С 1 сентября 2022 года заработали поправки, внесенные в Федеральный закон «О
персональных данных».
Как бизнес-сообществу перестроиться на работу в новых условиях, чтобы не
попасть на штраф 500 тысяч рублей, расскажем в статье ниже.
Какие нововведения вступили в силу с 1 сентября 2022 ?
Изменения коснулись абсолютно всех операторов персональных данных (далее –
ПД), то есть любых организаций и ИП, которые получают и обрабатывают сведения
физлиц.
Персональными данными признается любая информация, позволяющая
идентифицировать его владельца (ФИО, номер телефона, СНИЛС и т.д.)
Уведомлять Роскомнадзор о начале обработки ПД придется чаще.
Ранее строгое требование о направлении уведомления не касалось
предпринимателей, которые обрабатывали данные своих сотрудников в рамках трудового
законодательства или передавали данные субъекта третьим лицам с его согласия.
Теперь же все организации и ИП должны уведомлять о своих планах обрабатывать
персональные данные:
- сотрудников;
- лиц для оформления пропуска на территорию предприятия;
- физлиц, являющихся участниками сделок;
- иных лиц, предоставляющих о себе сведения.
Необходимо проверить есть ли организация в федеральном реестре операторов
обработки ПД. Сделать это можно на официальном сайте Роскомнадзора по номеру ИНН
(https://rkn.gov.ru). Если компания занесена в реестр, то владельцам бизнеса не нужно
совершать никаких дополнительных действий.
Если нет – потребуется направить соответствующее уведомление о начале
обработке персональных данных. Уведомление допускается направить через сайт
ведомства, на бумажном носителе либо сайт Госуслуг. Форма уведомления предусмотрена
Приказом Роскомнадзора от 30.05.2017 № 94.
Перечень случаев, когда РКН не подлежит такому уведомлению сведен к
минимуму. Это к примеру случаи, когда обработка осуществляется без применения
средств автоматизации (ПК).
- Не допускается отказ в предоставлении услуги или ином обслуживании, если
покупатель не предоставил о себе дополнительные сведения, в том числе биометрические
данные (отпечатки пальцев, рост, вес).
Требование продавца о предоставлении данных будет законно только в случаях,
перечисленных в законе.
Исключение – если без предоставления ПД последует невозможность исполнить
договор. Если организация откажется предоставить услуги без «лишних» сведений, то ей
грозит штраф до 50 тыс. рублей, а директору – до 10 тыс. рублей (п. 7 ст. 14.8 КоАП РФ). - Предусматривается новая форма согласия на обработку персональных данных.
Согласие должно быть предметным и исключать возможность расширительного
толкования. То есть из документа должно четко следовать для каких целей компания
собирает ПД. Например: «В целях перечисления мне заработной платы даю согласие ООО
«Рога и копыта» на обработку моих персданных, а именно на предоставление их в ПАО
«ВТБ банк»». - Потребуется уведомлять сотрудников о запросе каких-либо сведений о них у
третьих лиц.
Например: «С целью повышения Вас в должности, компании необходимо сделать
запрос характеристики Вашему прежнему работодателю ООО «Рога и копыта».
Нужно ли вносить изменения в локальные акты?
Да, придется утвердить актуальную редакцию Положения о персональных данных.
В отношении каждого действия по обработке нужно указывать:
- категории и список данных;
- виды субъектов ПД;
- способы и сроки обработки и хранения;
- процедура уничтожения личных сведений.
Вводится обязательный локальный акт каждой компании – Положение о защите
ПД.
Раньше это была лишь рекомендация. Если в компании данный документ ранее
отсутствовал, то потребуется его разработка.
В Положении необходимо определить категорию риска у каждого документа и
электронного носителя и есть ли угроза, что сведения могут попасть посторонним лицам.
Типы угроз, уровни защищенности и требования к защите ПД определяются в
Постановлении Правительства от 01.11.2012 № 1119.
Если у компании есть сайт в сети Интернет, то политика конфиденциальности для
целей обработки ПД размещается на каждой странице сайта.
Планируемые изменения с 2023 года
С 2023 года планируется ввести требования к трансграничной передаче ПД.
При передаче сведений за границу необходимо будет получить предварительное
согласие Роскомнадзора.
Ответственность
С 27 марта 2021 года вступили в силу новые штрафные санкции за нарушения
в области персональных данных в соответствии с Федеральным законом от 24.02.2021 г.
№19-ФЗ.
По сравнению с 2021 годом штрафы за нарушение законодательства в данной
области выросли в 2 раза. Санкция ст. 13.11 КоАП принята в новой редакции.
Даже на первый взгляд за незначительное нарушение КоАП предусматривает
серьезное наказание за такое действие. Повторное нарушение повлечет еще более
высокую сумму штрафа.
При этом увеличен срок давности привлечения к ответственности сейчас он
составляет 1 год, до марта 2021 года он равнялся 3 месяцам.
Возможно также взыскание с работодателя компенсации морального вреда.
Правильно применить нормы законодательства в области ПД, избежать ошибок и
наложения внушительных штрафов за незначительные упущения при работе бизнеса
разумно доверить квалифицированным юристам.