16.09.2022

Как с сентября работать с персональными данными без штрафов

С 1 сентября вступил в силу Федеральный закон от 14.07.2022 № 266-ФЗ, который ужесточает правила обработки персональных данных. Еще одна часть поправок начнет действовать с 1 марта 2023 года. Если не уведомите Роскомнадзор об обработке персданных, компанию могут оштрафовать на сумму от 3 до 5 тыс. руб. Как теперь работать с персональными сведениями, чтобы не оштрафовали - смотрите рекомендации ниже.

Отчитываться перед Роскомнадзором придется чаще.

• Из закона исключили ряд случаев, когда компаниям не требовалось уведомлять Роскомнадзор о планах обработки персданных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь отчитаться перед ведомством придется, если начинаете обрабатывать личные данные, которые принадлежат:
• работникам;
• клиентам компании, когда их персданные нужны для исполнения договора;
• лицам, которые разрешили передавать персданные третьим лицам;
• лицу, которое нужно однократно пропустить на территорию компании;
• лицу, которое предоставляет о себе только данные о фамилии, имени и отчестве.
• Теперь всем работодателям надо уведомить Роскомнадзор об обработке персональных данных своих сотрудников. Поэтому проверьте, есть ли Ваша компания в реестре операторов персональных данных на сайте Роскомнадзора (pd.rkn.gov.ru). Для этого достаточно ввести в поисковой строке название или ОГРН компании.
• Если компании в реестре нет, подайте уведомление о начале обработки персданных (приказ Роскомнадзора от 30.05.2017 № 94, ч. 3 ст. 22 Закона № 152-ФЗ). Если Роскомнадзор не получит уведомление, компанию могут привлечь к административной ответственности по ст. 19.7 КоАП РФ.

Уведомление можно направить также в электронном виде на сайте Роскомнадзора в разделе Реестр операторов > Электронные формы заявлений. Такое уведомление надо подписать электронной подписью.

Обратите внимание! Роскомнадзор на своем сайте (rkn.gov.ru) 1 сентября поместил информационное сообщение, что можно не торопиться с уведомлением о начале обработки персданных работников. Ведомство пояснило, что крайний срок для подачи уведомлений не определен. Поэтому если отчитаетесь перед Роскомнадзором позднее 1 сентября, нарушения не будет!

• Направьте в Роскомнадзор уведомление в течение 10 рабочих дней с момента, когда сведения, которые указали в уведомлении, изменились. Когда работодатель прекращает обработку персональных данных, он также обязан об этом уведомить в течение 10 рабочих дней с момента изменений сведений или прекращения обработки данных.

Обратите внимание! С 1 марта 2023 года срок изменят. Уведомлять ведомство понадобится не позднее 15-го числа следующего месяца (ч. 7 ст. 22 Закона № 152-ФЗ).

Чаще всего обрабатывать персданные приходится, когда оформляете пропуска для физлиц на территорию компании. Роскомнадзор разъяснил, что согласие на обработку не требуется, если компания сама осуществляет пропускной режим. Но при условии, что обработка данных сотрудников для пропуска предусмотрена трудовым договором или другими локальными актами компании. Чтобы не собирать согласие с посетителей, тоже нужен документ. Например, правила посещения организации. Важно, чтобы человек был ознакомлен с содержанием документа.

• У Роскомнадзора появился новый повод проверить, правильно ли компания составила документы, определяющие политику компании по обработке персданных (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Раньше обязательных требований к оформлению таких документов не было. Роскомнадзор давал на этот счет только рекомендации. Теперь в законе сказано, что для каждой цели обработки в документе нужно определить категории и перечень субъектов персональных данных, а также способы, сроки обработки и хранения данных, порядок уничтожения. Все эти правила компания может оформить в виде одного документа или разбить их на отдельные локальные акты. В зависимости от того, как удобнее для организации.

Персданные можно будет передавать за границу только с разрешения Роскомнадзора.

• С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152-ФЗ). А ведомство будет решать, можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
• В первую очередь изменение касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения ведомства не обеспечивает защиту данных.
• Если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Поводов отказать клиенту в обслуживании станет меньше.

• С 1 сентября действует такое правило: физлицо не обязано предоставлять биометрические данные, за исключением случаев, перечисленных в ч. 2 ст. 11 Закона № 152-ФЗ. Например, по требованию суда или полиции. Компании и предприниматели не вправе отказывать клиенту в обслуживании, если он не хочет предоставлять биометрические данные. Если откажетесь, заплатите штраф (ч. 7 ст. 14.8 КоАП РФ):
  • для юрлиц он составит от 30 до 50 тыс. руб.;
  • для должностных лиц или ИП — от 5 до 10 тыс. руб.
• Биометрические персданные — это данные о биологических и физиологических особенностях организма: фотография, видеоизображение человека, отпечатки пальцев, скан радужной оболочки глаза, ДНК-тесты, запись голоса.
• Но есть исключение. Компания может отказать клиенту, если без его биометрии невозможно исполнить сделку. Например, в некоторых банках, спортивных клубах система идентификации клиентов построена именно на биометрии. Для этого клиентов в обязательном порядке фотографируют или снимают их отпечатки пальцев.

Ограничат доступ к сведениям о собственниках недвижимости.

• Сведения из ЕГРН о ФИО и дате рождения собственника недвижимости, о тех физлицах, в чью пользу зарегистрировано обременение, больше не будут открытыми для всех. Такие поправки вступят в силу с 1 марта 2023 года.
• Выписку по старым правилам смогут заказать собственники, супруг, обладатели сервитута, арендаторы, наниматели, кадастровые инженеры, правообладатели смежного земельного участка, собственники земли, если на его участке находится чужая недвижимость, либо собственники недвижимости, которая находится на земельном участке другого физлица.
• Также выписку с персданными собственника сможет получить любой желающий, если правообладатель решил оставить сведения о себе публичными. В остальных случаях выписку можно будет заказать через нотариуса.

Контроль над утечкой персданных стал жестче.

Базы персональных данных взяли под особый контроль: у компании есть 24 часа, чтобы сообщить в Роскомнадзор о причинах утечки данных и возможных последствиях.

• Компания обязана будет сообщать об утечке в Роскомнадзор сразу же, как только это обнаружит (ч. 3.1 ст. 21 Закона № 152-ФЗ).
• Затем в течение 24 часов нужно сообщить о возможных причинах и вреде, причиненном нарушением.
• В этот же срок надо будет отчитаться о принятых мерах и предоставить данные о контактном лице, которое будет отвечать на все вопросы Роскомнадзора об инциденте.
• Результаты внутреннего расследования и данные обо всех обнаруженных виновниках инцидента надо будет представить в Роскомнадзор в течение 72 часов.

Отвечать на запросы Роскомнадзора и физлиц придется быстрее.

• Срок, в течение которого компания обязана отвечать на запросы Роскомнадзора, сократили с 30 до 10 рабочих дней (ч. 4 ст. 20 Закона № 152-ФЗ).
• Так же поступили со сроком, в течение которого компания должна ответить на запрос физлиц. Отвечать людям о том, какие персданные находятся в распоряжении компании, надо в течение 10 рабочих дней (ч. 3 и 7 ст. 14 Закона № 152-ФЗ).
• Также в законе уточнили, что компания должна прекратить обработку персданных в течение 10 рабочих дней с момента, когда этого потребует физлицо (ст. 5.1 Закона № 152-ФЗ). Если этого не сделать, компанию могут оштрафовать на сумму от 300 до 500 тыс. руб. (п. 5 ст. 13.11 КоАП РФ).

При этом во всех перечисленных случаях срок для ответа можно продлить еще на 5 рабочих дней, но компания должна пояснить причины.

Блиц ответы на вопросы по работе с персональными данными.

• Обязательно брать согласие на обработку персданных у работников? Нет. Но только при условии, что не запрашиваете у работников больше сведений, чем предусмотрено законом, либо право запросить данные предусмотрено в локальных актах или соглашении с сотрудником.
• Надо ли получать у работников согласие на распространение персданных для передачи сведений в ПФР, ФСС, правоохранительные органы? Нет. Работодатель по закону обязан осуществлять социальное страхование работников, поэтому согласие работников не требуется. Согласие также необязательно, если из полиции пришел мотивированный запрос.
• Нужно ли получать согласие на обработку от соискателя, который поместил резюме на сайте hh.ru? Нет. Но если распечатали резюме, храните его вне доступа третьих лиц. Если не приняли соискателя на работу, уничтожьте данные в течение 30 календарных дней. Документы о соискателях на госслужбу храните 3 года.
• Можно без согласия передать в банк личные данные сотрудника для зарплатной карточки? Можно, если соблюдается хотя бы одно из условий:
• договор на выпуск карты заключили с работником и в нем указано, что работодатель передает банку персданные;
• работник выписал доверенность на заключение договора от его имени;
• о таком праве работодателя сказано в коллективном договоре (ст. 41 ТК РФ).
• Нужно ли получить согласие на обработку данных родственников сотрудника? Да, если Вы намерены получить о родственниках работника больше сведений, чем указано в карточке № Т-2. Но если оформляете допуск к гостайне, соцвыплате или платите алименты, согласие физлица не требуется.
• Можно ли запрашивать у будущего сотрудника информацию о состоянии здоровья и вредных привычках? Да, но только если такие сведения необходимы, чтобы определить, может ли соискатель справиться с работой (п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ).