Что изменилось в законе о персональных данных

Опубликовано

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что изменилось в законе о персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Новые требования к персональным данным несовершеннолетних
2. Новые требования к трансграничной передаче персональных данных
3. Что относят к личным данным, которые можно обрабатывать
4. Какие ещё изменения произошли
5. Как и когда нужно уведомлять Роскомнадзор
6. Как передать обработку ПД третьим лицам
7. Категория общедоступных ПДн
8. Категории субъектов персональных данных
9. Надежность системы биометрии данных
10. Изменяются правила защиты ПДн
11. Что делать операторам
12. Штрафы за неуведомление Роскомнадзора
13. Новая обязанность операторов персданных
14. Что относится к персональной информации
15. Общедоступные персональные данные
16. Общедоступные данные по-новому
17. Сколько согласий запрашивать?

У операторов появится новая обязанность: взаимодействовать с ГОССОПКА и информировать госорганы о компьютерных инцидентах, которые повлекли утечку персональных данных. В отношении ГОССОПКА пока не ясно, что именно будут требовать от операторов персональных данных. Порядок взаимодействия и обязанности должна будет установить ФСБ.

Новые требования к персональным данным несовершеннолетних

Новый закон запрещает включать в договор с субъектом персональных данных три вида условий.

Речь о положениях, которые ограничивают права и свободы субъекта, допускают в качестве условия заключения договора бездействие субъекта, а также устанавливают случаи обработки данных несовершеннолетних.

Если первые два вида положений — не новые, то третий дополнительно ограничивает компании. Скорее всего, Роскомнадзор будет толковать его расширительно: персональные данные несовершеннолетних нельзя обрабатывать на основании договора, если иное прямо не указано в законе.

П. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Владельцы цифровых платформ больше не смогут ссылаться на то, что несовершеннолетний принял все правила пользования ресурса, а значит, дал основание для обработки.

Многим сервисам придется переоценить свои риски и пересмотреть подход к обработке данных. При этом важно, что предоставление согласия на обработку — односторонняя сделка. Следовательно, требования к форме согласия будут отличаться для разных возрастных групп. Что проверить в согласии на обработку данных

Новые требования к трансграничной передаче персональных данных

Изменения в части трансграничной передачи данных вступают в силу 1 марта 2023 года

Как осуществлять трансграничную передачу данных. Наиболее обсуждаемыми стали изменения, касающиеся трансграничной передачи. Тут новый закон действительно меняет ситуацию коренным образом. Оператор до того, как начнет трансграничную передачу, обязан уведомить об этом Роскомнадзор. Операторы, которые уже занимаются такой работой, обязаны подать уведомление не позднее 1 марта 2023 года. Новелла прямо требует направлять его отдельно от уведомления об обработке персональных данных.

Закон подробно описывает, какую информацию должно содержать уведомление. Более того, обязывает оператора получать от иностранных госорганов или лиц, которым будут передавать данные, сведения об уровне защиты прав субъектов персональных данных в этом государстве. Сделать это необходимо до того, как компания подаст в Роскомнадзор уведомление.

П. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“»

Сейчас многие компании должны выбрать: подать уведомление до 1 марта 2023 года или отложить подачу, чтобы собрать информацию и проследить, как будет развиваться практика. Пока что нет ответственности за неподачу уведомления в срок. Поэтому второй подход, хотя и рискованный, может оказаться разумным в некоторых случаях.

Однако важно помнить, что в уведомлении об обработке персональных данных компании также указывают, осуществляют ли они трансграничную передачу. Следовательно, операторы, подавшие указанное уведомление и включенные в реестр операторов персональных данных, не смогут «подождать». Оператор, когда направит уведомление, может осуществлять трансграничную передачу только в странах, которые указал в уведомлении и которые Роскомнадзор признал обеспечивающими адекватную защиту прав субъектов. Это, в частности, государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Когда Роскомнадзор не признал, что страны из уведомления обеспечивают адекватную защиту, оператор сможет передавать данные, если Роскомнадзор рассмотрит уведомление и не вынесет решение о запрете или об ограничении такой передачи. Роскомнадзор должен рассмотреть уведомление в течение 10 рабочих дней. Этот срок могут продлить, если Роскомнадзор направит запрос оператору.

Что относят к личным данным, которые можно обрабатывать

К персональным данным относят информацию, которую:

  • получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
  • получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
  • разрешено распространять с согласия физлица;
  • будут использовать в качестве пропуска физлица на территорию компании и в аналогичных ситуациях.
Читайте также:  Льготы многодетным семьям в Башкортостане в 2023 году

К ним также относятся личные сведения:

  • содержащие в себе только Ф.И.О. физлица;
  • касающиеся участников общественных объединений или религиозных организаций и обрабатываемые соответствующими организациями.

Какие ещё изменения произошли

  1. Запрещена биометрическая обработка персональных данных несовершеннолетних.
  2. Работник вправе добровольно отказаться от биометрической обработки персональных данных.
  3. Обработка личных данных осуществляется оператором только с согласия.
  4. Сотрудник вправе запросить сведения о том, как оператор обрабатывает личные данные и какая информация о нём хранится. Работодатель обязан ответить в течение 10 рабочих дней. При уважительной причине работодатель вправе увеличить срок ответа ещё на 5 рабочих дней.
  5. В течение 24 часов работодатель обязан сообщить об утечке персональных данных в Роспотребнадзор, а в течение 72 часов провести расследование инцидента и сообщить о его результатах. Указать виновных и принятые меры.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Категория общедоступных ПДн

Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:

  • имя, фамилия и отчество субъекта;
  • место, где человек родился или проживает;
  • возраст;
  • профессия, образование;
  • месяц, год и число рождения;
  • электронная почта;
  • телефонный номер и т.д.

