Как работать с персональными данными в компании: новые требования 2022

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными в компании: новые требования 2022». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Новой нормой (ч. 1.1. ст. 1), дополнившей Федеральный закон № 152-ФЗ, закреплен принцип экстерриториальности применения указанного закона. Теперь его требования должны соблюдаться иностранными операторами в случаях, когда они обрабатывают персональные данные наших граждан на основании договора, иных соглашений либо на основании согласия гражданина Российской Федерации на их обработку. Интересно, что данная новелла схожа с аналогичными требованиями европейского законодательства.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

• трансграничной передачи персональных данных;
• обработки специальных категорий данных (например, состояние здоровья человека);
• биометрических данных;
• персональных данных несовершеннолетних лиц;
• а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Особое внимание к случаям утечек

У операторов появилась новая обязанность информировать Роскомнадзор об инцидентах с персональными данными, а именно, о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав их субъектов (п. 3.1. ст. 21 152-ФЗ). Для этого был запущен специальный сервис Роскомнадзора.

Действовать операторам придется оперативно, так как уведомление о произошедшем инциденте должно быть направлено в течение двадцати четырех часов с момента его выявления.

При этом уведомление должно содержать не только указание на сам факт утечки, но и сведения о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном их правам, о принятых мерах по устранению последствий соответствующего инцидента, и др.

Кроме того, в течение семидесяти двух часов оператор должен уведомить Роскомнадзор о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В свете планируемого увеличения административной ответственности за инциденты с персональными данными, операторам данных следует внимательнее относится к их защите, стремиться предотвратить утечки, а не только реагировать на уже произошедшие факты нарушений.

Какая информация относится к персональным данным?

Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо. Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д.
Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям.

К перечню основных персональных данных относятся:

• ФИО субъекта;
• место постоянного (временного) проживания;
• дата рождения;
• любые данные о семейном, финансовом положении;
• любые данные, связанные с родом деятельности, заработком, образованием.

Все персональные данные принято делить на четыре группы:

1. К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках.

2. Ко второй относятся данные, позволяющие выполнить идентификацию лица. К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д.

3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК.

4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным. Например, уровень дохода представителей муниципалитетов, государственных учреждений.

Персональными данными физических лиц по закону считаются:

• ФИО;
• ИНН и дата рождения;
• гражданство согласно гражданскому паспорту и место рождения;
• данные о регистрации и фактическом месте жительства;
• данные о родственниках и супругах;
• данные о дееспособности, свидетельство о смерти;
• сведения о наличии образования;
• сведения о пенсионных доходах;
• данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
• данные о налоговых платежах;
• информация о воинской обязанности.

Персональными данными юридических лиц по закону считаются:

• наименование юрлица;
• юрадрес и организационно-правовая форма;
• местоположение юрлица;
• ОГРН;
• ИНН и КПП;
• номер расчетного счета.

Классификация информационных систем персональных данных (ИСПД)

Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем.

По объему ПД системы делят на три типа:

1. К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации.

2. Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании. Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.

3. К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании.

Проанализировав исходные данные, можно присвоить системе соответствующий класс:

• В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.
• Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.
• Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
• К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

• цели обработки персональных данных;
• перечня персональных данных, на обработку которых даёт согласие их субъект;
• наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
• перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
• срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

• категории и перечень персональных данных
• категории субъектов, персональные данные которых обрабатываются;
• способы и сроки хранения персональных данных;
• порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Ускоряется обработка данных

По новым поправкам оператор ПДн обязан быстрее реагировать на запросы граждан и РКН.

• Для граждан. Если владелец ПДн обращается с требованием прекратить его обработку данных, оператор обязан остановить её в течение 10 дней. Сведения, касающиеся обработки персональных данных, также предоставляются в течение 10 дней после обращения.
• Для Роскомнадзора. Сведения, касающиеся обработки персональных данных, оператор должен предоставить РКН в течение 10 рабочих дней (раньше было 30). Допускается увеличение срока на 5 дней, если оператор отправит в РКН уведомление с обоснованием продления. Если ответы не устроят РКН несколько раз в течение года, к вам могут прийти с внеплановой проверкой

Изменяются правила защиты ПДн

Работодатель теперь обязан составить и утвердить положение о защите ПДн. В этом документе прописываются категории риска каждого документа/электронного носителя персданных, а также наличие угроз компрометации информации с этих носителей. Ранее такой документ рекомендовался, теперь он стал обязательным.

Что касается уничтожения персональных данных, то это возможно лишь в конкретных случаях, перечисленных в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:

• Закончился срок хранения документа
• Цель обработки достигнута или их больше не нужно обрабатывать
• Оператор неправомерно обрабатывает ПДн
• Владелец персональных данных отозвал согласие, потребовав прекратить обрабатывать и распространять его ПДн

Какие данные относятся к персональным данным: основные виды ПДн

Для упрощения регулирования законодательство РФ дифференцирует ПДн в зависимости от сложности получения, степени секретности и прав на использование третьими лицами. Основные разновидности:

