Новые требования законодательства о персональных данных
Анна Коняева – управляющий партнер ЦПО групп выступила спикером в Ленинградской областной торгово-промышленной палате с темой: «Подача уведомления об обработке персональных данных»
28 февраля 2023 года в Ленинградской областной торгово-промышленной палате состоялось совместное заседание Комитетов ЛОТПП на тему: «Новые требования законодательства о персональных данных. Как правильно организовать выполнение новых требований ФЗ-152 в 2023 году».
С 1 сентября 2022 года практически любое лицо, занимающееся предпринимательской деятельностью, является оператором персональных данных. Это граждане, являющиеся предпринимателями и самозанятыми, организации, которые собирают, хранят и иным образом используют данные, относящиеся к любому физическому лицу. Если у предпринимателя имеется сайт с формами обратной связи или работники или он заключает договоры с физическими лицами, то он считается оператором персональных данных.
Не обязаны включаться в реестр те предприниматели, которые работают исключительно на бумажных носителях, без применения компьютера, средств автоматизации, также это лица, работающие в области безопасности и направляющие подобную информацию по другим основаниям, установленным в законе, такие как: Государственные информационные системы, перевозчики, работающие с персональными данными.
В редакции, которая действовала до 1 сентября 2022, было предусмотрено ряд исключений, когда подавать уведомление и, соответственно, включаться в реестр операторов не требовалось. Этим пользовались многие предприниматели.
Больше НЕ подпадают под исключения для включения в реестр операторов персональных данных, например, те, кто обрабатывает данные, состоящие только из фамилии, имени, отчества; обрабатывает данные для целей пропуска на территорию оператора.
При этом персональными данными будет являться любая информация, относящаяся прямо или косвенно к любому физическому лицу.
Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Однако на сегодняшний момент не все предприятия спешат включиться в реестр. Проверки проводятся только внеплановые, штрафы пока минимальны:
до 500 рублей - на физических лиц; до 5 000 рублей – на юридических лиц.
Понятно, что размер штрафа не мотивирует исполнять обязанность по уведомлению.
Однако если говорить не только о подаче уведомления в Роскомнадзор, а в целом о нарушениях требований закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная ответственность. При этом в Кодексе об административных правонарушениях вместо одного состава правонарушения появилось семь.
Не обязаны включаться в реестр те предприниматели, которые работают исключительно на бумажных носителях, без применения компьютера, средств автоматизации, также это лица, работающие в области безопасности и направляющие подобную информацию по другим основаниям, установленным в законе, такие как: Государственные информационные системы, перевозчики, работающие с персональными данными.
В редакции, которая действовала до 1 сентября 2022, было предусмотрено ряд исключений, когда подавать уведомление и, соответственно, включаться в реестр операторов не требовалось. Этим пользовались многие предприниматели.
Больше НЕ подпадают под исключения для включения в реестр операторов персональных данных, например, те, кто обрабатывает данные, состоящие только из фамилии, имени, отчества; обрабатывает данные для целей пропуска на территорию оператора.
При этом персональными данными будет являться любая информация, относящаяся прямо или косвенно к любому физическому лицу.
Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Однако на сегодняшний момент не все предприятия спешат включиться в реестр. Проверки проводятся только внеплановые, штрафы пока минимальны:
до 500 рублей - на физических лиц; до 5 000 рублей – на юридических лиц.
Понятно, что размер штрафа не мотивирует исполнять обязанность по уведомлению.
Однако если говорить не только о подаче уведомления в Роскомнадзор, а в целом о нарушениях требований закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная ответственность. При этом в Кодексе об административных правонарушениях вместо одного состава правонарушения появилось семь.
Мы рекомендуем подать уведомление для включения в реестр операторов персональных данных до получения требования Роскомнадзора, чтобы не решать этот вопрос в спешке и не нести неблагоприятные последствия.
Риски существуют больше для крупных или стабильно – работающих предприятий. Риски связаны с внеплановыми проверками, запросами документов Роскомнадзора. К нам часто обращаются предприятия, когда уже поступил запрос от Роскомнадзора и оперативно нужно подать документы. Пакет документов для всех предприятий разный, но он все равно внушителен.
