Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.

Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных». 

С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.

Уведомление об изменении персональных данных: новый срок

С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.

Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:

• актом об уничтожении персональных данных;
• выгрузкой из журнала регистрации событий в информационной системе персональных данных.

К сведению

Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

• Обязательные реквизиты акта об уничтожении персональных данных
• 
• Обязательные реквизиты выгрузки
• 

СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023

СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Степени вреда всего 3 (три):

1. высокая;
2. средняя;
3. низкая.

Таблица. Какие персданные к какой степени вреда относятся

Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.

СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.

А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.

Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Обратите внимание

https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=ygVT0J_RgNC10LTQvtGB0YLQsNCy0LvQtdC90LjQtSDQn9C10YDRgdC-0L3QsNC70YzQvdGL0YUg0JTQsNC90L3Ri9GFINCSIDIwMjMg0JPQvtC00YM%3D

Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.

Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/

Ркн ужесточает проверки

Также см. «К кому придут с проверкой в 2023 году».

За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).

Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.

Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.

2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Образцы документов, которые нельзя игнорировать в 2023 году

Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:

Название документа	Ссылка на скачивание
Положение о работе с персональными данными работников	СКАЧАТЬ
Положение о порядке уничтожения персональных данных	СКАЧАТЬ
Приказ о создании комиссии по уничтожению документов с персональными данными	СКАЧАТЬ
Общая форма согласия на передачу и обработку персональных данных	СКАЧАТЬ
Согласие на обработку персональных данных на сайте	СКАЧАТЬ
Обязательство о неразглашении персональных данных	СКАЧАТЬ

Видео по теме

Обработка персональных данных с 1 сентября 2022 года: что поменялось

1. Главная →
2. Журнал →
3. Бизнес →
4. Риски

24 августа 2022 83 160 84

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.

Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.

Его слова подтверждаются громкими новостями из открытых источников.

Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

• Ф.И.О.;
• дата рождения;
• адрес регистрации и адрес проживания;
• паспортные данные, СНИЛС, ИНН;
• номер телефона;
• e-mail;
• адрес страницы в соцсетях;
• контакт в мессенджере.

То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД. 

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).

ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.

 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).

Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.

По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне

Попробовать

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ). 
2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.

В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.

2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

Ответственность за нарушения работы с персональными данными в 2023 году

Нарушение правил обработки и хранения персональных данных приводит к штрафам на десятки, а иногда и сотни тысяч рублей. Рассказываем, за что наказывает Роскомнадзор в 2023 г. и как избежать ответственности.

17.02.2023 г. вступили в силу поправки из постановления Правительства РФ от 04.02.2023 г. № 161. РКН получил право с согласия прокуратуры проводить внеплановые проверки, если поступила информация о распространении баз данных с персональными данными. Не спасутся даже аккредитованные ИТ-организации, которые попали под мораторий на внеплановые проверки.

Второе новшество введено Законом от 29.12.2022 г. № 625-ФЗ — Роскомнадзору разрешили выписывать штрафы без фактического посещения компаний. Если получена информация об обработке данных без согласия владельца, могут выписать штраф по п. 1-2.1, п. 4 ст. 13.11 КоАП РФ без проведения контрольного мероприятия — письмо РКН от 31.01.2023 г. № 09-6488.

Третье изменение — обновление формы согласия на размещение биометрических данных в единой системе. Актуальный бланк утвердили распоряжением Правительства РФ от 01.02.2023 г. № 207-р. К биометрии относятся рост, вес, анализы ДНК и другая информация, которая относится к биологическим и физиологическим особенностям человека.

За что предусмотрена ответственность 

Чаще всего штрафуют за:

• незаконную обработку данных;
• разглашение данных;
• нарушение правил обработки;
• передачу данных без разрешения или с нарушениями;
• недостаточную защиту информации;
• невыполнение требований РКН;
• другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.

По некоторым нарушениям штрафуют и компанию, и должностных лиц.

Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.

Как избежать ответственности

Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.

И не забывайте получать все необходимые согласия:

• На обработку — основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
• На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
• На обработку специальных категорий данных — тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
• На трансграничную передачу — если планируете отправлять информацию за пределы РФ.
• На обработку биометрических данных — информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.

Штрафы за нарушения

Незаконная обработка данных. За первое нарушение — ч.1 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
• компания — 60 000 ₽ – 100 000 ₽.

За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:

• должностное лицо — 20 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 100 000 ₽ – 300 000 ₽.

Обработка данных без согласия. За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
• компания — 30 000 ₽ – 150 000 ₽.

За повторное нарушение — ч. 2.1 КоАП РФ:

• должностное лицо — 40 000 ₽ – 100 000 ₽;
• ИП — 100 000 ₽ – 300 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Отсутствие опубликованной политики обработки данных — ч. 3 ст. 13.11 КоАП РФ:

• должностное лицо — 6000 ₽ – 12 000 ₽;
• ИП — 10 000 ₽ – 20 000 ₽;
• компания — 30 000 ₽ – 60 000₽.

Отказ предоставить информацию владельцу данных — ч. 4 ст. 13.11 КоАП РФ:

• должностное лицо — 8000₽ – 12 000 ₽;
• ИП — 20 000 ₽ – 30 000 ₽;
• компания — 40 000 ₽ – 80 000 ₽.

Отказ от уточнения, блокирования или уничтожения данных. За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:

• должностное лицо — 8 000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 90 000 ₽.

За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:

• должностное лицо — 30 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Необеспечение сохранности данных на материальных носителях — ч.6 ст. 13.11 КоАП РФ:

• должностное лицо — 8000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 100 000 ₽.

Нарушение правил обращения с собранными данными. За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:

• должностное лицо — 100 000 ₽ – 200 000 ₽.;
• компания или ИП — 1 – 6 млн ₽.

За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:

• должностное лицо — 500 000 ₽ – 800 000 ₽;
• компания или ИП — 6 – 18 млн ₽.

Отказ предоставить информацию по запросу РКН — ст. 19.7 КоАП РФ:

• должностное лицо или ИП — 300 ₽ – 500 ₽;
• компания — 3000 ₽ – 5 000 ₽.

Уклонение и препятствование проверке Роскомнадзора — ч. 1 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 2000 ₽ – 4000 ₽;
• компания — 5000 ₽ – 10 000 ₽.

Препятствование завершению проверки РКН. За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 5000₽ – 10 000 ₽;
• компания — 20 000 ₽ – 50 000 ₽.

За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
• компания — 50 000 ₽ – 100 000 ₽.

Отказ исполнять предписание РКН — ч. 1 ст. 19.5 КоАП РФ:

• должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
• компания — 10 000 ₽ – 20 000 ₽.

Рассказываем о сложных вещах незанудно, понятно и с юмором на ютуб-канале

Подписаться →

Коротко

1. С 17.02.2023 г. РКН разрешили проводить внеплановые проверки любых организаций, если поступила информация о распространении баз персональных данных.

2. РКН может выписывать штрафы без проведения контрольных мероприятий, если получена информация о незаконной обработке данных.

3. Нужно использовать новую форму согласия на сбор биометрических данных, которая утверждена распоряжением Правительства РФ от 01.02.2023 г. № 207-р.

4. Чтобы избежать крупных штрафов, собирайте все согласия и позаботьтесь о защите данных — как бумажных, так и электронных.

5. За нарушение правил сбора, обработки и хранения персональных данных штрафуют на сумму до 18 млн руб.

Статья актуальна на  23.06.2023

Как работать с персональными данными работников в 2023 году

Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.

Вот популярные нарушения работодателей в работе с персданными.

Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно

Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.

Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.

Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.

Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях

Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.

А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 3. Получают данные для одной цели, а используют для другой

Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 4. Не публикуют политику обработки персональных данных

Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.

Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.

Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных

Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.

Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.

Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.

Нарушение № 6. Не уничтожают персональные данные работника по его требованию

Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См. Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.

Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.

