целях исполнения договоров с контрагентами);

·        Если компания обрабатывает персональные данные физических лиц, которые разрешили их распространять (общедоступные данные);

·        Если используются данные физического лица – только ФИО;

·        Если обработка персональных данных необходима для однократного пропуска на территорию (например, данные посетителей заносятся в журнал).

 

После вступления поправок в силу все перечисленные исключения перестают действовать. Иными словами, теперь уведомление обязаны подавать абсолютно все компании, которые обрабатывают персональные данные. Поскольку в каждой компании есть сотрудники и контрагенты, можно сказать, что уведомление должны подать все юридические лица.

Единственное исключение, которое остается – уведомление подавать не нужно, если организация для обработки персональных данных не использует средства автоматизации.

Средства автоматизации – любые электронные устройства, с помощью которых можно собирать, хранить, передавать персональные данные.

 

Пример – если в компании ведется учет посетителей путем заполнение бумажного журнала – это обработка без использования средств автоматизации.

Если компания хранит данные на жестком диске компьютера или на сервере – это автоматизированная обработка.

Алгоритм действий:

1. Перед заполнением формы мы рекомендуем выполнить минимальные организационные требования к обработке персональных данных - разработать и внедрить в компании локальные акты по вопросам персональных данных, а также подготовить согласия на обработку персональных данных для сотрудников и контрагентов, подписать их.

Примерный перечень локальных актов по обработке персональных данных можно найти на сайте Роскомнадзора. Список достаточно большой, но не обязательно делать все за раз – создавайте и внедряйте локальные акты поэтапно. Начать можно с политики обработки персональных данных в компании.

2.Заполните форму уведомления на сайте Роскомнадзора и отправьте в ведомство.

Локальные акты компании по вопросам обработки персональных данных

Устанавливаются новые требования к содержанию локальных актов. Теперь после перечисления целей обработки персональных данных для каждой цели нужно указать:

·        категории и перечни обрабатываемых данных;

·        категории субъектов данных;

·        способы и сроки обработки данных, их хранения;

·        порядок уничтожения данных.

Кроме того, установлены новые требования к размещению локальных актов на сайте компании. Политика обработки персональных данных должна быть доступна на тех разделах сайта, где непосредственно осуществляется сбор персональных данных (например, в разделах с формами, которые пользователи могут заполняют, оставляя свои персональные данные).

Алгоритм действий:

1. Проводим ревизию локальных актов, утвержденных в компании, вносим изменения.

2. Проверяем, чтобы локальные акты, регулирующие обработку персональных данных на сайте компании, были опубликованы в соответствующих разделах.

Утечка персональных данных

Введены новые требования, которые компания должна выполнить в случае обнаружения факта неправомерной передачи (утечки) персональных данных:

·        В течение 24-х часов уведомить Роскомнадзор об инциденте, его причинах, нанесенном вреде, принятых мерах. В этот же срок необходимо предоставить сведения о лице, с которым Роскомнадзор сможет взаимодействовать по вопросу утечки.

·        В течение 72-х часов предоставить сведения о результатах внутреннего расследования инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Новые требования к поручению на обработку персональных данных

Иногда случаются ситуации, когда компании - оператору персональных данных необходимо передать персональные данные другой компании (например, субподрядчику, для оказания услуг). Законом такая передача допускается, однако есть ряд требований, которые необходимо соблюдать, чтобы такая передача была правомерной.

Вступившими в силу поправками перечень требований уточнен. Теперь для правомерной передачи персональных данных третьему лицу необходимо иметь:

·        Согласие самого субъекта персональных данных на передачу. Условие о передаче можно включить в согласие на обработку персональных данных;

·        Передача персональных данных третьему лицу должна быть оформлена поручением. В поручении должен быть указан перечень персональных данных, перечень действий с персональными данными, цели обработки, должна быть установлена обязанность соблюдать конфиденциальность персональных данных и обеспечивать их безопасность, должны быть указаны требования к защите обрабатываемых персональных данных, должна быть указана обязанность использовать для хранения и записи данных серверы, расположенные на территории РФ, обязанность по запросу предоставлять информацию о соблюдении условий обработки данных, обязанность уведомить о случаях утечки персональных данных.

Довольно часто компании-операторы персональных данных включают поручение на обработку персональных данных в договор третьим лицом. Например, подрядчик-оператор персональных данных заключает договор с субподрядчиком, одним из разделов в договоре является раздел о передаче субподрядчику персональных данных клиентов.

Если вы передаете персональные данные – мы рекомендуем включить в договор с контрагентом общие условия о допустимости передачи персональных данных, а также указать на обязанности контрагента в части обеспечения защиты персональных данных. В дополнение, отдельным документов необходимо заполнить и подписать поручение на обработку персональных данных. Не обязательно оформлять отдельное поручение на каждый факт передачи данных, тем более, что зачастую данные передаются непрерывно. Достаточно подготовить одно поручение на каждого контрагента, которому передаются персональные данные.

Прочие изменения

Сроки предоставления информации

Роскомнадзор вправе направлять различные запросы операторам персональных данных. До 1 сентября срок ответа на запрос составлял 30 календарных дней, после вступления поправок к в силу срок уменьшился до 10 рабочих дней.

Если компания предоставит мотивированное уведомление, срок может быть увеличен в пределах еще 5 рабочих дней.

Зачастую операторы персональных данных игнорируют запросы Роскомнадзора, что приводит к административным штрафам. Мы рекомендуем взаимодействовать с Роскомнадзором, отвечать на запросы и представлять необходимые документы.

Новые требования к согласию на обработку персональных данных

По новым требованиям согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Федерального закона №266-ФЗ).

Рекомендуем включить перечисленные формулировки в согласие на обработку персональных данных. Другое требование к согласию – введение обязанности для оператора персональных данных разъяснить субъекту персональных данных юридические последствия отказа дачи согласия и последствия отказа в предоставлении персональных данных, если получение согласия является обязательным в соответствии с требованиями закона.

Предоставление информации

Для операторов персональных данных установлены новые требования в части дачи ответов на обращения физических лиц – субъектов персональных данных.

По новым правилам, если субъект персональных данных запрашивает информацию или направляет оператору другое обращение, ответ нужно предоставить в течение 10 рабочих дней. Срок может быть увеличен на 5 рабочих дне на основании мотивированного уведомления.

Важно представить ответ на запрос в той же форме, в которой поступил запрос, если в запросе не указано иное.

Новые требования к договору, для исполнения которого нужны персональные данные

Если компания-оператор персональных данных заключает с физическим лицом договор, для исполнения которого необходимы персональные данные, компания должна учитывать, что такой договор не может содержать следующие условия:

·        положения, ограничивающие права и свободы субъекта персональных данных;

·        условия, устанавливающие случаи обработки персональных данных несовершеннолетних (если иное не предусмотрено законом);

·        положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.


Автор Статьи:

Вера Сорокина, юрист компании Юсконсалт

Поделитесь в соцсетях