Для того чтобы подготовить документы, предприятию нужно проанализировать всю свою деятельность по обработке персональных данных, соотнести её с законом, устранить нарушения, ввести необходимые меры защиты информации, в документах необходимо прописать схему работы и как проходит обработка персональных данных, где находится сервер, показать схему работы оборудования, а потом подавать уведомление.
Приходится ключевым сотрудникам спешно с нами согласовывать массу нюансов, вникать в задачу, чтобы четко в итоге выдать результат. Конечно, это сложно сделать в сжатые сроки.
При неразумном подходе, проверка для юридических лиц может завершиться штрафными санкциями более 6 млн. рублей.
Также Роскомнадзор вправе заблокировать сайт компании, что тоже для многих юридических лиц повлечет убытки и простой. Например, блокировка происходила в случаях, когда компания не могла доказать, что имеет сервер в России, на который собираются персональные данные (например, социальная сеть Линкедин).
В настоящий момент самый внушительный штраф за нарушение законодательства о персональных данных – 18 000 000 руб. - за обработку персональных данных без использования баз данных, находящихся в России, за повторное нарушение для юридических лиц.
Таким образом, такие штрафы и блокировка сайта не связаны напрямую с содержанием уведомления об обработке персональных данных, но при составлении уведомления компания может выявить нарушения, которые есть, чтобы избежать этих последствий.
Итак, сведения в реестр операторов персональных данных Роскомнадзор вносит на основании уведомления. С декабря 2022 года операторы персональных данных работают по новым формам Роскомнадзора. Сейчас их три.
Формы уведомлений можно найти на портале персональных данных Роскомнадзора, в разделе Реестр операторов: https://pd.rkn.gov.ru/.
В старых формах уведомлений необходимо было самостоятельно подбирать категорию субъектов персональных данных и правовые основания обработки персональных данных. В новом же варианте оператору требуется лишь отметить галочками нужные категории и основания.
Следует также учесть, что в новых формах расширен перечень категорий персональных данных и приведен перечень действий, осуществляемых с персональными данными. Теперь операторы должны конкретизировать этот момент.
Если уведомление уже подано по старой форме, можно подать в Роскомнадзор измененное уведомление, но это не является обязанностью.
Подготовке информации для заполнения форм стоит уделить значительное внимание. Так как на основе уведомления Роскомнадзор осуществляет проверку деятельности оператора персональных данных, в том числе, его внутренних документов на соответствие закону и тому, что сам декларирует оператор в своем уведомлении (цели, категории, основания обработки персональных данных).
Для того чтобы подготовить документы, предприятию нужно проанализировать всю свою деятельность по обработке персональных данных, соотнести её с законом, устранить нарушения, ввести необходимые меры защиты информации, в документах необходимо прописать схему работы и как проходит обработка персональных данных, где находится сервер, показать схему работы оборудования, а потом подавать уведомление.
Приходится ключевым сотрудникам спешно с нами согласовывать массу нюансов, вникать в задачу, чтобы четко в итоге выдать результат. Конечно, это сложно сделать в сжатые сроки.
При неразумном подходе, проверка для юридических лиц может завершиться штрафными санкциями более 6 млн. рублей.
Также Роскомнадзор вправе заблокировать сайт компании, что тоже для многих юридических лиц повлечет убытки и простой. Например, блокировка происходила в случаях, когда компания не могла доказать, что имеет сервер в России, на который собираются персональные данные (например, социальная сеть Линкедин).
В настоящий момент самый внушительный штраф за нарушение законодательства о персональных данных – 18 000 000 руб. - за обработку персональных данных без использования баз данных, находящихся в России, за повторное нарушение для юридических лиц.
Таким образом, такие штрафы и блокировка сайта не связаны напрямую с содержанием уведомления об обработке персональных данных, но при составлении уведомления компания может выявить нарушения, которые есть, чтобы избежать этих последствий.