Нарушение № 7. Хранят данные в базах данных, находящихся не в России

Новые правила для операторов персональных данных: обзор изменений с 1 марта 2023 г

С 1 марта 2023 года произошли изменения законодательства в области персональных данных. Расскажем про новые требования к компаниям

С начала марта 2023 года вступили в силу нововведения в части обработки персональных данных актуальные для любого бизнеса: 

• о порядке уничтожения персональных данных, 

Расскажем в статье о новых требованиях и дадим рекомендации к их соблюдению.     

Доказательства уничтожения на 3 года

Вступили в силу Требования к подтверждению уничтожения персональных данных (действуют до 1 марта 2029 года). Ранее порядок фиксации факта уничтожения персональных данных определялся операторами самостоятельно. 

С 1 марта операторы персональных данных должны при уничтожении персональных данных составлять специальный документ — Акт об уничтожении персональных данных.

Ранее компании уже могли применять подобный документ в своей практике, в том числе по рекомендации Роскомнадзора, но теперь его составление стало обязательным, и к нему предъявляются определенные требования. Такой Акт составляется как в случае уничтожения материальных (бумажных) носителей, содержащих персональные данные (обработка без использования средств автоматизации), так и в случае уничтожения персональных данных, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации). Акт об уничтожении, помимо прочего, должен содержать перечень категорий уничтоженных персональных данных, наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации); способ и причину уничтожения персональных данных.

При обработке данных с использованием средств автоматизации подтверждением уничтожения персональных данных также является выгрузка из журнала регистрации событий в информационной системе персональных данных (наряду с актом). При этом если в выгрузке невозможно указать какие-либо сведения, их можно отразить в акте. В этой ситуации подтверждением будут оба способа, независимо от способа обработки персональных данных.

Минимальный срок хранения актов об уничтожении персональных данных и выгрузок из журнала регистрации событий составляет 3 года.

Напомним, что уничтожение персональных данных – это действия, в результате которых становится невозможным восстановить содержание персональных данных (например, шредирование или иная утилизация документов, содержащих персональные данные).  Уничтожение персональных данных осуществляется оператором персональных данных, в том числе:

• по достижении целей обработки соответствующих персональных данных или в случае утраты необходимости в достижении этих целей 

• в случае, когда обработка персональных данных является по каким-либо причинам неправомерной (например, когда Роскомнадзор принял решение об отказе в трансграничной передаче персональных данных иностранным лицам)

• в случае получения требования от субъекта персональных данных об уничтожении его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

• в случае отзыва субъектом персональных данных согласия на обработку персональных данных

Таким образом, правильное составление актов и выписок обезопасит оператора персональных данных от претензий со стороны Роскомнадзора и субъектов персональных данных в спорных случаях, так как подтвердит, что определенные персональные данные им больше не обрабатываются.

Если персональные данные не будут уничтожены по требованию субъекта персональных данных или Роскомнадзора, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, на организацию может быть наложен штраф до 90 000 рублей (ч.5 ст. 13.11 КоАП РФ). Акт об уничтожении как раз и будет служить доказательством выполнения такой обязанности.

• «Несмотря на избыточность требований к фиксации факта уничтожения персональных данных (большое количество информации в актах, длительность хранения документов), рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы уничтожения персональных данных, а также утвердить форму (шаблон) акта об уничтожении»
• Дарья Петрова, юрисконсульт
• Оставьте свои контакты, и мы направим Вам Форму Акта об уничтожении персональных данных:

Заявка отправлена!

Уведомление об изменениях в срок

В соответствии с новыми требованиями оператор персональных данных обязан уведомить Роскомнадзор об изменениях ранее предоставленных им сведений об обработке персональных данных, которые произошли в течение месяца, в срок не позднее 15 числа следующего месяца. Уведомление подается в отношении всех изменений.

Уведомлять нужно об изменении сведений, которые содержались в уведомлении об обработке (начале обработки) персональных данных, которое является основанием для включения в реестр операторов персональных данных.

Ранее уведомление об изменениях (в виде информационного письма) подавалось не позднее 10 рабочих дней с момента такого изменения. Рекомендуем компаниям регулярно производить анализ процессов обработки персональных данных с целью их актуализации, в том числе в реестре операторов персональных данных. Это важно в связи с тем, что Роскомнадзор при проведении проверки сравнивает данные, содержащиеся в реестре операторов персональных данных (данные в уведомлении и информационных письмах об изменениях), с содержанием внутренних документов оператора. Обычно подача информационных писем об изменении сведений об обработке персональных данных внутри компании возлагается на лицо, ответственное за организацию обработки персональных данных (руководитель или иной сотрудник).

За непредоставление уведомления об изменениях на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).

Начали действовать Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (действуют до 1 марта 2029 года).  В соответствии с данным документом, оценка вероятного вреда осуществляется лицом, ответственным за организацию обработки персональных данных, или специальной комиссией, созданной оператором. 

Ответственное лицо или комиссия для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных: высокую, среднюю или низкую.

Для определения степени вреда учитываются различные факторы, в частности:

• обработка биометрических персональных данных или специальных категорий персональных данных (о расовой, национальной принадлежности, религиозных убеждениях и др.)
• обработка персональных данных несовершеннолетних
• обезличивание персональных данных, в том числе для оказания специализированных услуг (скоринг, прогнозирование поведения потребителей)
• поручение обработки персональных данных иностранным лицам или сбор данных с использованием баз, находящихся за рубежом
• распространение персональных данных на веб-сайте
• продвижение товаров и услуг путем прямых контактов с потребителями с использованием собственных баз персональных данных
• получение согласия на обработку персональных данных посредством реализации на официальном сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных и другие факторы.

В случае если по итогам проведенной оценки вреда установлено, что субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Результаты оценки должны фиксироваться Актом оценки вреда. 

Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы оценки возможного вреда внутри компании, периодичность её проведения и круг ответственных лиц, а также утвердить форму (шаблон) акта оценки вреда. 

Ответственность конкретно за непроведение оценки вреда законодательством не установлена, но в случае выявления нарушения при проверке Роскомнадзора его необходимо будет устранить, о чем организации может быть выдано соответствующее предписание.

Правильное сообщение об утечке

Вступил в силу Порядок взаимодействия Роскомнадзора и операторов персональных данных в рамках ведения реестра учета инцидентов в области персональных данных.

Операторы должны уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Предусмотрено 2 вида уведомлений – первичное и дополнительное. Первичное уведомление (предоставляется в течение 24 ч) должно содержать информацию о произошедшем инциденте, его предполагаемых причинах, возможном вреде субъекту персональных данных и мерах по его устранению, а дополнительное (предоставляется в течение 72 ч) — о результатах внутреннего расследования инцидента с указанием виновных лиц (если они выявлены). Если Роскомнадзор посчитает, что данные, предоставленные оператором в уведомлении некорректны или недостаточны, то он вправе запросить дополнительные сведения. Оператор предоставляет их в течение 3-х рабочих дней. В случае если Роскомнадзор самостоятельно выявляет утечку базы данных, принадлежащих конкретному оператору, то он направляет требование о предоставлении уведомления. При этом оператор может в уведомлениях (первичном и дополнительном), которые предоставляются по требованию Роскомнадзора, указать о том, что он не выявил факта утечки с приложением доказательств (в том числе результатов внутреннего расследования, оформленного актом). Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц, а также утвердить форму (шаблон) акта проведения внутреннего расследования. Это позволит, в частности, соблюсти достаточно короткие сроки для сообщения Роскомнадзору о фактах утечки.

За непредоставление уведомлений об утечке на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).

Для исключения нарушений законодательства о персональных данных и экономии времени рекомендуем доверить процесс профессионалам. Наши юристы в сфере персональных данных отслеживают все изменения закона и имеют богатый опыт сопровождения бизнеса по вопросам охраны персональных данных. Мы проконсультируем вас и составим все необходимые документы, учитывающие требования закона и рекомендации Роскомнадзора.

Подпишитесь на новостную рассылку CPO Group: