С 1 марта 2024 года законодательство в области персональных данных (далее – ПД) было существенно изменено. Поговорим сегодня о новшествах, которые коснутся всех операторов ПД и о том, что нужно обязательно учитывать при работе с ПД.
Новый порядок направления уведомлений об изменениях
Согласно новым правилам, оператор ПД обязан уведомить Роскомнадзор об изменениях представленных им ранее сведений об обработке ПД, произошедших за месяц, в срок не позднее 15 числа следующего месяца (ч. 7 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
Подается уведомление в отношении всех изменений.
По ранее действовавшим правилам такие уведомления в виде информационного письма направлялись не позднее 10 рабочих дней с момента изменения.
Уведомлять нужно об изменении сведений, содержащихся в уведомлении об обработке (начале обработки) ПД, которое является основанием для включения в реестр операторов персональных данных.
Как правило, за направление писем об изменении сведений об обработке ПД в компании отвечает лицо, ответственное за организацию обработки ПД.
Обращаем внимание: если уведомление не представлено, организацию могут привлечь к административной ответственности по ст. 19.7 КоАП РФ и оштрафовать на сумму до 5 тыс. руб.
Обязанность хранить доказательства уничтожения ПД в течение 3 лет
До вступления изменений в силу операторы самостоятельно определяли порядок фиксации факта уничтожения ПД.
С 1 марта 2024 года операторы при уничтожении ПД должны составить специальный документ – акт об уничтожении персональных данных.
Отметим, что организации и раньше могли оформлять такие документы. Кроме того, делать это рекомендовал Роскомнадзор. Однако с 1 марта 2024 года составлять такой акт нужно обязательно, и к данному документу предъявляются определенные требования.
Оператор должен составить акт в случаях:
- уничтожения материальных (бумажных) носителей, содержащих ПД (обработка без использования средств автоматизации);
- уничтожения ПД, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации).
Помимо прочего, акт об уничтожении должен содержать перечень категорий уничтоженных ПД, наименование уничтоженного носителя, содержащего ПД. В акте необходимо отразить, в частности:
- количество листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
- наименование информационной системы ПД, из которой данные были уничтожены (при их обработке с использованием средств автоматизации);
- способ и причину уничтожения.
Если обработка осуществлялась с использованием средств автоматизации, подтверждением факта уничтожения ПД послужит также выгрузка из журнала регистрации событий в информационной системе персональных данных (вместе с актом об уничтожении). Если указать часть данных в выгрузке невозможно, их можно отразить в акте. В рассматриваемом случае подтверждением будут оба способа, независимо от того, как обрабатывались ПД.
Минимальный срок, в течение которого необходимо хранить акты об уничтожении ПД и выгрузку из журналов регистрации событий – 3 года (Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»).
Отметим, что под уничтожением ПД понимаются действия, после осуществления которых невозможно восстановить содержание ПД. Например, шредирование материальных (бумажных) носителей ПД.
Уничтожение ПД оператор осуществляет:
- при отзыве субъектом ПД согласия на их обработку;
- после достижения целей обработки или в случае утраты необходимости в достижении этих целей;
- если их обработка неправомерна (например, если Роскомнадзор отказал в трансграничной передаче ПД иностранным лицам);
- при получении требования от субъекта ПД об уничтожении его данных в случае, если они являются незаконно полученными, неполными, неточными, устаревшими, или не являются необходимыми для цели обработки.
Важно правильно оформлять акты и выписки, поскольку именно эти документы обезопасят оператора в случае претензий со стороны субъектов ПД и Роскомнадзора и позволят подтвердить прекращение обработки определенных данных.
Обращаем внимание: если Роскомнадзор или субъект ПД потребует уничтожения данных, а оператор не выполнит требование, и если при этом ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, компания может быть привлечена к административной ответственности по ч. 5 ст. 13.11 КоАП РФ. Штраф за такое нарушение установлен в размере до 90 тыс. руб.
В то же время правильно оформленным Актом об уничтожении (и выпиской) компания сможет доказать выполнение обязанности и обезопасит себя от разбирательств.
Правильное сообщение об утечке персональных данных
Вступил в силу Порядок взаимодействия Роскомнадзора и операторов ПД в рамках ведения реестра учета инцидентов в области ПД (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022 г. № 187).
