Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Новая обязанность операторов персданных
Они должны:
- незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
- обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).
Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.
Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
В каких случаях потребуется уведомление Роскомнадзора
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- получаемых и обрабатываемых в рамках трудового законодательства;
- получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
- относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
- разрешенных физлицом для распространения;
- включающих в себя только фамилии, имена и отчества физлиц;
- необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Штрафы за неуведомление Роскомнадзора
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Срок обработки персональных данных
Срок обработки персональных данных — это период от начала обработки данных до ее прекращения. Начало обработки для каждого субъекта персональных данных будет разным. Рекомендуем разграничить начало для каждого из них. Например, срок обработки персональных данных клиентов начинается с момента регистрации на сайте или заключения договора, а срок обработки данных сотрудников — с начала действия трудового договора. Дата прекращения обработки персональных данных определяется моментом наступления одного из событий:
- достигнута цель обработки;
- истек срок действия согласия субъекта или он отозвал согласие на обработку данных;
- обнаружена несанкционированная обработка данных;
- организация прекратил свою деятельность. Сколько хранить персональные данные.
Персональные данные не стоит хранить дольше того срока, который нужен для их обработки. Лучше всего указать конкретную дату (число, месяц, год) и основание, которое станет причиной прекращения обработки персональных данных.
Как и когда необходимо информировать Роскомнадзор об утечке данных
У операторов появится новая обязанность: взаимодействовать с ГОССОПКА и информировать госорганы о компьютерных инцидентах, которые повлекли утечку персональных данных. В отношении ГОССОПКА пока не ясно, что именно будут требовать от операторов персональных данных. Порядок взаимодействия и обязанности должна будет установить ФСБ.
Ч. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Конкретные требования закон установил к тому, как уведомлять госорганы о неправомерной или случайной передаче персональных данных. Оператор, если выявил такой факт, обязан в течение 24 часов уведомить Роскомнадзор об инциденте.
В таком уведомлении необходимо указать предполагаемые причины и вред, перечислить, какие меры приняла компания, чтобы устранить последствия. Также следует предоставить сведения о лице, которое будет взаимодействовать с Роскомнадзором.
В течение 72 часов с момента, когда выявили инцидент, оператор должен уведомить Роскомнадзор о результатах внутреннего расследования, а также предоставить сведения о лицах, чьи действия стали причиной инцидента.
Требование информировать госорганы об утечке персональных данных — новелла для российского законодательства. Однако похожие требования уже есть в законодательстве об объектах критической информационной инфраструктуры.
КоАП предусматривает штраф до 500 тыс. руб. для субъектов КИИ, если они не проинформируют об инцидентах.КоАП-1 Поэтому есть вероятность, что для операторов персональных данных тоже введут повышенный штраф. Однако пока что оператора, который не уведомит чиновников об утечке, можно оштрафовать до 5 тыс. руб. по общей норме Ко АП о непередаче сведений госорганам.
Новые штрафы за персональные данные для операторов
Новые требования к обработке персональных данных повлекли новую ответственность для операторов.
Изменения внесли в статью 14.8 Кодекса РФ об административных правонарушениях (Федеральный закон от 28.05.2022 N 145-ФЗ). Они действуют с 01 сентября 2022 года.
Ответственность грозит операторам, которые отказались заключить, исполнить, изменить или расторгнуть договор с потребителем из-за его отказа предоставить ПД. За такие действия компанию могут оштрафовать на сумму от 30 до 50 тысяч рублей, а должностное лицо – от 5 до 10 тысяч рублей.
Важно учитывать, что ответственность не наступает, когда:
- потребитель был обязан сообщить ПД согласно требованиям федеральных законов или других правовых актов,
- предоставление данных непосредственно связано с исполнением договора.
Изменения в правилах работы с персональными данными сотрудников в 2023 году
В 2023 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.
Случаи, когда необходимо отдельное согласие физического лица:
- Организация занимается распространением данных неограниченному кругу лиц.
- Организация занимается передачей информации третьим лицам.
К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.
Что относится к персональным данным
Под личной информацией подразумевается любые данные, которые относится к человеку, как субъекту, определяемому принятым законодательством РФ «О персональных данных» № 152-ФЗ (п. 1 ст. 3) от 27.07.2006 года.
Данный ФЗ не разъясняет, какие данные включаются в этот термин. К таким сведениям можно отнести:
- ФИО сотрудника.
- Дата рождения.
- Данные паспорта.
- Адрес проживания.
- ИНН.
- Номер СНИЛС.
- Образование.
- Трудовой стаж.
Это наименьшая информация о человеке, которая предоставляется при устройстве на предприятие. В процессе труда к списку прибавляется дополнительная информация:
- Обязанности по трудовому контракту.
- Информация о состоянии воинского учета.
- Наличие социальных льгот.
- Информация о наказаниях и вознаграждениях.
- Отчеты для статистических структур и т.д.
Накапливаемые данные сохраняются в личном деле работающего. Вся информация о работающем регламентируется ФЗ № 152, который обязан соблюдаться учреждением, нанимающим работников для работы с личной информацией.
Ниже приведен образец документа на согласие обработки личных сведений.
Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:
- Ф.И.О.;
- адрес регистрации и места проживания;
- серию и номер паспорта;
- номер свидетельства ИНН;
- СНИЛС;
- о количестве детей, датах их рождения;
- о семейном положении;
- о предыдущей работе, сроках, причинах увольнения.
Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:
- обработки личной информации сотрудников;
- хранения и пользования данными;
- передачи личных данных работников.
На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:
- какие сведения относятся к категории «персональных»;
- кто имеет доступ к сведениям работников личного характера;
- как осуществляется сохранность персональных данных (на каком носителе);
- в каком порядке происходит обработка информации;
- где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
- на каких основаниях и кому могут передаваться данные о работнике;
- как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
- порядок его утверждения и изменения.
Приложение может включать образцы заявлений работников:
- о согласии с обработкой своих личных данных;
- о согласии получения дополнительных сведений в отношении работника.
Итак, первое, с чего нам необходимо начать – это разработка модели угроз. Сразу оговоримся, что тема эта достаточно обширная и не укладывается в рамки настоящей статьи.
Поэтому приведем здесь основные факты :
-
Модель угроз должна разрабатываться в соответствии с методикой ФСТЭК (Методика оценки угроз безопасности информации ФСТЭК России
от 5 февраля 2021 г.), а в части криптографической защиты в соответствии с методикой ФСБ (Методика оценки угроз безопасности информации ФСТЭК России от 5 февраля 2021 г.). -
Моделирование угроз по ФСТЭК состоит из трех этапов: определение негативных последствий, определение возможных объектов воздействия, оценка возможности реализации угроз.
Можно ли использовать не сертифицированные СЗИ
Требование:
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
(применимо для УЗ — 1-4)
Возможные способы выполнения:
Следует отметить разницу подходов различных регуляторов.
Позиция ФСБ – СКЗИ подлежат обязательной сертификации.
Позиция ФСТЭК по СЗИ: Процедура оценки соответствия определена Федеральным законом «О техническом регулировании» от 27 декабря 2002 г. N 184-ФЗ.
Если следовать логике ФСТЭК, то руководствоваться надлежит положениями Федерального закона от 27.12.2002 N 184-ФЗ «О техническом регулировании».
Согласно статьи 20, к формам подтверждения соответствия относится:
-
обязательная сертификация;
-
декларирование соответствия.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
В каких случаях потребуется уведомить Роскомнадзор об обработке
С 1 сентября 2022 года практически любая организация и ИП обязаны отправить уведомление, если они являются работодателями или заключают договоры с физлицами. Данное действие необходимо сделать операторам до начала обработки персональных данных.
Операторы должны направить уведомление в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.
Что делать компаниям, которые сбор личных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.
Уведомление направляется операторами однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.