Какие подводные камни есть в теме персональных данных в этом году, расскажем в статье.
Какой новый закон появился в 2024 году
Федеральный закон от 14.07.2022 № 266-ФЗ изменил правила работы с персональными данными. Основные его положения заработали с 1 сентября 2022 года.
Что этот закон меняет
Новых требований много, мы остановимся на самых важных. Во-первых, теперь правила работы с персональными данными должны соблюдать иностранные операторы ПД.
Операторы персональных данных – это государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки этих данных.
Далее: согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, а также предметным и однозначным. Биометрические персональные данные – это особая категория персональных данных. Человек должен сообщить такие данные о себе только в случаях, которые перечислены в ч. 2 ст. 11 Закона 266-ФЗ.
Во всех остальных ситуациях предоставление биометрических данных не может быть обязательным.
Дальше: оператор ПД по-новому взаимодействует с человеком, чьи персональные данные обрабатывает. Например, теперь действует запрет отказывать в обслуживании человеку, который не хочет сообщать свои биометрические данные.
Что должен делать оператор ПД
- заранее сообщать человеку, чьи ПД он получил не от него самого, среди прочей информации перечень персональных данных, которые оператор будет обрабатывать (ч. 3 ст. 18 Закона),
- предоставлять человеку информацию о способах выполнения оператором обязанностей, которые предусмотрены Законом (ч. 7 ст. 14 Закона);
- прекратить обработку ПД человека, который потребовал этого, в срок не позднее 10 рабочих дней с даты получения обращения (ч. 5.1 ст. 21 Закона).
Этот срок можно продлить, но не больше чем на 5 рабочих дней, заранее уведомив человеку.
Но прекращать обработку ПД надо не всегда. Исключения такие:
- оператор обрабатывает ПД не по согласию человека, а по другим основаниям (например, когда обработка нужна для исполнения судебного акта),
- оператор законно обрабатывает биометрические ПД,
- оператор законно обрабатывает специальные категории ПД (которые касаются расовой, национальной принадлежности гражданина, политических взглядов, состояния здоровья и т.п.)
Что с доступом человека к своим ПД: новые сроки
Челочек, чьи персональные данные обрабатывает оператор, имеет право на доступ к ним. В частности, он может рассчитывать на получение следующих сведений:
- подтверждение факта обработки его данных оператором;
- правовые основания и цели обработки;
- подробная информация об операторе;
- сами обрабатываемые ПД;
- источник их получения, сроки обработки.
Получить всю эту информацию может сам человек или его представитель. Для этого надо обратиться к оператору с обращением или запросом (ст. 14 Закона).
С 1 сентября 2022 года действуют новые нормы о сроках доступа человека к своим ПД. Оператору дается всего 10 рабочих дней, чтобы успеть предоставить запрошенную информацию. Этот срок можно увеличить, но не больше чем на 5 рабочих дней, по решению самого оператора.
Тогда человека надо уведомить об этом и указать причины, по которым срок ответа продлевается.
Важно! Требуемые сведения оператор направляет человеку или его представителю в той же форме, в какой тот направил обращение или запрос. Правда, заявитель может указать в них другие предпочтительные варианты получения информации.
- персональные данные
- защита персональных данных
- обработка персональных данных
Удаление персональных данных: что нового с марта 2024 года
С марта вопрос об удалении персональных данных (ПДн) при достижении целей их обработки или при наступлении иных законных оснований стал особенно актуальным. Это связано со вступлением в силу Федерального закона от 14.07.2022 № 266-ФЗ, который внес соответствующие изменения в ряд статей Закона о персональных данных.
Юлия Холодионова Юрист, ведущий специалист по разрешению трудовых споров и конфликтов
Ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) определяет ПДн как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физлицу (субъекту ПДн). Таким образом, на уровне федерального закона закреплена обязанность операторов обработки ПДн — государственных органов, муниципальных органов, юридических или физических лиц, самостоятельно или совместно с другими лицами организующих и (или) осуществляющих обработку ПДн, а также определяющих цели их обработки, состав ПДн, подлежащих обработке, действий (операций), которые совершаются с ПДн.
При этом закон подразумевает под обработкой данных любые действия, совершаемые с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Достаточно широкий круг, не так ли?
Меры защиты персональных данных
С 1 марта 2024 года стал актуальным вопрос об удалении ПДн при достижении целей их обработки или при наступлении иных законных оснований. Федеральным законом от 14.07.2022 № 266-ФЗ внесены соответствующие изменения в ряд статей 152-ФЗ. Так, ст. 18.1 указывает на необходимость оператора принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
Причем оператор самостоятельно определяет состав и перечень этих мер. К мерам, которые актуализированы с 1 марта 2024 года, относятся следующие:
- Издание оператором, являющимся юрлицом, документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам ПДн, определяющих для каждой цели обработки категории и перечень обрабатываемых данных, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством полномочия и обязанности.
- Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ. Перечень степеней оценки вреда определен Приказом Роскомнадзора от 27.10.2022 № 178 (период действия — с 1 марта 2024 года до 1 марта 2029 года).
Оценка вреда в результате нарушения 152-ФЗ
В случае оценки вреда речь идет о разграничении степеней вреда на высокую, среднюю и низкую. При этом нормативный акт подробно описывает, что к ним относится.
Высокая степень вреда
Так, к высокой степени вреда относится:
- обработка сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются оператором для установления личности субъекта ПДн;
- обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
- обработка ПДн несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ;
- обезличивание ПДн, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг и в других случаях.
Средняя степень вреда
Характеризуется следующими сценариями:
- обработкой и распространением ПДн на официальном сайте оператора, предоставление ПДн неограниченному кругу лиц;
- продвижением товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз ПДн, владельцем которых является иной оператор;
- получением согласия на обработку ПДн посредством функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
- осуществлением деятельности по обработке ПДн, предполагающей получение согласия на обработку, содержащего положения о предоставлении права осуществлять обработку ПДн определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкая степень вреда
Может охватывать ведение общедоступных источников ПДн, сформированных в соответствии со ст. 8 Закона о персональных данных или назначение в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.
При наступлении последствий в виде разглашения указанных сведений результаты оценки вреда должны быть зафиксированы в акте. Допускается электронный формат такого документа, но в этом случае он должен быть подписан ЭП. Таким образом он будет равнозначен документу на бумажном носителе, подписанном собственноручно.
Требования к оператору персональных данных по устранению нарушений
Ст. 21 Закона о персональных данных устанавливает требования к оператору по устранению нарушений, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн. Так, в частности, согласно п. 3.1, в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн оператор обязан уведомить об этом Роскомнадзор. А именно:
- в течение 24 часов поставить в известность об инциденте и причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде и принятых мерах по устранению последствий произошедшего, а также предоставить сведения о лице, которое взаимодействует с Роскомнадзором по вопросам, связанным с выявленным инцидентом;
- в течение 72 часов сообщить о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Прекращение обработки персональных данных
Если цель обработки ПДн была достигнута, то оператор обязан либо прекратить их обработку, либо обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение в течение 30 дней с даты достижения цели обработки ПДн.
Субъект ПДн вправе отозвать согласие на обработку его данных, а оператор в таком случае — обязан прекратить их обработку, и в случае, если сохранение данных более не требуется для целей обработки, уничтожить их в срок, не превышающий 30 дней с даты поступления отзыва.
Согласно п. 5.1 ст. 21 Закона о персональных данных, в случае если к оператору обращаются с требованием прекратить обработку данных, он обязан это сделать в течение 10 рабочих дней. Однако срок может быть продлен не более чем на 5 рабочих дней, если оператор направит субъекту ПДн мотивированное уведомление, в котором будут указаны причины продления срока.
Если отсутствует возможность уничтожения ПДн в течение установленного срока, оператор обязан заблокировать данные и обеспечить их уничтожение в срок не более чем 6 месяцев.
Факт уничтожения ПДн в указанных случаях осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных — на основании Приказа Роскомнадзора от 28.10.2022 № 179. Согласно этому нормативному акту (п. 8), акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе персональных данных подлежат хранению в течение 3 лет с момента уничтожения данных.
Что изменится в работе с персональными данными с 1 марта 2024 года
1 марта вступает в силу ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ («О персональных данных»). Они касаются ограничений при передаче персональных данных (ПДн) за рубеж, оценки ущерба субъекта ПДн от утечки, а также подтверждения уничтожения данных.
- Уведомление о трансграничной передаче персональных данных
- Уведомление об утечке персональных данных
- Оценка вреда, который может быть причинен субъектам персональных данных
- Подтверждение уничтожения персональных данных
Уведомление о трансграничной передаче персональных данных
Оператор, осуществляющий трансграничную передачу персональных данных, то есть за границу (например, при заключении контрактов с зарубежными партнерами, направлении сотрудников в командировки, на обучение), должен поставить об этом в известность Роскомнадзор. Для этого в ведомство нужно подать соответствующее уведомление (Федеральный закон от 14.07.2022 № 266-ФЗ).
Что важно знать:
- Уведомление подается только один раз — до того, как такая передача ПДн начнет осуществляться.
- Уведомление направляется отдельно от других уведомлений о намерении осуществлять обработку ПДн.
- В уведомлении указываются все страны, куда уже передаются ПДн.
Направить в Роскомнадзор уведомление об осуществлении трансграничной передачи данных следует до 1 марта 2024 года по специальной форме.
Ведомство приводит образец заполненного уведомления. В нем указываются:
- цели трансграничной передачи (их может быть несколько);
- правовое основание трансграничной передачи;
- категории передаваемых ПДн;
- категории субъектов ПДн, персональные данные которых передаются;
- иностранные государства, на территории которых осуществляется передача.
Ранее ведомство предупреждало, что несмотря на то, что новый порядок трансграничной передачи данных начинает применяться с 1 марта 2024 года, операторы, которые уже до этого передавали данные за границу, обязаны направить уведомление о трансграничной передаче заранее, чтобы в дальнейшем не приостанавливать свою деятельность.
Решение о запрете или ограничении передачи персональных данных в другие страны
После того, как оператор отправил уведомление, Роскомнадзор рассматривает его и может принять решение о запрете или ограничении передачи данных за рубеж — например, если это связано с безопасностью государства.
До истечения 10 рабочих дней после подачи уведомления нельзя передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов ПДн.
Перечень государств, обеспечивающих адекватную защиту данных, приведен в Приказе Роскомнадзора от 05.08.2022 № 128.
После направления уведомления оператор может осуществлять трансграничную передачу данных на территории указанных в уведомлении стран, которые являются сторонами конвенции Европы Совета Европы о защите физических лиц при автоматизированной обработке ПДн.
На сайте Роскомнадзора уточнятся, что операторам, подавшим уведомление о трансграничной передаче до 1 марта, не нужно подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных. Это могут быть как новые страны, так и новые цели обработки.
Согласие на обработку персональных данных оформляйте в программе Контур-Персонал
Правила принятия решения об ограничении или о запрете трансграничной передачи ПДн утверждены Постановлением Правительства РФ от 10.01.2023 № 6.
Уведомление об утечке персональных данных
По прогнозам аналитика Kaspersky Digital Footprint Intelligence Игоря Фица, в 2024 году количество утечек данных вырастет на 20%. Причем эта проблема может затронуть любую компанию. Пока лидеры по объему утекшей информации — доставка (34%) и ретейл (14%).
Эксперт считает, что комплексная система защиты IT-инфраструктуры включает создание плана с последующей работой по трем основным направлениям: расследование инцидента и реагирование, грамотная и своевременная коммуникация с клиентами, партнерами и регуляторами.
С 1 марта 2024 года у бизнеса появится новая обязанность — оценивать вред от утечки ПДн, если она произошла в результате внешнего вмешательства — например, данные компании были неправомерно скопированы и размещены в интернете. В этом случае об утечке нужно предупредить Роскомнадзор посредством направления специального уведомления.
Уведомлять Роскомнадзор не нужно при случайном уничтожении базы данных внутренним пользователем, а также при несанкционированном доступе внутреннего пользователя.
Оценка вреда, который может быть причинен субъектам персональных данных
С 1 марта вступает в силу Приказ Роскомнадзора от 27.10.2022 № 178, который затрагивает вопрос определения категорий риска ПДн. Компании нужно издать приказ или какой-то другой акт, чтобы зафиксировать степени риска, то есть оценить, какой вред может быть причинен субъектам ПДн в случае нарушения закона о персональных данных.
Какие бывают степени вреда
Высокая: обработка специальных категорий персональных данных (национальность, состояние здоровья и др.), работа с биометрическими и физиологическими данными, обработка ПДн несовершеннолетних.
Средняя: предоставление ПДн неограниченному кругу лиц, обработка данных в дополнительных целях, отличных от первоначальной цели сбора, продвижение товаров путем осуществления прямых контактов с потенциальным потребителем с использованием баз ПДн, владельцем которых является иной оператор.
Низкая: ведение общедоступных источников ПДн, назначение в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.
Требования действуют до 1 марта 2029 года.
Подтверждение уничтожения персональных данных
С марта вступает в силу Приказ Роскомнадзора от 28.10.2022 № 179, который вводит требования к подтверждению уничтожения ПДн.
Теперь уничтожение ПДн обязательно фиксируется актом. В нем указывается категория уничтожаемых данных, ФИО и должность лиц, уничтоживших ПДН, их подпись, способ и причина уничтожения и др.
Если данные уничтожаются из информационной системы ПДн, то бумажный акт можно заменить выгрузкой журнала регистрации информационных событий, то есть лог-файлом.
Если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные требованиями, то недостающие сведения вносятся в акт об уничтожении ПДн. Такой акт хранится 3 года.