Под инцидентом следует понимать любой факт, повлекший неправомерную передачу (предоставление, распространение, доступ) ПД. Операторы обязаны уведомлять Роскомнадзор о таких фактах, повлекших нарушение прав субъектов ПД.
Уведомление может быть первичным (должно быть представлено в течение 24 часов) или дополнительным (предоставляется в течение 72 часов).
Первичное уведомление должно содержать сведения о произошедшем инциденте, его возможных причинах, предполагаемом вреде субъекту ПД, а также возможные меры по устранению вреда.
Дополнительное уведомление должно содержать сведения о результатах внутреннего расследования инцидента с указанием виновных лиц в случае, если в ходе расследования они были выявлены.
Отметим, что у Роскомнадзора есть право запросить дополнительную информацию, если он посчитает, что предоставленные оператором сведения были недостаточными или недостоверными. В таком случае у оператора появляется обязанность предоставить запрашиваемые сведения в 3-дневный срок.
Роскомнадзор может направить оператору требование о предоставление уведомления, если обнаружит утечку его баз данных. Направляя в ответ уведомление, оператор ПД вправе указать, что не выявлял факта утечки данных и приложить доказательства того, что утечки не было. В качестве такого доказательства может выступать акт, содержащий результаты внутреннего расследования.
Новые правила оценки вреда
Вступили в силу и будут действовать до 1 марта 2029 года Требования к оценке вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона «О персональных данных» (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178).
Установлено, что оценку вероятного вреда должно осуществлять лицо, ответственное за организацию обработки ПД либо созданная оператором комиссия.
Для целей оценки вреда указанные субъекты определяют одну из степеней вреда, который может быть причинен субъекту ПД в случае нарушения Федерального закона «О персональных данных». Степени разделены на три категории: высокую, среднюю или низкую.
Для определения степени вреда оцениваются разные факторы, в том числе:
- обработка ПД несовершеннолетних лиц;
- распространение ПД на сайте;
- обработка биометрических ПД или специальных категорий ПД (о национальной, расовой принадлежности, религиозных убеждениях и др.);
- обезличивание ПД, в том числе для оказания специализированных услуг;
- поручение обработки ПД иностранным лицам или сбор данных с использованием баз, находящихся за границей;
- продвижение товаров и услуг через контакты с потребителями с использованием собственных баз ПД;
- получение согласия на обработку ПД посредством реализации на официальном сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПД и другие факторы.
Результаты оценки необходимо зафиксировать в акте оценки вреда.
Если оценка вреда покажет, что субъекту ПД могут быть причинены разные степени вреда, применению подлежит более высокая степень вреда.
Конкретные меры ответственность за непроведение оценки вреда законодатель не установил, однако если нарушение будет выявлено в ходе проводимой Роскомнадзором проверки, его нужно будет устранить. Роскомнадзор вправе выдать компании соответствующее предписание.
Подведем итог сказанному.
Законодательство о ПД постоянно изменяется и дополняется. При этом оператору ПД необходимо быть в курсе всех изменений, поскольку незнание не освобождает от ответственности, а неисполнение обязательных требований влечет санкции.
Для исключения нарушений законодательства и вызванных ими неблагоприятных последствий рекомендуем предпринимателям:
- Регулярно анализировать процессы обработки ПД для их своевременной актуализации, в том числе в реестре операторов ПД. Необходимость таких мероприятий вызвана тем, что в процессе проверки Роскомнадзор сверяет данные, содержащиеся во внутренней документацией компании с данными из реестра.
- Разработать и утвердить внутренние документы (регламенты), регулирующие вопросы:
Это могут быть, например:
- регламент по учету, хранению носителей персональных данных и уничтожению персональных данных;
- регламент определения уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных и оценке вреда субъекта персональных данных;
- регламент по проведению внутренних контрольных мероприятий и реагированию на инциденты информационной безопасности в информационных системах персональных данных и иных инцидентов в области персональных данных.
- Разработать и утвердить формы (шаблоны) соответствующих актов (об уничтожении ПД, об оценке вреда) и выписок их журналов событий информационной системы персональных данных.
Указанные мероприятия потребуют от специалистов компании специальных знаний и временных затрат. Для экономии времени рекомендуем доверить процессы анализа документации компании, оценки возможных рисков и разработки необходимых актов профессиональным юристам.
Защита персональных данных: новые требования и обязанности фирм
19.09.2022 распечатать Защита персональных данных в настоящий момент приобрела приоритетное значение. Поэтому в спешном порядке были подготовлены и приняты поправки в закон о персданных, большинство из которых вступили в силу с сентября 2022 года. Следующая «порция» заработает в марте 2024 года.
У работодателей появились новые обязанности, законодатели сократили ряд сроков, ввели очередные запреты для операторов персданных.
Большинство норм Федерального закона от 14.07.2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”» вступили в силу с 01 сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2024 года (какие именно, расскажем ниже). Цель поправок – усиление защиты субъектов персональных данных и обеспечение неприкосновенности их частной жизни.
Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию о гражданах, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения. В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих непростых условиях.
Как подавать уведомление об обработке персональных данных после 1 сентября 2022 года Читать далее…
Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под ее юрисдикцию. Трансграничная передача персданных нашими законами практически не регулируется, а осуществляется большим количеством операторов повсеместно и в больших масштабах. Рассмотрим подробнее, какие меры ввело государство для защиты персональных данных и что это значит для работодателей, операторов персданных и рядовых граждан.
Изменения в Законе о персданных
- трансграничной передачи персональных данных;
- обработки специальных категорий данных (например, состояние здоровья человека);
- биометрических данных; персональных данных несовершеннолетних лиц;
- а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.
У ведомства по закону будет 30 дней на согласование проекта документа.
Новые запреты
В договор с субъектом персональных данных нельзя включать следующие условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):
- ограничивающие его права и свободы. Например, на отзыв согласия на обработку персданных или соблюдение дополнительных условий для такого отзыва, включая значительный срок, за который нужно подать уведомление оператору;
- устанавливающие случаи обработки персданных несовершеннолетних лиц, если иное не предусмотрено законодательством РФ;
- допускающее в качестве условия заключения договора бездействие субъекта персональных данных.
Скажем, у оператора может возникнуть соблазн не получать отдельное согласие от гражданина, а включить условие о заранее данном согласии в оферту, к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, он должен проставить соответствующее обозначение. Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя.
Чем подтвердить факт удаления персональных данных?
Поручение по обработке персданных
Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам, в том числе государственным и муниципальным органам власти. Лицо, которому поручается обработка, должно обеспечить базовые принципы обработки данных, их конфиденциальность, принимать меры к выполнению всех своих обязанностей.
В самом поручении на обработку нужно определить:
- перечень данных,
- перечень действий по их обработке,
- цели и иные обязательные требования;
- право оператора и корреспондирующую обязанность лица, которому поручается обработка, предоставлять документы и информацию, подтверждающие выполнение обязательных требований.
Естественно, оператору не стоит ограничиваться только поручением, а рекомендуется заключить договор и оформить соответствующие отношения как обязательства, включив в него в том числе штрафы за нарушения в соответствии со ст. 330 ГК РФ.
Также на случай нарушения контрагентом условий договора можно предусмотреть, что он в качестве имущественных потерь возместит все суммы штрафов, компенсаций и иных расходов и других убытков, которые возникнут в связи с предъявлением требований со стороны субъектов персональных данных и контролирующих органов (ст. 406.1 ГК РФ). Такое договорное условие позволит вашей организации как оператору персданных создать источник возмещения за счет контрагента-нарушителя, учитывая, что от рисков неправильных действий (бездействия) в отношении персданных сейчас никто не застрахован.
С 1 сентября 2022 года вступили в силу…
К кому требования о распространении персданных не относятся
Требования ст. 10.1 Закона № 152‑ФЗ об особенностях обработки персданных путем распространения теперь не будут касаться не только государственных и муниципальных органов, но и подведомственных им организаций (ч. 15 указанной статьи).
Поправка логична, учитывая, что не все свои властные полномочия и функции органы власти осуществляют самостоятельно. Для этих целей они создают и используют подведомственные организации. В ином же случае деятельность органов власти была бы существенно затруднена дополнительными формальностями, связанными с необходимостью получения согласия от субъекта персональных данных и организацией этого процесса.
Биометрические персданные
Согласно новой ч. 3 ст. 11 Закона № 152‑ФЗ, получение биометрических персональных данных обязательным не является. Подобное уточнение совсем не лишнее, учитывая, что банки и иные профессиональные участники рынка их собирают (достаточно вспомнить, как при открытии счета в банке клиентов фотографируют), но при этом многие из них, к сожалению, так и не научились должным образом их защищать (в новостях информация о масштабных «сливах» персданных появляется чуть ли не еженедельно).
