Защита персональных данных

Новые обязанности оператора персональных данных с 1 сентября 2022 года

Законодатели в очередной раз ужесточили требования к операторам персональных данных. Рассказываем, что нового появилось в требованиях и что нужно сделать в связи с этим.
Новые обязанности оператора персональных данных с 1 сентября 2022 года

По оценке InfoWatch количество утечек персональных данных в первом полугодии 2022 года выросло по сравнению с аналогичным периодом 2021 года на 45,9%.

Чтобы защитить право физического лица на неприкосновенность частной жизни, личную и семейную тайну, законодатели в очередной раз ужесточили требования к операторам персональных данных. С 1 сентября 2022 года у них появились новые обязанности, чтобы исполнить которые нужно выполнить ряд действий.

Дополнить Политику обработки персональных данных и локальные акты

Оператор — юридическое лицо обязан разработать собственную Политику в отношении обработки персональных данных (ПД) и другие локальные акты в этой сфере. Этот документ должен быть доступен неограниченному кругу лиц.

Например, если у оператора есть свой сайт, то он публикует Политику на нём. Смысл в том, чтобы любой гражданин как субъект персональных данных всегда мог ознакомиться с её содержанием.

С 1 сентября 2022 года Политика прямо привязана к целям обработки персональных данных. По закону от 27.07.2006 № 152-ФЗ оператор может работать только с той личной информацией граждан, которая:

  • нужна ему для выполнения обязательств перед субъектом ПД — например, по договору оказания услуг, трудовому договору;
  • необходима по требованиям законодательства — например, для подачи отчётности по пенсионному страхованию, налогам.

На основании своих видов деятельности оператор формулирует конкретные цели обработки ПД. По каждой из них он указывает в Политике категории и перечень персональных данных, категории субъектов, способы и сроки действий с личной информацией.

В связи с новшествами все операторы должны:

  1. Изменить Политику с учётом п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ. Разместить новый документ в открытом доступе.
  2. Составить реестр персональных данных, сгруппированный по целям обработки.

Политику и локальные акты издают только юрлица. Но все операторы, включая ИП и самозанятых, должны сообщать по запросу субъекту ПД сведения из ч. 7 ст. 14 закона № 152-ФЗ, в том числе:

  • подтверждение факта обработки ПД оператором;
  • правовые основания и цели обработки персональных данных;
  • применяемые оператором способы обработки ПД;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения.

Чтобы было удобнее это делать, имеет смысл разработать документ, аналогичный Политике обработке ПД, всем операторам. Если ОПД не предоставит сведения по запросу, ему грозит штраф по п. 4 ст. 13.11 КоАП: до 30 000 рублей для ИП и до 80 000 рублей для юрлиц.

Срок ответа на обращение гражданина ограничен. Кроме того, п. 3 ст. 13.11 КоАП предусматривает штраф для ИП за необеспечение неограниченного доступа к сведениям о реализуемых требованиях к защите ПД от 20 000 до 30 000 рублей.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело». 62 страницы подробнейших инструкций с примерами заполнения форм.

Отчётность в ИФНС, ПФР и ФСС в 2022 году

практическое пособие для работодателя

Получите бесплатно 62 страницы экспертного контента!

Оставьте заявку в форме ниже, и мы вышлем вам запись

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Определить регламент взаимодействия с ГосСОПКА и Роскомнадзором

По закону № 152-ФЗ оператор обязан сообщать о всех компьютерных инцидентах и утечке персональных данных в два адреса:

1. В Роскомнадзор. Оператор информирует Роскомнадзор об утечке ПД в течение 24-х часов. В том числе он сообщает о предполагаемом вреде владельцу персональных данных. В течение 72 часов оператор должен завершить расследование компьютерного инцидента и информировать о результатах Роскомнадзор.

Сообщения передают через Госуслуги, поэтому оператору понадобится подтверждённая учётная запись в ЕСИА.

На сайте Роскомнадзора описано, как информировать об утечке персональных данных

2. В НКЦКИ — Национальный координационный центр по компьютерным инцидентам ФСБ России (НКЦКИ). Это структурный элемент ГосСОПКА. С 1 сентября 2022 года с ней должны взаимодействовать все операторы, которые используют автоматизированную обработку ПД.

ИП и компании, которые относятся к субъектам критической инфраструктуры по ст. 2 закона от 26.07.2017 № 187-ФЗ, уже знают про ГосСОПКА. Для них ничего не изменилось. Прочие операторы ПД должны учитывать приказ ФСБ от 24.07.2018 № 367. В нём сказано, какие данные и в каком порядке надо передавать в НКЦКИ. Подключаться к ГосСОПКА физически не обязательно. Информацию можно сообщать по e-mail или телефону.

На сайте НКЦКИ указано, по каким каналам оператор может передать сведения о компьютерных инцидентах

В сообщении указывают:

  • дату, время, место происшествия;
  • наличие связи между инцидентом и компьютерной атакой;
  • связь с другими происшествиями — при наличии;
  • технические параметры компьютерного инцидента;
  • последствия.

Информацию нужно передать в НКЦКИ в течение 24-х часов с момента обнаружения компьютерного инцидента.

В приказе № 367 не упомянуты конкретно «операторы ПД». Но они всё равно руководствуются этим документом. ГосСОПКА по закону № 187-ФЗ — открытая система, взаимодействовать с которой могут все заинтересованные в защите информации лица.

Оператор может разработать свой регламент работы с НКЦКИ и Роскомнадзором или издать приказ, в котором назначить ответственных за взаимодействие, указать сроки передачи информации. Так он всегда может доказать, что выполняет требование закона о персональных данных в части сообщений о компьютерных инцидентах. И у него будет документально закреплён порядок действий, который сможет выполнять любой назначенный работник.

В этом же документе рекомендуем указать порядок подготовки ответов на запросы Роскомнадзора по ч. 4 ст. 20 Закона № 152-ФЗ. Оператор обязан направлять информацию по запросам в течение 10 рабочих дней.

Изменить формы согласия и типовых договоров с клиентами

С 1 сентября 2022 года появились новые требования к согласию об обработке персональных данных в части его «предметности» и «однозначности». Это означает, что субъект ПД дает разрешение оператору на конечный перечень действий с его личной информацией, и подтверждает это разрешение личной подписью, ЭЦП или иным способом.

До этого в законе о персональных данных уже было требование о «конкретности» согласия. Оно означало объём определённых ПД для каждой цели обработки. Предметность — это про способы действий с персональными данными.

Пример.

До 1 сентября 2022 года в согласии можно было указать «Даю согласие на обработку моих ПД... в целях исполнения обязательств по договору...». По новым требованиям формулировка должна быть примерно такая: «Даю согласие на передачу моих ПД...ООО „А“ для подготовки отчётности в ФНС России в целях исполнения обязательств по договору...». То есть в согласии указывается, что именно оператор собирается делать с персональными данными и где использовать.

На практике это означает, что оператору нужно исправить формы согласий на обработку ПД, в том числе на своём сайте, а также получить новые согласия на обработку ПД с клиентами, которые подписывали их по старой форме.

Можно использовать специальный ресурс Роскомнадзора для подготовки согласия на обработку персональных данных, разрешённых для распространения. Для пользования сервисом нужна подтверждённая учётная запись на Госуслугах. Оператор может подготовить макет согласия и проверить его на правильность в Роскомнадзоре.

Если компания или ИП используют типовые формы договоров с гражданами, нужно будет проверить документы на недопустимые условия в них.

С 1 сентября 2022 года в договоры нельзя включать:

  • положения, ограничивающие права и свободы субъекта ПД. Например, нельзя прописать условие, что оператор персональных данных предоставляет ответ на запрос в течение 30 дней, потому что по закону это нужно сделать в течение 10 рабочих дней;
  • устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством;
  • положения, допускающие в качестве условия заключения договора бездействие субъекта ПД. Например, нельзя написать, что договор считается заключённым, если в течение 5 дней субъект не направил письменный отказ.

Такие условия из договоров надо исключить.

Определить новые сроки работы с обращениями субъектов ПД

Оператор обязан по ст. 20 и ст. 21 закона № 152-ФЗ:

  • сообщать информацию по запросу субъекта ПД или его представителя, либо дать письменный отказ в предоставлении информации по законным основаниям в течение 10 рабочих дней;
  • актуализировать ПД по обращению гражданина в течение 7 рабочих дней;
  • уничтожить полученные незаконно или не являющиеся необходимыми для заявленной цели персональные данные в течение 7 рабочих дней после получения требования субъекта ПД или его представителя;
  • незамедлительно блокировать ПД по информации от гражданина о неправомерной обработке, а при выявлении факта неправомерной обработки прекратить её в течение 3 рабочих дней и уничтожить ПД в течение 10 рабочих дней.

Отдельные сроки установлены для случаев, когда субъект ПД отозвал согласие. Если личная информация использовалась в рекламных целях или для политической агитации, то её обработку нужно прекращать немедленно с момента получения требования гражданина.

В остальных случаях у оператора есть 30 дней с момента отзыва согласия на то, чтобы прекратить использование ПД и уничтожить их. Другие сроки могут быть установлены только договором с гражданином или нормами права.

Конкретные сроки для действий оператора появились в законе о персональных данных с 1 сентября 2022 года. Поэтому нужно внести соответствующие изменения в локальные акты и ознакомить с ними тех сотрудников, которые работают с персональными данными.

С 1 марта 2023 года вступит в силу новый порядок трансграничной передачи ПД по ст. 12 закона 152-ФЗ. Он касается случаев, когда оператор отдаёт какие-то персональные данные российских граждан в иностранные государства.

До 1 марта 2023 года ИП и компании должны будут уведомить Роскомнадзор о своём намерении осуществлять трансграничную передачу данных. Это отдельная форма сообщения, не связанная с включением в Реестр операторов.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Начать дискуссию