Итак, сведения в реестр операторов персональных данных Роскомнадзор вносит на основании уведомления. С декабря 2022 года операторы персональных данных работают по новым формам Роскомнадзора. Сейчас их три.
Формы уведомлений можно найти на портале персональных данных Роскомнадзора, в разделе Реестр операторов: https://pd.rkn.gov.ru/.
В старых формах уведомлений необходимо было самостоятельно подбирать категорию субъектов персональных данных и правовые основания обработки персональных данных. В новом же варианте оператору требуется лишь отметить галочками нужные категории и основания.
Следует также учесть, что в новых формах расширен перечень категорий персональных данных и приведен перечень действий, осуществляемых с персональными данными. Теперь операторы должны конкретизировать этот момент.
Если уведомление уже подано по старой форме, можно подать в Роскомнадзор измененное уведомление, но это не является обязанностью.
Подготовке информации для заполнения форм стоит уделить значительное внимание. Так как на основе уведомления Роскомнадзор осуществляет проверку деятельности оператора персональных данных, в том числе, его внутренних документов на соответствие закону и тому, что сам декларирует оператор в своем уведомлении (цели, категории, основания обработки персональных данных).
Что может вызывать трудности при заполнении уведомления?
Основные графы, по которым часто возникают вопросы у клиентов при заполнении формы:
• Регионы обработки персональных данных. Можно выбрать один или несколько регионов, а можно выбрать «все субъекты РФ». Второй вариант («все субъекты РФ») нужно выбрать в случае, если, например, у компании есть сайт, который может посетить любое лицо на территории РФ и соответственно оставить свои данные в контактных формах.
• Цели обработки персональных данных. В новой форме уведомления можно выбрать несколько «типовых» целей обработки персональных данных. Цели – это виды деятельности оператора, указанные в уставе или иные фактически осуществляемые виды деятельности. Под каждую цель обработки подбираются соответствующие категории (то есть виды) персональных данных, а также правовые основания обработки (согласие, договор или положения законодательства), перечень действий с персональными данными, а также способы обработки.
• Перечень действий с персональными данными. Это всё, что является обработкой, в том числе: сбор, удаление данных.
• Цели обработки персональных данных. В новой форме уведомления можно выбрать несколько «типовых» целей обработки персональных данных. Цели – это виды деятельности оператора, указанные в уставе или иные фактически осуществляемые виды деятельности. Под каждую цель обработки подбираются соответствующие категории (то есть виды) персональных данных, а также правовые основания обработки (согласие, договор или положения законодательства), перечень действий с персональными данными, а также способы обработки.
• Перечень действий с персональными данными. Это всё, что является обработкой, в том числе: сбор, удаление данных.
Важно! Есть особое регулирование для обработки персональных данных в виде: распространения и обезличивания, поэтому нужно быть внимательным, и не заполнять соответствующие поля, если ваша организация фактически не осуществляет данные действия с персональными данными.
• Описание мер в соответствии со ст.18, 19 Закона о персональных данных
Например, стандартные:
— Назначено ответственное должностное лицо за организацию;
— Принята Политика в отношении обработки персональных данных;
— На Интернет-сайтах Оператора опубликованы документы;
— Осуществляется внутренний контроль;
— Осуществляется ознакомление работников с требованиями к защите персональных данных, документами.
• Средства обеспечения безопасности. Это может быть электронная цифровая подпись, антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю; средства восстановления системы защиты персональных данных.
• Использование шифровальных (криптографических) средств. Класс СКЗИ (средства криптографической защиты информации) – чаще всего это электронная цифровая подпись, которая имеет класс КС1 или КС2 (нужно уточнять у организации, которая выдала или изучать данные сертификата подписи).
• Ответственный за организацию обработки персональных данных. Это сотрудник организации, в небольших организациях – генеральный директор, а не отдельное юридическое лицо, который обеспечивает правомерную обработку персональных данных в организации. Должен быть назначен отдельным приказом.
• Дата начала обработки персональных данных. В соответствии с разъяснениями Роскомнадзора – дата создания организации, даже если уведомление подается после.