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:

  • лица, которые не являются штатными или внештатными сотрудниками организации;
  • лица, связанные с компанией трудовыми взаимоотношениями.

Надежность системы биометрии данных

Обработка биометрических персональных данных проходит достаточно быстро, но после этого, до тех пор, пока вы остаетесь собой, о рисках можно не беспокоиться. Биометрия – это надежный ключ от сейфа, который вы носите с собой. Система сложная, но чтобы защититься от мошенников её сделали ещё сложнее. В результате, подделка в принципе невозможна.

Принцип работы механизма достаточно продуктивный:

  • Гражданин проходит удаленную идентификацию по видео, передавай свой биометрический материал.
  • Алгоритм занимается обработкой выражения лица и голоса отдельно друг от друга, чтобы определить % процент схожести рассматриваемого видео с контрольным шаблоном, полученным ранее.
  • Работа «модуля аномалий» включается, если алгоритм дает сбой и не обрабатывает данные. Работа этого модуля – найти причины сбоя обработки. Если есть риск мошенничества, информация об этом стремительно поступает в банк. Через несколько секунд мошенник уже заблокирован.
Читайте также:  Льготы для ветеранов труда - надбавка, условия, получение

Изменяются правила защиты ПДн

Работодатель теперь обязан составить и утвердить положение о защите ПДн. В этом документе прописываются категории риска каждого документа/электронного носителя персданных, а также наличие угроз компрометации информации с этих носителей. Ранее такой документ рекомендовался, теперь он стал обязательным.

Что касается уничтожения персональных данных, то это возможно лишь в конкретных случаях, перечисленных в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:

  • Закончился срок хранения документа
  • Цель обработки достигнута или их больше не нужно обрабатывать
  • Оператор неправомерно обрабатывает ПДн
  • Владелец персональных данных отозвал согласие, потребовав прекратить обрабатывать и распространять его ПДн

Что делать операторам

Во избежание нарушений операторами внесенных изменений в законодательство и новых подзаконных актов Роскомнадзора, необходимо провести ряд мероприятий, в частности:

  • Проверить, зарегистрировано ли ваше юридическое лицо в реестре Роскомнадзора на сайте ведомства, и если нет – зарегистрироваться.
  • Провести внутренний анализ и корректировку действующих договоров с клиентами, а также шаблонов типовых договоров.
  • Дополнить новыми положениями политику конфиденциальности и иные внутренние нормативные акты.
  • Актуализировать шаблоны согласий на обработку персональных данных, обеспечив, чтобы их тексты были не только конкретными, информированными и сознательными, то также предметными и однозначными.
  • Составить и утвердить положение о защите персональных данных, если такое положение отсутствует в компании.
  • Адаптировать свои системы к новым требованиям в части подтверждения уничтожения данных (приказ Роскомнадзора «Об утверждении требований к подтверждению уничтожения персональных данных», который вступит в силу с 1 марта 2023).
  • Провести оценку вреда в соответствии с новыми требованиями РКН (проект от 25 августа 2022 года приказа Роскомнадзора «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (планируется вступление в силу 1 марта 2023 года).

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Новая обязанность операторов персданных

Они должны:

  • незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
  • обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).

Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:

  • относятся к работникам;
  • принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
  • нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.

Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.

Что относится к персональной информации

Обычно, когда говорят о том, какая информация относится к ПДн, имеют в виду следующие данные:

  • фамилия, имя и отчество;
  • информация о том, какое получено образование;
  • данные об уровне доходов;
  • место и дата рождения;
  • социальное и имущественное положение человека.

Этот список включает в себя основную информацию такого рода, но не является полным.

Кроме того, ПДн можно разделить на несколько разновидностей:

  1. Здесь рассматриваются сведения, которые раскрывают убеждения человека, его философские или религиозные предпочтения, интимную жизнь, состояние здоровья, информация о национальности и расовой принадлежности. Такие данные могут быть получены, например, из анкет, заполненных гражданином.
  2. В этот раздел можно включить данные, которые непосредственно позволяют идентифицировать человека. Сюда включаются ФИО, адрес проживания, паспортные данные и другая аналогичная информация.
  3. Биометрические данные включают в себя отпечатки пальцев, анализ ДНК, фотография сетчатки глаза, различные особенности строения тела.
  4. К отдельному разделу относится информация, которая является обезличенной. К ней относятся данные, которые не дают возможность провести идентификацию конкретного человека.
Читайте также:  Льготы на электричку для пенсионеров. Инструкция, как оформить бесплатный проезд

Тут также идёт речь об общедоступной информации, которая не может быть скрыта, потому, что это является требованием законодательства. Сюда, например, включаются данные о доходах, которые получены муниципальными или государственными служащими.

Ко всей перечисленной информации применяются нормы, предусмотренные законом, определяющие её хранение и использование.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.


Похожие записи:

Добавить комментарий