Поэтому граждане теперь могут отказываться предоставлять биометрические данные. А организация будет не вправе на этом основании отказать в заключении договора. Такой отказ будет считаться незаконным (См. также информацию на сайте Минцифры России.
Фирмы обязаны сообщить об утечке персданных
Трансграничная передача персданных
С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор.
Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если какие-то организации осуществляют трансграничную передачу уже сейчас, такое уведомление им необходимо направить в ведомство до 01.03.2023. Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных.
Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.
Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:
- о принимаемых мерах по защите прав субъектов персональных данных;
- правовом регулировании персданных в иностранном государстве;
- об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.
Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления). При положительном решении регулятора оператор может осуществлять трансграничную передачу персданных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора.
Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.
Какие условия больше нельзя включать в договор с потребителем
Взаимодействие с ГосСОПКА
На оператора теперь возложена обязанность обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ — ГосСОПКА (См. ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст.
19 Закона № 152‑ФЗ).
Порядок такого взаимодействия будет определен органом власти, уполномоченным в сфере обеспечения безопасности (видимо, имеется в виду МВД РФ). Такая мера позволяет повысить гарантии информационной безопасности нашей страны в целом за счет эффективной и слаженной защиты всех ее информационных элементов на самых различных уровнях, а также позволяет более плотно вовлечь операторов в юридически значимые для органов власти процессы.
Раз оператор как предприниматель зарабатывает в нашей стране, в том числе на использовании персональной информации граждан, он должен более ответственно, а не формально подходить и к вопросам ее защиты. Более того, он сам непосредственно участвует в обработке персональных данных, поэтому может и обязан незамедлительно сигнализировать о возможных нарушениях и инцидентах, а не делать вид, что они его не касаются.
Новые сроки
Оператору персональных данных стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). Так, оператору в этот период необходимо:
- ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
- дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
- сообщить Роскомнадзору необходимые сведения по его запросу.
Кроме того, у оператора появились новые обязанности по уведомлению Роскомнадзора (ч. 3.1 ст. 21 Закона № 152‑ФЗ). При выявлении случаев неправомерной или случайной передачи персданных оператор обязан:
- в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту персданных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;
- в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.
При обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней. Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст.
21 Закон № 152‑ФЗ). Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Роскомнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.
Наказание за утечку данных очень сильно «подорожает»
Изменения в законодательстве о госрегистрации недвижимости и нотариате
Теперь рассмотрим правки, внесенные в Федеральный закон от 13.07.2015 № 218‑ФЗ «О государственной регистрации недвижимости» (далее – Закон № 218‑ФЗ) и Основы законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 № 4462-1), связанные с персональными данными граждан.
Доступ к ЕГРН
С 01.03.2023 по новым правилам, установленным ст. 36.3 Закона № 218‑ФЗ, персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица – субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления гражданина, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права.
В отсутствие указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов.
Пострадавшим от утечек персданных могут компенсировать убытки
Сложно пока представить, зачем это нужно правообладателю, если только он не собственник нежилого здания, в котором он всем сдает регулярно помещения в аренду, хотя и здесь лучше адресно давать нужную информацию только заинтересованным потенциальным клиентам, а не обеспечить доступность данных всем желающим.
Заметим, пишет «ДелоПресс», что открытые данные давно возмущали чиновников и депутатов, ведь в прессе регулярно писали об их новых объектах недвижимости. Теперь эта информация стала закрытой.
Новые функции нотариусов
В связи с этим с 01.03.2023 расширены права нотариусов на направление запросов в Росреестр для получения персданных владельцев недвижимости из ЕГРН, с оформлением полученных сведений в виде свидетельства, которое за плату выдается заявителю (ст. 85.1 Основ законодательства РФ о нотариате).
Для получения такой услуги заявитель должен обосновать нотариусу причины и представить документ, в том числе основной договор или предварительный договор между заявителем и собственником недвижимости, подтверждающий их намерение совершить сделку купли-продажи или иного отчуждения объекта недвижимости. Например, на практике обычно при покупке квартиры или земельного участка с жилым домом стороны заключают предварительный договор или соглашение об авансе, где фиксируют все свои договоренности о будущей сделке.
Заявитель может и сам получить сведения из ЕГРН, обратившись в МФЦ за бумажным документом или через сервисы Росреестра, что гораздо проще. Это быстрее и удобнее, однако там будут сведения про сам объект недвижимости и Ф.И.О. владельца. Обращение к нотариусу позволит получить более расширенные сведения, и такое нововведение имеет важное практическое значение с точки зрения безопасности участников гражданского оборота, планирующих покупку недвижимого имущества.
Бизнес против закрытия ЕГРН – облегчит жизнь мошенникам
Кстати, покупка недвижимости вовсе не единственный случай, когда заявителю потребуются такие сведения. Например, лучше получить свидетельство у нотариуса, если заявитель намерен обратиться в суд за возмещением причиненного ущерба его личности или имуществу, когда для возмещения такого ущерба необходимы сведения об объекте недвижимости и о его правообладателе.
Так, если правообладатель устроил пожар или залив, и заявитель с ним будет вынужден судиться, а речь при этом идет о довольно значительной сумме, важно обеспечить исковые требования в суде, заявив ходатайство о наложении ареста на активы должника в пределах суммы исковых требований. Можно получить и общую выписку из ЕГРН, но свидетельство от нотариуса подойдет гораздо лучше, поскольку судья в нем увидит исчерпывающие сведения, представляющие интерес для дела.
Объект недвижимости может виндицироваться у правообладателя, либо может обсуждаться вопрос об обращении на него взыскания по его долгам в соответствии с законом. В таких случаях получение с помощью нотариуса исчерпывающей и максимально полной информации о правообладателе имеет существенное значение для оперативного судебного разбирательства. Это, с одной стороны, расширяет правовые возможности самих участников гражданского оборота, а с другой – снижает нагрузку на судейский корпус.
Ведь суды будут избавлены от необходимости совершения излишних процессуальных действий.
—> Ваш браузер не поддерживает плавающие фреймы!
Мы пишем полезные статьи, чтобы помочь вам разобраться в сложных проблемах бухучета, переводим сложные документы «с чиновничьего на русский». Вы можете помочь нам в этом. Это легко.
*Нажимая кнопку отплатить вы совершаете добровольное пожертвование
Персональные данные с 1 марта 2024 года: изменения, новые бланки и образцы документов
С 1 марта 2024 года – множество изменений в части работы с персональными данными. Эти изменения затрагивают различные сферы как бизнеса, так и обычных физических лиц. Данная статья – это полноценный обзор по этой теме.
Также мы подготовили для наших читателей все необходимые бланки и образцы документов по персональным данным, которые вы можете скачать абсолютно бесплатно. Лучшая благодарность для нас – если вы прочитаете эту статью и подпишитесь на наш телеграмм-канал «Осторожно, бухгалтерия».
Обработка персональных данных в 2024 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.
Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве. Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.
Напомним, что еще до 1 марта 2024 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных».
С 1 марта 2024 года требований к обработке персональных данных становится еще больше. Кроме того, в 2024 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.
Уведомление об изменении персональных данных: новый срок
Образцы всех документов по персональным данным с 1 марта 2024 года есть в Консультант Плюс.
Уничтожение персональных данных: новые правила
С 1 марта 2024 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:
- актом об уничтожении персональных данных;
- выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.
Обязательные реквизиты акта об уничтожении персональных данных
Обязательные реквизиты выгрузки
Оценка степени вреда: новый порядок
Степени вреда всего 3 (три):
Таблица. Какие персданные к какой степени вреда относятся
Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.
Передача персональных данных за границу
С 1 марта 2024 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя.
О своем решении компанию уведомят в течение 10 рабочих дней.
Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.
Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.
Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/
РКН ужесточает проверки
Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным ( постановление от 04.02.2023 № 161). Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.
РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.
Образцы документов, которые нельзя игнорировать в 2024 году
Полный комплект документов по персональным данным скачайте в Консультант Плюс.
Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2024 году:
Название документа | Ссылка на скачивание |
Положение о работе с персональными данными работников | СКАЧАТЬ |
Положение о порядке уничтожения персональных данных | СКАЧАТЬ |
Приказ о создании комиссии по уничтожению документов с персональными данными | СКАЧАТЬ |
Общая форма согласия на передачу и обработку персональных данных | СКАЧАТЬ |
Согласие на обработку персональных данных на сайте | СКАЧАТЬ |
Обязательство о неразглашении персональных данных | СКАЧАТЬ |
Видео по теме
- Предыдущая запись
- Следующая запись
Как в 2024 году работодателям уведомлять Роскомнадзор об обработке персональных данных
В 2024 года все (без исключения) работодатели обязаны направить в Роскомнадзор (РКН) уведомление об обработке персональных данных. Как его заполнить? Как передать в РКН уведомление о начале обработки персональных данных? Что будет, если проигнорировать и ничего не направить? Нужно ли это делать ИП?
Ответим на вопросы, также вы сможете ознакомиться с примерами заполнения уведомлений в РКН в 2024 году.
Уведомить РКН обязаны все работодатели – иначе штраф
До начала обработки персональных данных сотрудников, работодатель обязан уведомить об этом территориальный орган Роскомнадзора. С 1 сентября работодатель обязан уведомлять о начале обработки персданных, даже если обрабатывает их в целях трудового законодательства. Если не отправить уведомление, организацию оштрафуют на сумму до 5000 руб. (письмо Роскомнадзора от 19.08.2022 № 08-75348).
Таким образом, обязанность по уведомлению возложена на всех работодателей (и организации и ИП). Ведь все работодатели обрабатывают персональные данные своих сотрудников. Получив уведомление, РКН вносит работодателя в реестр операторов персональных данных.
РКН утвердил 3 формы уведомлений
26 декабря 2022 года вступил в силу приказ Роскомнадзора, которым утверждены 3 формы уведомлений:
- уведомление о намерении осуществлять обработку персональных данных;
- уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
- уведомлене о прекращении обработки персональных данных.
Если говорить, что “новшества”, то первые два уведомления отличаются от прежних форм тем, что теперь для каждой категории физлиц нужно отдельно:
- указывать цели обработки информации;
- перечислять, какие персональные данные обрабатываете;
- уточнять, на основании какого нормативного акта обрабатываете данные именно этой категории физлиц;
- указывать, что будете делать с полученными данными и как собираетесь их обрабатывать — электронно или на бумаге.
Например, компания работает с персональными данными работников и клиентов. Сначала в первых двух уведомлениях потребуется указать цели, перечень персональных данных, категорию физлиц, правовые основания и способы обработки только по работникам. Затем – то же самое по клиентам компании и другим категориям физлиц.
Что касается третьего уведомления у о прекращении обработки персональных данных, то в нем нужно указать только причину и дату, когда прекратили обрабатывать персданные.
Заполняем уведомление о намерении осуществлять обработку персональных данных: образец
Допустим, мы (работодатель) хотим заполнить уведомление в отношении своих работников. Это значит мы собираем данные с целью, например, оформления трудовых отношений с работниками, ведения кадрового учета, выплаты заработной платы, а также осуществления трудовых взаимоотношений с работниками в соответствии с видами деятельности, указанными в уставе организации.
Четких и фиксированных формулировок для заполнения уведомления не существует. Главное – чтобы было понятно о чем идет речь. Однако для разных категорий могут быть самые разные цели обработки персональных данных. В таблице мы обобщили несколько примеров:
Перед вами выдержка из такого уведомления:
Уведомление можно направить в электронном виде через специальную форму на сайте Роскомнадзора. Если направили уведомление в электронном виде, подпишите его электронной подписью и отправьте через сайт Роскомнадзора или через Госуслуги. Чтобы подписать уведомление и направить его через сайт Роскомнадзора установите специальный плагин на сайте ведомства.
Если заполнили уведомление на бумаге, подпишите его у руководители и направьте в территориальный орган Роскомнадзора в вашем регионе.
Уведомления об изменении/прекращении персональных данных
- Когда в работе с персданными что-то поменяется, заполните второе уведомление — о внесении изменений. Например, если раньше предупреждали Роскомнадзор, что обрабатываете данные сотрудников, а потом стали работать с другими категориями (например, с клиентами). Уведомление об изменениях в обработке персданных похоже на первое. Формируйте его по аналогии, оставляя пустыми графы, в которых сведения не поменялись.
- С уведомлением о прекращении обработки персональных данных проблем быть не должно: в нем нужно указать только причину и дату, когда прекратили обрабатывать персданные.
Образцы от РКН
Роскомнадзор подготовил и разместил на своем официальном сайте примеры заполнения соответствующих уведомлений:
- об обработке (о намерении осуществлять обработку) персональных данных;
- об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
- о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.