С 1 сентября 2022 года в Федеральный закон №152-ФЗ «О персональных данных» внесены существенные изменения. Теперь компании и индивидуальные предприниматели, обрабатывающие персональные данные, обязаны уведомлять об этом Роскомнадзор. При возникновении утечки данных регулятор также должен быть информирован в первую очередь.
Как нужно работать с персональными данными
Любая организация, собирающая данные сотрудников или клиентов, должна поставить об этом в известность Роскомнадзор. Сбор и хранение такой информации без уведомления более не допускается.
Эксперт в области ИТ-права, управляющий RTM Group Евгений Царев так комментирует новые правила:
«Вступившие в силу требования ужесточили условия работы с персональными данными. Однако бизнесу не стоит этого бояться: необходимо внимательно изучить изменения и применять их на практике. В случае сложностей вопросы можно адресовать регулятору, который дает подробные разъяснения».
Что относится к персональным данным
Это любая информация, позволяющая идентифицировать человека: ФИО, паспортные данные, номер телефона. Лицо, получающее такие сведения, автоматически становится оператором персональных данных.
К персональным данным, в частности, относятся:
- информация для оформления трудовых отношений (паспорт, трудовая книжка, диплом);
- данные для заключения договоров с физическими лицами;
- сведения, на обработку которых получено согласие человека;
- информация для пропуска на территорию предприятия;
- данные участников общественных и религиозных организаций.
Когда и как уведомлять Роскомнадзор
Уведомление необходимо направлять до начала обработки данных. Если обработка уже ведется, сделать это нужно сейчас. Отчитываться требуется при использовании любых автоматизированных средств, например компьютера. Ведение рукописного журнала такого уведомления не требует.
Евгений Царев уточняет случаи, когда подача уведомления не нужна:
«Исключения составляют случаи, когда персональные данные включены в государственные информационные системы для безопасности государства, обрабатываются без автоматизации или их обработка предусмотрена законами о транспортной безопасности».
Уведомление подается один раз, при последующем приеме новых сотрудников повторное направление не требуется. Сделать это можно тремя способами:
- Лично подать бумажное заявление по установленной форме.
- Направить уведомление через портал «Госуслуги».
- Заполнить форму на сайте Роскомнадзора и подписать усиленной квалифицированной электронной подписью.
Эксперт подчеркивает, что уведомление — это не формальность, а процесс, требующий тщательной подготовки и выполнения технических и организационных мер защиты.
«К таким мерам относится разработка внутренних документов, определение круга ответственных лиц, оценка угроз безопасности и применение средств защиты, например антивирусов. Также стало обязательным уведомлять Роскомнадзор об утечках: сначала в течение 24 часов о самом инциденте, затем в течение 72 часов — о результатах внутреннего расследования».
Наказания за нарушение закона
За несоблюдение требований законодательства предусмотрены значительные штрафы. Юрист Александр Партин объясняет:
«Ответственность в основном установлена статьей 13.11 КоАП РФ. Штрафы варьируются от 30 до 150 тысяч рублей, а за повторное нарушение — до 300 тысяч. Отдельно наказывается нарушение требований о локализации данных граждан РФ — штрафом до 6 миллионов рублей, а за повторное — до 18 миллионов».
Что еще важно знать
Согласно новым нормам:
- запрещена обработка персональных данных несовершеннолетних без согласия родителей;
- согласие на обработку должно быть конкретным, осознанным и однозначным;
- сотрудник вправе отказаться от обработки своих данных;
- работодатель обязан в течение 10 дней ответить на запрос сотрудника о том, как хранятся и обрабатываются его данные.
Если данные передаются за границу, об этом также необходимо уведомить Роскомнадзор. Регулятор может запретить передачу, если сочтет ее опасной.
Как и сколько хранить персональные данные
Бумажные носители должны храниться в сейфах или несгораемых шкафах. Электронные данные защищаются логином, паролем и средствами защиты информации. Доступ предоставляется только тем сотрудникам, которым это необходимо для работы (например, кадровикам или бухгалтерам). Круг этих лиц должен быть определен заранее.
Данные подлежат уничтожению в случаях:
- истечения срока хранения;
- исчезновения необходимости в их обработке;
- отзыва согласия субъектом данных;
- выявления неправомерности обработки.
Причины изменений в законодательстве
Эксперты связывают ужесточение закона с участившимися инцидентами. Евгений Царев поясняет:
«Изменения вызваны постоянными утечками данных и развитием технологий. Информация о тысячах пользователей попадает в сеть, что приводит к потоку жалоб регулятору. Законодатель вынужден реагировать, создавая базу, которая заставит операторов осознать реальную ответственность».
Александр Партин добавляет, что персональные данные обладают особой ценностью, а их компрометация может причинить серьезный вред.
«Если такие сведения попадут к злоумышленникам, человеку может быть причинен материальный ущерб, нанесен вред репутации или даже создана угроза жизни и здоровью».
