Персональные данные в 2021 году: как работать, чтобы не нарушить закон

03.10.2023
Нет комментариев

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные в 2021 году: как работать, чтобы не нарушить закон». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Кто такие операторы персональных данных и чем они занимаются?
2. Персональные данные и работающие с ними организации
3. Реестр операторов персональных данных Роскомнадзора
4. Основные права и обязанности оператора персональных данных
5. Как и когда нужно уведомлять Роскомнадзор
6. Какие есть требования к согласию на обработку ПД
7. Регистрация в Роскомнадзоре в качестве оператора персональных данных
8. Как можно стать ОРД и какие есть требования к ним
9. Согласие работника на обработку персональных данных
10. Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора
11. Ответственность за отказ регистрироваться в реестре
12. Что будет, если нарушить требования 152-ФЗ
13. Кто может осуществлять сбор, обработку информации?

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Кто такие операторы персональных данных и чем они занимаются?

Для начала стоит разъяснить основные понятия. В Федеральном законе от 27.07.2006 № 152-ФЗ предлагается следующее определение понятию персональные данные: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Сама формулировка определения ясно говорит о том, что исчерпывающего списка, который бы четко регламентировал, какая информация будет считаться персональными данными, а какая нет, не существует. Иными словами, для идентификации гражданина в одной ситуации необходимо будет знать ФИО и контактный номер, а в другом случае может понадобиться его удостоверение и адрес регистрации.

На основании этого можно заключить, что оператором персональных данных будет являться государственный или муниципальный орган, юридическое или физическое лицо, которое занимается сбором, хранением и обработкой персональных данных. Более того, в Роскомнадзоре придерживаются позиции, что организация становится оператором персональных данных непосредственно в тот момент, когда начинает обрабатывать информацию. Поэтому не имеет значения подала ли организация уведомление, получила ли она официальных статус — в глазах ведомства компания стала оператором персональных данных в тот момент, как пользователь заполнил форму обратной связи на сайте.

Таким образом, в каждой сфере есть операторы персональных данных, потому что они используют и обрабатывают сведения, по которым можно идентифицировать гражданина: магазины, салоны красоты, государственный автоматизированные системы, медицинские учреждения и образовательные организации. И поэтому все они должны определенные правила, установленные законом закону № 152-ФЗ:

  • разъяснять человеку, какие данные и для каких целей будут собраны;
  • обнародовать документы, касающиеся обработки персональных данных;
  • обеспечивать защиту персональных данных (в том числе уничтожать записи, если субъект ПД докажет, что сведения были получены незаконным путем или блокировать доступ к сведениям по запросу).

Персональные данные и работающие с ними организации

Закон «О персональных данных» вводит понятие оператора персональных данных. Это организация любой формы собственности или индивидуальный предприниматель, которые по роду деятельности собирают персональные данные граждан для обработки. Далеко не все компании осознают, что они являются участниками процессов, связанных с обработкой персональных данных. Закон четко определяет, что оператором становится любая организация, получающая сведения о гражданах с целями, которые не связаны с обработкой информации о персонале.

К лицам, обрабатывающим персональные данные, относятся:

  • частные организации, например, поставщики услуг связи или владельцы интернет-магазинов;
  • индивидуальные предприниматели, размещающие на своем сайте форму обратной связи;
  • муниципальные органы;
  • государственные органы, например, при проведении ЕГЭ, при сборе налоговой информации или сведений персонального учета.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Читайте также:  Повышение пенсии инвалидам 1, 2 и 3 группы и индексация ЕДВ в 2023 году

Основные права и обязанности оператора персональных данных

В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн. Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации. Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:

  • сборе и накоплении;
  • анализе и систематизации;
  • уточнении (коррекции либо дополнении);
  • извлечении и использовании;
  • передаче третьим лицам;
  • блокировке и обезличивании;
  • уничтожении и удалении.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

  • цели обработки персональных данных;
  • перечня персональных данных, на обработку которых даёт согласие их субъект;
  • наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
  • перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
  • срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

  • категории и перечень персональных данных
  • категории субъектов, персональные данные которых обрабатываются;
  • способы и сроки хранения персональных данных;
  • порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Перед формированием клиентской базы будущий оператор обязан оповестить уполномоченный орган о намерении использовать ПД физических лиц в определенных целях. Но не все должны уведомлять Роскомнадзор. Существует категория субъектов, которые не обязаны писать заявление в РКН о включении в реестр операторов персональных данных. К ним относятся:

  1. Работодатели.
  2. Исполнители или заказчики договорных отношений.
  3. Пользователи общедоступными персональными сведениями.
  4. Охранные предприятия, оформляющие однократные пропуска.
  5. Организации, хранящие сведения на бумажном носителе (не имеющие электронных баз данных).

