152-ФЗ: как совладать с персональными данными

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «152-ФЗ: как совладать с персональными данными». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Как составить согласие на обработку персональных данных

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

• наименование оператора персональных данных;
• место и дата составления документа;
• фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва.

Что делать операторам персональных данных?

Основное изменение в том, что раньше брали разрешение на обработку персональных данных, а теперь нужно разрешение и на распространение. Поэтому юристы рекомендуют переписать соглашения с клиентами, с пользователями или сотрудниками, которые подписали до этого. Потому что даже отправка информации в банк, чтобы оформить зарплатную карту — это распространение персональных данных, а для этого нужно согласие. Вот. что еще лучше сделать, чтобы не нарушить закон:

• На сайте у каждой формы регистрации лучше поставить кнопку, что пользователь дает согласие на обработку персональных данных.

• Далее разместите на ресурсе политику конфиденциальности. Ссылку на документ поставьте около каждой формы обратной связи и кнопок регистрации. Единого образца для этой формы нет. Пока это делается в свободном виде.

• В законе написано, что персональные данные необходимо использовать по назначению бизнеса. Например, кадровому агентству понадобятся ФИО и сведения об образовании, а вот паспортные данные не нужны. Сотрудники Роскомнадзора на вебинарах говорят, что это главная ошибка предпринимателей. Поэтому компании лучше разработать нормативные документы, чтобы указать, как собирают данные и с какой целью.

• Кроме этого, закон требует назначить сотрудника, который отвечает за то, как в компании собираются и хранятся персональные данные. Назначение оформляют с помощью приказа.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• получаемых и обрабатываемых в рамках трудового законодательства;
• получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
• относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
• разрешенных физлицом для распространения;
• включающих в себя только фамилии, имена и отчества физлиц;
• необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

1. Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет.
2. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников.
3. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
4. За нарушение закона о персональных данных грозят штрафы.

Внесение изменений и удаление сведений из Реестра операторов персональных данных (ПД) Роскомнадзора

Через какое-то время после отправки уведомления у предприятия или ИП может возникнуть необходимость откорректировать информацию или удалить компанию из списка. Чаще всего изменения вносятся в:

• название организации, адрес местонахождения или регистрации;
• методы обработки ПДн;
• категории субъектов ПДн;
• цели использования;
• меры по обеспечению безопасности ИСПДн;
• наличие/количество филиалов;
• сведения, с которыми осуществляются операции, и виды действий;
• условия прекращения обработки;
• графу, где указан ответственный сотрудник, если он изменился;
• сервера, на которых хранятся данные.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Перед формированием клиентской базы будущий оператор обязан оповестить уполномоченный орган о намерении использовать ПД физических лиц в определенных целях. Но не все должны уведомлять Роскомнадзор. Существует категория субъектов, которые не обязаны писать заявление в РКН о включении в реестр операторов персональных данных. К ним относятся:

1. Работодатели.
2. Исполнители или заказчики договорных отношений.
3. Пользователи общедоступными персональными сведениями.
4. Охранные предприятия, оформляющие однократные пропуска.
5. Организации, хранящие сведения на бумажном носителе (не имеющие электронных баз данных).

Всем остальным, не вошедшим в перечень, надлежит в обязательном порядке пополнить список операторов персональных данных Роскомнадзора. За уклонение или нарушение ФЗ-152 предусмотрена административная ответственность по ст. 13.11 КоАП РФ:

• обработка ПД без цели сбора: до 3000 руб. гражданам, до 10 000 руб. — должностным лицам, до 50 000 руб. — организациям.
• обработка личностных данных без письменного согласия: до 5000 руб. гражданам, до 20 000 руб. — должностным лицам, до 75 000 руб. организациям.
• отсутствие публикации с правилами оператора обработки ПД: гражданам — до 1000 руб., должностным лицам — до 6000 руб., ИП — до 10 000 руб., юрлицам — до 30 000 руб. По статистике Роскомнадзора, на март 2021 г. зарегистрировано 420 774 операторов персональных данных. У некоторых из них гарантированно есть сведения о вас.

О чем нужно уведомлять Роскомнадзор

Если вы уже являетесь оператором или только имеете намерение осуществлять обработку, то предоставьте следующую информацию в РКН:

• ФИО или название компании, адрес;
• цели, преследуемые при сборе данных;
• перечень собираемых ПДн;
• какие НПА, локальные акты и иные документы (с указанием конкретных статей и пунктов) закрепляют основания и порядок обработки;
• действия с ПДн, применяемые способы обработки;
• меры безопасности;
• кто выступает ответственным за обработку;
• когда вы начали или планируете начать обработку;
• в каких случаях вы планируете завершить обработку;
• передаются ли собранные данные за рубеж;
• где находятся базы данных;
• какой уровень защищенности установлен в вашей компании.

Последствия неуведомления

Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.

За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):

для граждан	100-300 рублей
для должностных лиц	300-500 рублей
для юридических лиц	3000-5000 рублей

Лайфхак по успешной регистрации в реестре Роскомнадзора

Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:

1. Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
2. Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
3. Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
4. При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
5. При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.

Какие сведения указываются в уведомлении?

В уведомлении указываются следующие сведения:

• наименование (фамилия, имя, отчество), адрес оператора;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки;
• перечень действий с персональными данными, описание используемых способов обработки персональных данных;
• описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
• фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
• дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных;
• сведения о месте нахождения базы данных;
• сведения об обеспечении безопасности персональных данных.

Что будет, если нарушить требования 152-ФЗ

Роскомнадзор проводит дистанционные и выездные проверки. Если инспекторы заметят, что вы обрабатываете персональные данные без согласия пользователей, бизнес получит внушительный штраф — до 75 тыс. рублей, а его руководитель — до 20 тыс. рублей.

Наказания за неправильную работу с персональными данными постоянно ужесточаются. Раньше бизнесу грозил один штраф — до 10 тыс. рублей, но с 2021 года их стало больше. Например, за работу без политики обработки данных компании получают штраф до 30 тыс. рублей, ИП — до 10 тыс. рублей. Кроме того, Роскомнадзор накладывает денежные санкции и за другие нарушения:

• не предоставили пользователю информацию об обработке его данных — до 40 тыс. рублей для компаний или 15 тыс. для ИП;
• проигнорировали запрос пользователя на удаление его персональных данных — до 45 тыс. рублей для компаний или 20 тыс. для ИП.

В 2021 году появился новый штраф — за сбор данных через сайты с иностранными хостинг-провайдерами. Его размер — от 1 до 6 млн рублей для компаний и от 30 до 60 тыс. рублей для ИП. Руководителей тоже штрафуют на солидные суммы — от 100 до 200 тыс. рублей.

Как говорилось выше, при обработке персональных данных оператор должен уведомить об этом компетентный орган. Но помимо этого у него ещё есть ряд обязательств, которые он должен соблюдать:

1. Издать приказ о назначении ответственного лица или группы лиц за обработку ПДн, а также осуществлять контроль или проводить аудит обработки данных в редакции.
2. Разработать и принять меры для обеспечения конфиденциальности и безопасности полученной информации. Сюда можно отнести установку антивирусных программ и информирование сотрудников об административной и уголовной ответственности в случае разглашения третьим лицам.
3. Прекратить обработку данных, если цель сбора достигнута или субъект отозвал своё разрешение на обработку.
4. Соблюдать локализацию и предоставлять данные о месте расположения базы, указывая страну и фактический адрес.
5. Информировать о сборе ПДн потенциальных и/или действующих клиентов и сотрудников, разъясняя для чего и какая информация обрабатывается, а также о сроках хранения. Для этого создать и опубликовать для общего доступа форму согласия на обработку данных и политику конфиденциальности.
6. Удалить информацию, если будет доказано, что личные данные были получены незаконно или не являются обязательными для достижения заявленной цели, и лицо, чьи сведения использовались, потребует о её извлечении из базы.
   Внимание. Информация должна быть уничтожена в течение 10 дней с момента подачи письменного заявления лица, чьи данные были собрана с нарушениями.

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.
В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Похожие записи:

• Как заполняется и оплачивается больничный лист
• Дарение доли в квартире: нужен ли нотариус?
• 10 лучших долгосрочных инвестиций 2023