1. Общие персональные данные — те, которые сообщают ключевую информацию о субъекте: Ф.И.О., дата рождения, адрес (регион, город, улица, дом, квартира), паспортные сведения, образование, место работы, уровень дохода и т.д. Если использовать их по отдельности, то нельзя говорить о том, что это сведения, относящиеся к персональным данным, поскольку идентифицировать личность, например, по одной только фамилии невозможно. В категорию ПДн они попадают в комбинированном варианте, в частности Ф.И.О. в сочетании с местом регистрации.
2. Биометрические — позволяют определить биологические и физиологические отличительные черты конкретного физического лица, которые могут использоваться для установления его личности. Что входит в перечень таких персональных данных? Отпечатки пальцев, ДНК человека, радужная оболочка глаз, индивидуальные анатомические особенности. Наиболее востребованы подобные ПДн на таможне и в государственных органах, которые осуществляют выдачу виз и загранпаспортов, а также в современных системах идентификации.
3. Общедоступные персонифицированные данные — чаще всего, это информация о благосостоянии известных людей (представителей власти и шоу-бизнеса, руководителей крупных предприятий и т.д.). Они присутствуют в открытых источниках и могут быть получены без дополнительных разрешений.
4. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.
5. Специальные — ПДн, присутствующие в личных делах, медицинских книжках, закрытых реестрах и т.д. Речь идет о философских и политических убеждениях, сексуальных предпочтениях, хронических заболеваниях, расовой и национальной принадлежности, вероисповедании. Чтобы с ними работать, нужно предварительно обеспечить санкционированный доступ, а именно — получить официальное согласие владельца в письменном виде.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Выделяют несколько видов персональных данных:

• Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
• Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
• Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
• Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.

Как сказал «Интерфаксу» зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Савельев, отдельно в законопроекте не был указан какой-то особый срок вступления его в силу, поэтому правительство предлагает дифференцированный срок его отдельных положений. «Можно сделать вывод о том, что 1 сентября 2022 г. — предусмотрено для вступления в силу положений про ЕГРН (поправки, ужесточающие предоставление третьим лицам данных о недвижимости). Это время необходимо для внесения изменений в соответствующие информационные системы Росреестра», — отметил он.

Срок 1 марта 2023 г., как предполагает эксперт, относится ко всему остальному, что есть в законопроекте. «Обусловлено это необходимостью подготовки подзаконных актов, без которых новые положения работать не будут (в том числе про новый порядок трансграничной передачи данных, уведомление Роскомнадзора об утечках, взаимодействие с ФСБ в части информационной безопасности и т.д.)», — сказал Савельев.

Юрист в области обращения с данными, преподаватель Moscow Digital School Олег Блинов отметил, что потребуется время на изменение систем ЕГРН для выполнения требований законопроекта. Так, сейчас в реестре ЕГРН можно заказать справку о владельце недвижимости и истории перехода прав, но в законопроекте предлагается выдавать такие сведения только по согласию субъекта.

«Соответственно, нужно переделать ЕГРН так, чтобы он понимал, какому человеку направлять запрос на согласие. Вероятнее всего, Росреестр нужно будет интегрировать с Госуслугами, чтобы запросы на согласия приходили на Госуслугах, там же фиксировались согласия и возвращались в Росреестр, чтобы тот мог сделать выписку», — полагает он.

Что следует сделать уже сейчас

1. Получите ЭП ФНС.

Она будет гарантированно работать при подаче деклараций в 2023 году и приниматься всеми госорганами.

2. Получите ЭП на полномочного сотрудника.

В случае продления срока действия такой подписи она поможет вам быть более мобильными: сдавать декларации или подписывать первичные документы с нескольких рабочих мест.

3. Получите ЭП на физическое лицо, на которое может быть оформлена МЧД.

Если руководитель организации еще не выпустил ЭП ФНС, но у него есть ЭП от коммерческого УЦ, то уже сейчас можно оформить МЧД, которая продолжит действовать в 2023 году. Если ЭП ФНС у руководителя уже есть, то ЭП физлица также поможет уже сейчас или в 2023 году оформить МЧД для отправки деклараций и подписания документов с разных (нескольких) рабочих мест.

На «обновленных «Госуслугах» будет собран больший объем информации о гражданине; ведомства, в свою очередь, получат возможность собирать и анализировать эту информацию. Уже сейчас на портале госуслуг предоставляется большое количество сервисов различных органов власти и система справляется с задачей без критичных проблем, рассказал руководитель департамента системных решений Group-IB Антон Фишман. «Госуслуги» подключены к СМЭВ (системе межведомственного электронного взаимодействия. — РБК), и информация передается только по запросам конкретных пользователей к системе. Если же стоит задача создать единое информационное пространство, в котором данные будут храниться агрегированно и запроса для их получения требоваться не будет, то следует серьезно озаботиться безопасностью такого проекта. Критичная точка здесь — это получение доступа к информации», — рассуждает Фишман. Идеальной он называет ситуацию, когда «как можно меньше людей» имеют возможность получить информацию о субъекте. «Так как если технически такая возможность будет существовать, это создаст угрозу получения информации злоумышленниками», — сказал он.

По словам директора по консалтингу ГК InfoWatch Марии Вороновой, для создаваемого портала критически важно будет не только обеспечивать должную конфиденциальность, но и целостность информации. «Поскольку данные будут иметь юридическую силу, любая их модификация, преднамеренная или случайная, может нанести ощутимый вред как организациям, так и гражданам», — отметила Воронова. Данный портал, по ее версии, должен обладать качественной защитой. «При этом с учетом текущей обстановки важно, чтобы используемые средства защиты были отечественного производства», — добавила она.

Похожие записи:

• Обязательная доля в наследстве
• Проверка на прочность: как оформить испытательный срок для сотрудника
• Суды по присвоению ветерана труда в Свердловской области Екатеринбурге 2021 году