Всем остальным, не вошедшим в перечень, надлежит в обязательном порядке пополнить список операторов персональных данных Роскомнадзора. За уклонение или нарушение ФЗ-152 предусмотрена административная ответственность по ст. 13.11 КоАП РФ:

  • обработка ПД без цели сбора: до 3000 руб. гражданам, до 10 000 руб. — должностным лицам, до 50 000 руб. — организациям.
  • обработка личностных данных без письменного согласия: до 5000 руб. гражданам, до 20 000 руб. — должностным лицам, до 75 000 руб. организациям.
  • отсутствие публикации с правилами оператора обработки ПД: гражданам — до 1000 руб., должностным лицам — до 6000 руб., ИП — до 10 000 руб., юрлицам — до 30 000 руб. По статистике Роскомнадзора, на март 2021 г. зарегистрировано 420 774 операторов персональных данных. У некоторых из них гарантированно есть сведения о вас.

Как можно стать ОРД и какие есть требования к ним

Критерии для потенциальных ОРД:

  • юридическое лицо, зарегистрированное в РФ;
  • уставной капитал от 200 млн рублей;
  • техническое оснащение, соответствующее требованиям закона РФ о защите информации и персональных данных;
  • аттестация по вопросам защиты данных;
  • необходимое ПО для регистрации рекламы в сети;
  • договоры с операторами рекламных систем и распространителями (совокупный доход — от 2,5 млрд рублей) — для подтверждения готовности рынка к сотрудничеству.
Читайте также:  Кому положена пенсия по потере кормильца и как её получить

В реестр ОРД в октябре 2022 года вошли:

  • Яндекс («Яндекс Оператор Рекламных Данных»);
  • VK («ВК Рекламные Технологии»);
  • МТС («МедиаСкаут»);
  • Ozon («Озон-ОРД»);
  • Лаборатория разработки («Сбер»);
  • Вымпелком («Первый ОРД»);
  • Амбердата («ОРД-А»).

Для отправления данных в ОРД оптимально использовать рекламную систему (Яндекс, VK) или посредника (eLama).

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора

    В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
    В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.

    Процедура проверки во многом зависит от ее вида. Основные типы проверок:

    1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
    2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
    3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
    4. Выездные. Осматривается территория предприятия.

    Ответственность за отказ регистрироваться в реестре

    Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

    Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

    Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.
    В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

    Читайте также:  Расчет и выплата выходного пособия: кому, когда и сколько?

    Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

    Что будет, если нарушить требования 152-ФЗ

    Роскомнадзор проводит дистанционные и выездные проверки. Если инспекторы заметят, что вы обрабатываете персональные данные без согласия пользователей, бизнес получит внушительный штраф — до 75 тыс. рублей, а его руководитель — до 20 тыс. рублей.

    Наказания за неправильную работу с персональными данными постоянно ужесточаются. Раньше бизнесу грозил один штраф — до 10 тыс. рублей, но с 2021 года их стало больше. Например, за работу без политики обработки данных компании получают штраф до 30 тыс. рублей, ИП — до 10 тыс. рублей. Кроме того, Роскомнадзор накладывает денежные санкции и за другие нарушения:

    • не предоставили пользователю информацию об обработке его данных — до 40 тыс. рублей для компаний или 15 тыс. для ИП;
    • проигнорировали запрос пользователя на удаление его персональных данных — до 45 тыс. рублей для компаний или 20 тыс. для ИП.

    В 2021 году появился новый штраф — за сбор данных через сайты с иностранными хостинг-провайдерами. Его размер — от 1 до 6 млн рублей для компаний и от 30 до 60 тыс. рублей для ИП. Руководителей тоже штрафуют на солидные суммы — от 100 до 200 тыс. рублей.

    Как говорилось выше, при обработке персональных данных оператор должен уведомить об этом компетентный орган. Но помимо этого у него ещё есть ряд обязательств, которые он должен соблюдать:

    1. Издать приказ о назначении ответственного лица или группы лиц за обработку ПДн, а также осуществлять контроль или проводить аудит обработки данных в редакции.
    2. Разработать и принять меры для обеспечения конфиденциальности и безопасности полученной информации. Сюда можно отнести установку антивирусных программ и информирование сотрудников об административной и уголовной ответственности в случае разглашения третьим лицам.
    3. Прекратить обработку данных, если цель сбора достигнута или субъект отозвал своё разрешение на обработку.
    4. Соблюдать локализацию и предоставлять данные о месте расположения базы, указывая страну и фактический адрес.
    5. Информировать о сборе ПДн потенциальных и/или действующих клиентов и сотрудников, разъясняя для чего и какая информация обрабатывается, а также о сроках хранения. Для этого создать и опубликовать для общего доступа форму согласия на обработку данных и политику конфиденциальности.
    6. Удалить информацию, если будет доказано, что личные данные были получены незаконно или не являются обязательными для достижения заявленной цели, и лицо, чьи сведения использовались, потребует о её извлечении из базы.
      Внимание. Информация должна быть уничтожена в течение 10 дней с момента подачи письменного заявления лица, чьи данные были собрана с нарушениями.

    Кто может осуществлять сбор, обработку информации?

    Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.

    Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.

    В последних правках, внесенных в 2021 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей.

    Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *