Персональные данные: изменения в законодательстве

С первого сентября 2022 года действуют новые правила, принятые в целях совершенствования правовой защиты субъектов персданных, а также усиления госконтроля в этой сфере.

Персданные — это любые сведения, которые прямо или косвенно относятся к определенному физлицу. Гражданин должен предоставлять их не только будущему работодателю при трудоустройстве. Вопрос получения личных сведений о лице возникает, когда речь идет о его участии в договорных отношениях в качестве потребителя. Например, при получении всевозможных услуг – связи, банковских, медицинских, туристических и т.п.

Новшества, которые появятся в работе с персданными с 1 сентября 2022 года, связаны со вступлением в силу:

– Закона от 14.07.2022 № 266-ФЗ. Этот документ предусмотрел для работодателей, участвующих в процессе обработки персданных сотрудников, новые обязанности и запреты.

– Закона от 01.05.2022 № 135-ФЗ. Этим законодательным актом перечислены условия, которые продавец, исполнитель или агрегатор не могут включать в договор с потребителем своих услуг. При этом установлено правило, согласно которому не могут отказать в обслуживании клиенту, если он не хочет предоставлять персональные сведения о себе;

– Закона от 28.05.2022 № 145-ФЗ. С помощью этого документа расширили перечень случаев привлечения к ответственности операторов персданных. В частности, ввели штрафы за отказ в обслуживании клиентов, которые не согласились предоставить продавцу, исполнителю или агрегатору данные о себе.

Главное новшество, которое затронуло работодателей: отныне о намерении обрабатывать  персональные сведения сотрудников, полученные в рамках трудовых отношений, надо сообщать в Роскомнадзор (РКН). О таком намерении требуется извещать ведомство практически во всех случаях. Перечень исключений из правила существенно сокращен. Обрабатывать данные в соответствии с трудовым законодательством без уведомления РКН впредь нельзя.

Это означает, что если информация о сотрудниках нужна работодателю, например, для оформления трудового договора или пропуска к месту работы, выплаты зарплаты, то компании нужно предварительно обратиться в РКН. Такой вывод подтверждает и ведомство в письме от 19.08.2022 № 08-75348.

Чиновники указывают, что уведомить РКН о предстоящей обработке персональных сведений нужно по месту нахождения работодателя, указанному в его учредительных документах и свидетельстве о постановке на налоговый учет в ИФНС.

Уведомление можно прислать как на бумаге, так и в электронной форме. Цифровую форму уведомления и порядок ее заполнения можно найти на сайте Роскомнадзора.

Получив от работодателя уведомление, РКН в течение 30 дней внесет его в реестр операторов. При этом любой сотрудник сможет проверить, правомерно ли компания осуществляет сбор и обработку сведений о нем.

Поэтому чтобы работать с персданными сотрудников, к 1 сентября 2022 года сведения о работодателе уже должны быть в реестре РКН.

Однако, уведомлять РКН нужно только в том случае, если обработка перссведений в компании осуществляется с использованием компьютерной техники и средств автоматизации. Если работодатель для обработки информации ведет документооборот только в бумажной форме, уведомлять об этом РКН не нужно. Например, если сведения о посетителях заносят в бумажную книгу.

По общему правилу для обработки перссведений нужно получить согласие их обладателя. Разрешение на обработку обычных данных, которые не являются биометрическими или специальными, может быть дано их владельцем в любой позволяющей подтвердить факт его получения форме.

С первого сентября требования к согласию на обработку персданных расширили. С этого момента, помимо таких характеристик, как конкретность, информированность и сознательность, согласие должно еще быть предметным и однозначным.

Кроме того, введены некоторые правила для получения согласия, связанного с заключением или исполнением договора, обработка которого возможна без этого разрешения субъекта ПД.

Теперь, чтобы обрабатывать сведения без согласия их владельца, нужно проверить, чтобы договор, подписанный с субъектом персданных, не ограничивал его права и свободы, не допускал обработку информации о несовершеннолетних, а также не предусматривал бездействие лица в качестве условия заключения договора.

Если эти условия все-таки попадут в текст договора, для работы с персданными лица потребуется его согласие, несмотря на то, что обработка необходима для заключения или исполнения договора, стороной которого является непосредственно субъект перссведений.

Субъект ПД может отказаться дать согласие на работу с этими сведениями. Но в таком случае у оператора возникает новая обязанность – он должен разъяснить лицу ПД юридические последствия не только отказа предоставить свои сведения, но и отказа дать согласие на их обработку, если по закону получение оператором разрешения на работу с информацией о лице является обязательным.

С первого сентября требования к порядку обработки ПД расширены. Теперь предусматривается, что:

– оператор может поручить работу с ПД другому лицу с согласия обладателя сведений, если иное не установлено законом, на основании договора, заключаемого с этим лицом, в том числе государственного или муниципального контракта;

– в случае если оператор поручил обработку ПД иностранному физлицу или компании, ответственность перед владельцем сведений за действия указанных лиц несут оператор и лицо, которое работает с данными по поручению оператора.

С сентября будут скорректированы требования к содержанию документов, определяющих политику оператора ПД по работе с этими сведениями, а также локальных актов по вопросам работы с ПД. Установлено, что:

– они должны определять категории и перечень обрабатываемых ПД, категории их владельцев, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований. Этот перечень нужно определить для каждой цели обработки ПД;

– включать в них положения, ограничивающие права обладателей ПД, а также возлагающие на операторов полномочия и обязанности, не предусмотренные по закону, запрещено.

В общем случае оператор ПД обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику по работе с перссведениями. Теперь такой документ на своем сайте обязан размещать оператор, который собирает ПД с помощью этого сайта.

Дополнены требования к запросу владельцем ПД информации, касающейся обработки данных о нем.

В перечень сведений, которые лицо вправе запросить у оператора, включена информация о способах исполнения оператором обязанностей, направленных на выполнение требований закона о работе с перссведениями.

С первого сентября оператор ПД должен отвечать на запросы обладателя персданных в строго отведенные сроки – в течение 10 рабочих дней с момента обращения или получения оператором соответствующего запроса. Этот срок может быть продлен не более чем на 5 рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес лица, обратившегося с запросом. Сведения предоставляются в той же форме, в которой поступил запрос.

Новшества коснулись и порядка устранения нарушений, допущенных при работе с данными о физлице.

Если их владелец предъявил оператору требование прекратить работу с перссведениями, последний обязан прекратить их обработку или обеспечить прекращение такой обработки (если за оператора действует обработчик). Исключение – если работа с ПД осуществляется без согласия физлица. Срок – 10 рабочих дней с даты получения требования, а не 30, как было раньше.

Этот срок может быть продлен, но не более чем на 5 рабочих дней. Для этого оператор должен направить владельцу данных мотивированное уведомление.

Кроме того, введены дополнительные требования для работы с биометрическими ПД. Теперь биометрия необязательна. Работодатель не может заставить сотрудника сфотографироваться на пропуск или предоставить отпечатки пальцев для прохода в офис. Сотрудник вправе отказаться, а работодатель не может его за это наказывать.

Контролирует соблюдение требований к работе с ПД специальное ведомство – Роскомнадзор.

С сентября 2022 года компании, работающие с перссведенями, должны соблюдать установленный порядок уведомления РКН при обнаружении факта неправомерной или случайной передачи, предоставления, распространения, доступа к ПД, нарушившего права их обладателей.

Оператор обязан уведомить РКН о произошедшем инциденте, его возможных причинах и предполагаемом вреде, нанесенном правам субъектов ПД. При этом сообщается о принятых мерах по устранению последствий произошедшего, а также сведения о контактном лице. На это отведены сутки с момента выявления такого инцидента оператором, Роскомнадзором или иным заинтересованным лицом.

Кроме того, об итогах внутреннего расследования случившегося и о лицах, действия которых стали причиной инцидента, нужно сообщить в Роскомнадзор в течение трех суток.

Помимо этого, компании, работающие с перссведениями, обязаны в порядке, установленном ФСБ, обеспечивать взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Требуется сообщать о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.

РКН вправе штрафовать за нарушения, допущенные в работе с ПД (ст. 13.11 КоАП РФ). В их число входит:

– обработка ПД, несовместимая с целью сбора таких данных. Штраф может достигать 10 тыс. рублей – для должностных лиц, 50 тыс. рублей – для компаний;

– обработка сведений без письменного согласия их владельца. Оштрафовать должностных лиц могут на 20 тыс. рублей, компании – на 75 тыс. рублей;

– неопубликование документа о политике обработки ПД. Штраф для должностных лиц достигает 6 тыс. рублей, для ИП – 10 тыс. рублей, а для юрлиц — до 30 тыс. рублей.

Если работодатель не уведомит РКН о планируемой обработке ПД, его оштрафуют по ст. 19.7 КоАП РФ. Она вводит административную ответственность за непредставление или несвоевременное представление сведений в госорган, обладающий функциями контроля (надзора).

Величина штрафа для ИП и должностных лиц составит от 300 до 500 рублей, а для компаний – от 3 до 5 тыс. рублей.