Главная / Автоюрист / Изменения в законе о защите персональных данных в 2023 году

Изменения в законе о защите персональных данных в 2023 году

Содержание

1 Новый законопроект о персональных данных: как изменилась работа рекрутеров
2 Закон о персональных данных 2023: что изменилось и как не нарушать
3 Персональные данные
4 Требования к содержанию согласия на обработку персональных данных с
5 Федеральный закон от N 152-ФЗ (ред
6 Персональные данные
7 Персональные данные в 2023 году: как работать, чтобы не нарушить закон
8 Персональные данные в 2023 году
9 Новые правила обработки и распространения персональных данных с 1 марта 2023 года

Новый законопроект о персональных данных: как изменилась работа рекрутеров

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан. Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2023 г. вступили в силу изменения в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», а с 1 сентября 2023 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.

«Работодатель как оператор при сборе персональных данных обязан обеспечить запись, систематизацию, хранение, уточнение и извлечение этих сведений россиян с использованием баз данных на территории РФ. По данным РБК, этим летом ряд иностранных компаний (причем не только крупных) получили письма с требованием подтвердить факт локализации персданных на территории РФ (такое положение внесено согласно Федеральному закону №242-ФЗ от 01.09.2023). Штрафы очень чувствительные — до 6 млн рублей для юрлица за первое нарушение, до 18 млн рублей за повторное (ч. 8–9 ст. 13.11 КоАП РФ). Обратите на это внимание при выборе места, где будут храниться резюме кандидатов. Серверы должны размещаться в России», — советует Юрий Донников, директор юридического департамента и комплаенса hh.ru.

«Если у вас собственная ATS-система, вы несете полную ответственность за соблюдение всех требований по закону. Если размещаете систему у провайдера, небольшая часть технических требований ляжет на него. Проследите, чтобы у провайдера была лицензия на техническую защиту информации. Удобное решение — ATS как услуга, что снимет с вас риски технического несоответствия. Главное — проанализировать компанию и услугу и убедиться, что все требования 152-ФЗ соблюдены. Например, у hh.ru есть система Talantix, в которой учтены все аспекты, связанные с получением согласия субъекта и хранением его данных, так как “Хэдхантер” учитывает и реализует все технические требования к защите ПД, регулярно привлекает внешних специалистов для анализа соответствия таких требований. Также в системе Talantix есть автоматический запрос на обработку персданных», — советует Сергей Кортиков, независимый консультант по информационной безопасности.

Как бизнесу соблюсти все требования, учесть все новые требования законодательства о персданных и не попасть на штрафы, ненамеренно разместив информацию на иностранных серверах? Сегодня компании устанавливают ATS-системы ( от англ. Applicant tracking system — система управления кандидатами), позволяющие автоматизировать процесс подбора персонала. Эти специальные программы, облегчающие жизнь рекрутерам, помогают соблюдать российское законодательство в части обработки и распространения персональных данных. Сложность в том, что система управления подбором персонала должна соответствовать государственным техтребованиям. Перечень пунктов большой. И помните: техническая защита ПД — это не разовое мероприятие. Вы должны периодически проводить проверку, правильно ли все настроено и как работает.

Параллельно с бурными дискуссиями о новых законодательных ужесточениях возникло сразу несколько громких дел с зарубежными компаниями, связанных с обработкой персональных данных. Претензии Роскомнадзора заключались в нарушении требований локализации ПД граждан на территории РФ. Суд оштрафовал мессенджер WhatsApp на 4 млн руб. за отказ локализовать базы данных российских пользователей (по ч. 8 ст. 13.11 КоАП РФ), а соцсети Facebook и Twitter получили повторные штрафы 15 млн и 17 млн руб. соответственно (по ч. 9 ст. 13.11 КоАП РФ), сообщается на сайте Роскомнадзора. А ранее оштрафовали за нарушение правил локализации на 3 млн руб. компанию Google (также по ч. 8 ст. 13.11 КоАП РФ). По данным ведомства, хранение персональных данных российских пользователей локализовали около 600 представительств в РФ зарубежных компаний.

Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

С 1 марта 2023 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
являются общедоступными;
включают только ФИО субъектов ПД;
нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

в случае обезличивания ПД;
в отношении общедоступных ПД;
если данные включают только ФИО субъектов ПД;
для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

«11) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

Но уже с 27 марта 2023 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2023 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Закон о персональных данных 2023: что изменилось и как не нарушать

Жизнь и бизнес переходят в электронное пространство, там теперь располагаются базы с данными пользователей и клиентов. Мошенники постоянно воруют эту информацию. Мемом стали звонки службы безопасности зеленого банка из тюрьмы, но это не всегда смешно. По данным Центробанка в 2023 году кибермошенники украли у россиян 10 миллиардов рублей, а это на 52,2% больше, чем в 2023 году.

Оформить новые соглашения. Закон не имеет обратной силы, но лучше сделать новые соглашения с сотрудниками и контрагентами. В документе стоит прописать, какую информацию можно передавать, а какую нет.
Назначить ответственных за работу с ПД. Обычно это кадровые сотрудники, но некоторые выбирают бухгалтера или руководителя.
Разработать документы и локальные акты. Это правила, которые прописывают работу, охрану, условия хранения и передачи ПД, а также цель использования.
Рассказать сотрудникам о законе. Все работники должны знать, что не имеют права передавать ПД клиентов без согласия. Кроме этого, они узнают, что и их собственные данные тоже не уйдут на сторону.
Уведомить Роскомнадзор. Любая компания, которая использует персональные данные, становится оператором ПД. Нужно сообщить в РКН, что бизнес использует данные клиентов или партнеров. Летом начнет работу Информационная система ведомства для регулирования этих процессов.

Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
Образовательные учреждения. Учеба или повышение квалификации сотрудников.
Туристическая сфера. При покупке билетов и бронировании проживания в командировках.

Наверное, больше всего проблем появится в рекламных и маркетинговых акциях. Например, компания получила от партнеров базу мобильных номеров для обзвона. По новым правилам, люди из базы должны дать согласие на это. Поэтому они могут потребовать, чтобы им не звонили и перестали давать контакты на сторону. В принципе они могут пожаловаться и в контролирующие органы.

При наличии договора с субъектом ПДн согласие необходимо получать для обеспечения возможности копирования и последующего использования персональных данных неопределенным кругом лиц. Если такой задачи перед администрацией сайта не стоит, можно ограничиться включением в соглашение (договор) с пользователем и политику конфиденциальности, условий о возможности из предоставления заранее определенному кругу лиц (например, агентствам по подбору персонала или работодателям в примере с сайтами поиска работы).

Более того оператор, оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (п.10 ст.10.1 ФЗ 152).

Таким образом, изменения направлены на пресечение бесконтрольного использования персональных данных неопределенным кругом лиц. Субъекту вернули контроль над его персональными данными. Теперь он волен давать согласие на обработку ПДн неопределенным кругом лиц или конкретным лицам, вводить ограничения и условия использования отдельных персональных данных, опубликованных в общем доступе.

Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам. Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).

На основании п.9 новой статьи 10.1 ФЗ 152, в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

Персональные данные

Для обработки таких данных необходимо специальное согласие субъекта этих ПДн, которое нужно оформлять отдельно от других подобных согласий (п. 5 ст. 1 ФЗ № 519-ФЗ). Такое согласие разрабатывается непосредственно оператором либо с помощью информационной системы Роскомнадзора и оформляется на русском языке. Оператор обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии.

условия, при которых полученные ПДн могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных работников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных ПДн;

Оператор обязан в срок не позднее 3 рабочих дней с момента получения согласия субъекта опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

если субъект ПДн сам раскрыл третьим лицам информацию о себе и не дал оператору ПДн согласие, то доказывать законность дальнейшей обработки таких сведений обяжут тех, кто этой информацией занимался. Это касается и случаев, когда раскрытие произошло из-за правонарушения, преступления или обстоятельств непреодолимой силы;

Компании, которые собирают ПД из открытых источников, считали, что они не должны получать согласие лица на обработку его ПД, поскольку само лицо размещало в интернете информацию о себе. Вместе с тем в 2023 г. Верховный Суд РФ не согласился с доводами одной из таких компаний. Суд признал: размещение гражданином ПД в соцсетях «ВКонтакте», «Одноклассники», «МойМир», Instagram и Twitter или на интернет-порталах «Авито» и «Авто.ру» не означает, что такие ПД можно обрабатывать без оформления согласия 23 . Однако данное решение существенно не изменило ситуацию: компании продолжали обрабатывать ПД по-старому, без получения согласий.

2. Если из текста согласия на распространение ПД не следует, что субъект ПД не установил запреты и условия обработки ПД или он не указал перечень и категории ПД, в отношении которых установлены запреты и условия, то такие ПД должны обрабатываться оператором без права распространения и предоставления неограниченному кругу лиц 17 . Это означает, что если есть сомнения в правильности установления лицом запретов или условий обработки ПД, то оператор обязан обрабатывать ПД без их раскрытия неограниченному кругу лиц.

перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение 11 ;
запрет на распространение и предоставление ПД неограниченному кругу лиц 12 ;
запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.

Если раньше обязанность доказать незаконность обработки ПД лежала на гражданине (субъекте ПД), то сейчас «обработчик и распространитель» ПД должен доказать законность распространения или обработки ПД. Закон прямо указывает, что лицо должно доказать законность последующего распространения или обработки ПД в случае, если ПД были раскрыты неопределенному кругу лиц субъектом без предоставления оператору согласия 21 . Это означает, что если субъект сам раскрыл свои ПД на сайте оператора, то ответственность несут только те лица, которые взяли ПД с указанного сайта и продолжают распространять или обрабатывать ПД.

1. Если ранее оператор должен был прекратить обработку ПД в течение 30 дней с момента получения от лица отзыва согласия, то сейчас он должен прекратить распространение, предоставление ПД и закрыть доступ к ним в любое время по требованию лица 18 . Согласие на распространение ПД прекращает действовать с момента, когда оператор получил такое требование 19 . При этом в законе не определена форма требования. Скорее всего, оно может быть оформлено как письменно, так и в электронном виде.

Требования к содержанию согласия на обработку персональных данных с

С 01.03.2023 введено такое понятие, как персональные данные, разрешенные субъектом персональных данных для распространения (закон от 30.12.2023 № 519-ФЗ). Это персональные данные, к которым субъект (работник) дает доступ неограниченного круга лиц путем дачи оператору (работодателю) специального согласия на их обработку.

Ф. И. О. субъекта персональных данных;
контактную информацию субъекта: номер телефона, адрес электронной почты или почтовый адрес;
сведения об операторе персданных;
Для оператора — организации это наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН (если он известен субъекту персональных данных), для физлица — Ф. И. О., место жительства или место пребывания, для ИП — Ф. И. О., ИНН, ОГРН.
сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
цели обработки персданных;
категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

персональные данные (Ф. И. О.), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
биометрические персональные данные;

категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;
срок действия согласия.
Срок можно определить не только календарной датой или периодом времени, но и наступлением каких-то событий. К примеру, указать, что согласие действует до тех пор, пока субъект (работник, клиент и т. п.) его не отзовет (постановление АС Северо-Западного округа от 21.11.2023 № Ф07-11732/2023).

Какие документы содержат персональные данные работников? Как получить и обрабатывать персданные? Какие документы о порядке обработки персональных данных должны быть в организации? Ответ на эти и другие вопросы о работе с персданными вы найдете в готовом решении от КонсультантПлюс. Пробный доступ к системе можно получить бесплатно.

Федеральный закон от N 152-ФЗ (ред

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2023, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2023, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

36. Персональное информирование участников НИС о состоянии их именных накопительных счетов осуществляется с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30 (ч. I), ст. 4217; ст. 4243; 2023, N 27 (ч. I), ст. 4164; 2023, N 9, ст. 1276).

Поручение обработки персональных данных
Договор на обработку персональных данных
Договор обработки персональных данных
Дополнительное соглашение на поручение обработки персональных данных

Зачем нужен документ:

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Персональные данные

Персональные данные в 2023 году: как работать, чтобы не нарушить закон

Основное изменение в том, что раньше брали разрешение на обработку персональных данных, а теперь нужно разрешение и на распространение. Поэтому юристы рекомендуют переписать соглашения с клиентами, с пользователями или сотрудниками, которые подписали до этого. Потому что даже отправка информации в банк, чтобы оформить зарплатную карту — это распространение персональных данных, а для этого нужно согласие. Вот. что еще лучше сделать, чтобы не нарушить закон:

✔В законе написано, что персональные данные необходимо использовать по назначению бизнеса. Например, кадровому агентству понадобятся ФИО и сведения об образовании, а вот паспортные данные не нужны. Сотрудники Роскомнадзора на вебинарах говорят, что это главная ошибка предпринимателей. Поэтому компании лучше разработать нормативные документы, чтобы указать, как собирают данные и с какой целью.

После этого каждая компания обязана направить в Роскомнадзор информацию, что она — оператором персональных данных. По закону это делают до того, как начался сбор данных. Для уведомления зайдите на сайт Роскомнадзора и заполните специальную форму. С 1 июля ведомство обещает сделать специальный электронный сервис для отправки уведомлений.

Специалисты уверены, что дело в кибермошенниках, которые активны в последнее время. Например, в 2023 году они украли у россиян 10 миллиардов рублей, а это на 52, 2 % больше, чем в 2023 году. Это происходит и потому, что пользователи активно оставляют данные в сети. Они соглашаются на обработку данных, но затем информация утекает в третьи руки.

Роскомнадзор намерен строго спрашивать с предпринимателей правила работы с персональными данными. На сайте ведомства есть план проверок на этот год. Увеличиваются и штрафы за нарушение работы. Например, ИП и ООО могут потерять от 20 000 до 150 000 рублей. Поэтому лучше выполнить все требования закона.

Персональные данные в 2023 году

Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.
Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
В согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Шаг 2. Добавить к фразе «Даю согласие на обработку своих персональных данных» ссылку на документ, в котором прописываются условия обработки персональных данных. Если Вы используете Cookie и аналогичные технологии, то об этом тоже нужно предупреждать.

внедрить комплект по защите персональных данных, сложить в папку и хранить на случай проверки;
разместить «Политику обработки персональных данных» на видном и доступном клиенту месте, например, в «Уголке потребителя»;
хранить физические носители персональных данных в строго отведенных местах с ограниченным доступом к ним;
в компьютере обеспечить безопасность и недоступность персональных данных для просмотра недоверенным лицам.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки персональных данных.

относятся к субъектам, которых связывают с оператором трудовые отношения;
получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
являются общедоступными;
включают только ФИО субъектов персональных данных;
нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.

ФИО;
контактные данные (телефон, электронная почта, адрес);
информация об операторе-компании;
информация об операторе-физлице;
информация об операторе-ИП;
информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
цель обработки сведений;
категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
срок действия согласия.

В п. 9 ст. 9 Закона № 152-ФЗ указывается, что требования к информации, включаемой в согласие на обработку персональных данных, определяет Роскомнадзор. Данные требования он указал в Приказе от 24.02.2023 г. № 18 — документ вступил в законную силу с 1 сентября 2023 года.

С 1 марта 2023 года начали действовать изменения, внесенные в Закон от 27.07.2006 г. № 152-ФЗ. Данные корректировки коснулись вопроса предоставления доступа к информации субъекта через согласие на ее обработку. Нововведения были приняты для решения проблемы бесконтрольного использования персональных сведений граждан третьими лицами.

Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

31) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта); (Пункт введен — Федеральный закон от 29.07.2023 № 223-ФЗ)

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; (В редакции федеральных законов от 21.12.2013 № 363-ФЗ; от 03.07.2023 № 231-ФЗ)

Новые правила обработки и распространения персональных данных с 1 марта 2023 года

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2023). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит необходимые сведения, указанные в уведомлении в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

Операторы, которые осуществляли обработку персональных данных до 1.07.2011, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1,10 и 11 части 3 статьи 22 Федерального закона, не позднее 1.01.2013.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1.01.2008.

В случае предоставления неполных или недостоверных сведений, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. В случае изменения сведений, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

07 Мар 2022 klasterlaw 433