• Осуществление трансграничной передачи персональных данных. Нужно указывать осуществляется она или нет, и если да, в какие страны.
Например, стандартные:
— Назначено ответственное должностное лицо за организацию;
— Принята Политика в отношении обработки персональных данных;
— На Интернет-сайтах Оператора опубликованы документы;
— Осуществляется внутренний контроль;
— Осуществляется ознакомление работников с требованиями к защите персональных данных, документами.
• Средства обеспечения безопасности. Это может быть электронная цифровая подпись, антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю; средства восстановления системы защиты персональных данных.
• Использование шифровальных (криптографических) средств. Класс СКЗИ (средства криптографической защиты информации) – чаще всего это электронная цифровая подпись, которая имеет класс КС1 или КС2 (нужно уточнять у организации, которая выдала или изучать данные сертификата подписи).
• Ответственный за организацию обработки персональных данных. Это сотрудник организации, в небольших организациях – генеральный директор, а не отдельное юридическое лицо, который обеспечивает правомерную обработку персональных данных в организации. Должен быть назначен отдельным приказом.
• Дата начала обработки персональных данных. В соответствии с разъяснениями Роскомнадзора – дата создания организации, даже если уведомление подается после.
• Осуществление трансграничной передачи персональных данных. Нужно указывать осуществляется она или нет, и если да, в какие страны.
Важно, что оператор персональных данных при трансграничной передаче данных обязан уведомить Роскомнадзор по отдельной форме. Соответствующие изменения вступают в силу 01 марта 2023 года.
В случае если передача персональных данных за рубеж осуществляется уже сейчас, такое уведомление нужно направить в Роскомнадзор до 01.03.2023.
Роскомнадзор вправе не разрешить передавать информацию за границу. На принятие решения ведомству дается 10 рабочих дней с момента поступления уведомления.
Оператор вправе осуществить трансграничную передачу персональных данных после подачи указанного уведомления в Роскомнадзор, до принятия им решения, если иностранные государства обеспечивают адекватную защиту прав субъектов персональных данных.
Также это возможно, когда трансграничная передача персональных данных необходима для защиты жизни, здоровья и иных жизненно важных интересов граждан.
• Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Есть требование закона - при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Если у организации нет арендуемого сервера, и вся информация хранится на локальных компьютерах – в этом случае в качестве адреса указывается адрес офиса, где расположены компьютеры.
Также неоднозначный вопрос – если используется облачный сервис хранения данных. В соответствии с индивидуальными разъяснениями Роскомнадзора нужно указывать юридический адрес владельца облачного сервиса (например, ООО «Яндекс.Облако»), он должен быть в России.
Получить презентацию по теме спикера можно, направив запрос по e-mail с ФИО, наименованием компании и должности на почту mkt@pravorf.ru
Роскомнадзор вправе не разрешить передавать информацию за границу. На принятие решения ведомству дается 10 рабочих дней с момента поступления уведомления.
Оператор вправе осуществить трансграничную передачу персональных данных после подачи указанного уведомления в Роскомнадзор, до принятия им решения, если иностранные государства обеспечивают адекватную защиту прав субъектов персональных данных.
Также это возможно, когда трансграничная передача персональных данных необходима для защиты жизни, здоровья и иных жизненно важных интересов граждан.
• Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Есть требование закона - при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Если у организации нет арендуемого сервера, и вся информация хранится на локальных компьютерах – в этом случае в качестве адреса указывается адрес офиса, где расположены компьютеры.
Также неоднозначный вопрос – если используется облачный сервис хранения данных. В соответствии с индивидуальными разъяснениями Роскомнадзора нужно указывать юридический адрес владельца облачного сервиса (например, ООО «Яндекс.Облако»), он должен быть в России.
Получить презентацию по теме спикера можно, направив запрос по e-mail с ФИО, наименованием компании и должности на почту mkt@pravorf.ru
Правовая охрана персональных данных
Читайте в разделе IT и электронная коммерция
Подпишитесь на новостную рассылку CPO Group:
Получить консультацию
Спасибо! Ваше сообщение получено
