Все изменилось 1 сентября 2022 года: после внесения правок в закон № 152-ФЗ от 27.07.2006 «О персональных данных», которые обязали большую часть организаций встать на учет в Роскомнадзор.

В статье мы рассмотрим итоги первого года действия новой редакции закона и основные сложности, с которыми столкнется бизнес в 2024 году.

На момент написания статьи, по данным Роскомнадзора, в реестре операторов, осуществляющих обработку персональных данных, зарегистрировано немногим более 900 тыс. операторов, что на первый взгляд много, но…

До сентября 2022 года от обязанности уведомлять уполномоченный орган освобождались операторы при обработке персональных данных:

• в соответствии с трудовым законодательством;

• полученных в связи с заключением договоров с гражданами;

• относящихся к членам общественных или религиозных организаций;

• разрешенных субъектом перс.данных для распространения;

• ограничивающиеся ФИО;

• необходимых для разового оформления пропусков.

Будем откровенны, после появления таких сервисов как 1С: Бухгалтерия, Битрикс24, интернет-банкинг и электронный документооборот, найти компанию, работающую по старинке и имеющую право не подавать уведомление, довольно сложно.

Еще немного статистики. Сейчас в ЕГРЮЛ зарегистрировано более 3,2 млн. действующих юридических лиц, для большинства из которых уведомление Роскомнадзора должно стать такой же рутиной, как сдача отчетности в ФНС, Росстат или ФСС.

Принимая во внимание, что реестр Роскомнадзора ведется с 2009 года и содержит информацию не только о юридических, но и о физических лицах и индивидуальных предпринимателях, можно предположить, что не менее 80% компаний не знают или не хотят знать о новых правилах.

На практике направление уведомления в уполномоченный орган не является невыполнимой задачей, и если поставить перед собой такую цель, то проблем возникнуть не должно.

Сервис, представленный Роскомнадзором, позволяет заполнить форму уведомления прямо на портале, после чего можно распечатать, подписать его и нарочно подать в уполномоченный орган.

Уведомление об обработке персональных данных является не единственным, обязанность по направлению которого возникает у юридического лица. Законом предусмотрены иные уведомления:

• об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;

• о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных;

• об осуществлении трансграничной передачи персональных данных;

• о факте неправомерной или случайной передачи персональных данных.

Как видим, уведомлять Роскомнадзор придется о всех значимых фактах обработки перс.данных, и если трансграничной передачи или неправомерного распространения еще можно избежать, то с изменением сведений придется заморочиться.

Уведомление об изменении необходимо подать не позднее 15 числа месяца, следующего за месяцем возникновения изменений.

Может возникнуть соблазн изначально подать максимально полное уведомление, которое будет содержать намерение обрабатывать все возможные персональные данные, однако здесь хотим предостеречь вас.

Во-первых, это потребует разработки большого количества локальных нормативных актов, о которых вы будете вспоминать только при проведении проверок.

Во-вторых, это сами проверки, вероятность которых может вырасти. При составлении графика проведения проверок в приоритетном порядке будут проверять компании с более сложной структурой обработки перс.данных.

Поскольку большая часть юридических лиц обязана отчитаться перед Роскомнадзором, то и обязанностей по организации работы несомненно прибавится.

Для начала компания должна назначить сотрудника, ответственного за обработку персональных данных.

В компании должна быть разработана локальная документация, регламентирующая работу с персональными данными. В ней детально расписываются все инструменты, используемые при работе с перс.данными, лица, имеющие доступ к информации о гражданах.

При этом документы желательно составлять для каждой категории перс.данных отдельно. В документах должны быть прописаны правовые, технические и организационные меры по защите персональных данных, которые реализуются компанией. И здесь кроется главная сложность.

Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным

Организуйте в своей компании работу с персональными данными согласно требованиям закона

Заполните форму, вышлем чек-лист нам на e-mail:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Если на 4 уровне требования будут ограничиваться обеспечением безопасности помещений, использованием средств защиты информации и определением перечня лиц, имеющих доступ к перс.данным, то на 1 уровне потребуется создание структурного подразделения, ответственного за обеспечение безопасности персональных данных.

Соблюдение требований к обработке персональных данных должно проходить регулярные проверки и не только со стороны Роскомнадзора.

Закон требует от компании проводить регулярные проверки или аудит соответствия обработки перс.данных требованиям закона, который может проводиться как своими силами, так и с привлечением сторонних организаций.

На фоне массового выезда российских граждан за пределы страны после начала СВО и действий недружественных стран по введению санкций в отношении этих самых граждан, принято решение ужесточить порядок передачи персональных данных в иностранные государства.

До начала трансграничной передачи персональных данных оператор обязан получить от принимающей стороны пакет документов и направить его с соответствующим уведомлением в Роскомнадзор.

Уполномоченный орган рассматривает уведомление в течение 10 рабочих дней и может принять решение о запрете или ограничении передачи персональных данных.

При работе с ними уведомление о трансграничной передаче направить все же придется, однако это не потребует представления дополнительных документов.

Однако если Роскомнадзор по итогу проверки придет к выводу о необходимости ограничить или запретить передачу персональных данных, придется обеспечить удаление информации её адресатом.

А теперь к практике.

Несмотря на четкие формулировки норм, как они должны реализовываться на практике — непонятно.

Например, передавая данные в страну, являющуюся стороной специальной Конвенции Совета Европы, при последующем запрете передачи данных Роскомнадзором законодатель требует обеспечить их удаление в том числе органами власти иностранного государства.

С учетом того, что к числу стран, ратифицировавших Конвенцию, относятся такие недружественные государства как Украина, Республика Польша, прибалтийские республики и др., каким образом наши компании должны исполнять требования закона остается неясным. Особенно странно такие поправки смотрятся на фоне приостановки Россией членства в Совете Европы.

В нем вы не найдете Соединенные Штаты Америки и большинство стран Ближнего Востока, которые последние годы активно осваиваются отечественными компаниями.

Прежде чем работать с ними в части передачи персональных данных, придется собрать значительный объем документов и дождаться ответа уполномоченного органа, что не всегда возможно. В итоге зачастую придется организовывать работу с учетом допустимого риска быть привлеченным к административной ответственности.

Несмотря на год, прошедший с момента внесения правок в закон № 152-ФЗ от 27.07.2006 «О персональных данных», ясности о том, как они должны исполняться, не прибавилось.

Очевидно, что для многих юридических лиц требования законодателя являются неподъемными, и усиление контроля со стороны уполномоченного органа приведет к массовому административному преследованию операторов персональных данных, а это, на минуточку, штрафы до 18 миллионов рублей.

Если у вас уже сейчас есть вопросы по работе с персональными данным и вы хотите заранее обезопасить свою компанию, то переходите на сайт компании «Консалтинг онлайн» и оставляйте заявку через кнопку «Бесплатная консультация».

Ваш запрос будет удовлетворен в кратчайшие сроки!

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KUX9G