Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.

Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных». 

С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.

Уведомление об изменении персональных данных: новый срок

С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.

Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:

• актом об уничтожении персональных данных;
• выгрузкой из журнала регистрации событий в информационной системе персональных данных.

К сведению

Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

• Обязательные реквизиты акта об уничтожении персональных данных
• 
• Обязательные реквизиты выгрузки
• 

СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023

СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Степени вреда всего 3 (три):

1. высокая;
2. средняя;
3. низкая.

Таблица. Какие персданные к какой степени вреда относятся

Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.

СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.

А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.

Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Обратите внимание

https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=ygVf0J7QsdGA0LDQsdC-0YLQutCwINCf0LXRgNGB0L7QvdCw0LvRjNC90YvRhSDQlNCw0L3QvdGL0YUg0KLRgNC10YLRjNC40YUg0JvQuNGGINCSIDIwMjMg0JPQvtC00YM%3D

Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.

Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/

Ркн ужесточает проверки

Также см. «К кому придут с проверкой в 2023 году».

За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).

Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.

Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.

2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Образцы документов, которые нельзя игнорировать в 2023 году

Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:

Название документа	Ссылка на скачивание
Положение о работе с персональными данными работников	СКАЧАТЬ
Положение о порядке уничтожения персональных данных	СКАЧАТЬ
Приказ о создании комиссии по уничтожению документов с персональными данными	СКАЧАТЬ
Общая форма согласия на передачу и обработку персональных данных	СКАЧАТЬ
Согласие на обработку персональных данных на сайте	СКАЧАТЬ
Обязательство о неразглашении персональных данных	СКАЧАТЬ

Видео по теме

Обработка персональных данных родственников и третьих лиц — надо ли брать согласие?

17 августа 2023 14:49

0

#CNT# data-template-html-inactive=В избранное #CNT#>

С персональными данными родственников работника и других третьих лиц также могут производиться операции по их обработке. Их производит работодатель в качестве оператора ПД.

В зависимости от количества заключаемых договоров, наличия социальных программ на предприятии и прочих обстоятельств, субъектами ПД выступают партнеры, ближайшие родные сотрудников — люди, которые по отношению к работодателю не являются ни соискателями, ни работниками.

Более подробно об обработке персональных данных родственников и иных лиц, имеющих отношение к работникам (детей, родителей, супругов и др.) вы узнаете, если запишетесь на наш дистанционный курс по персональным данным.

Важно понимать, что характер конфиденциальной информации, собираемый по каждому субъекту, подчинен целям обработки. Какие цели могут обусловить сбор конфиденциальных сведений о третьих лицах:

• внесение в ИСПДн, обеспечение дополнительными социальными льготами;
• оформлении кадровой номенклатуры дел (сведения о родных по форме Т-2);
• обеспечение исполнения договорных обязательств; другое.

Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск  «Кадрового обзора».

Важно! Не нужно получать согласие родных работника на обработку их личных сведений в границах, предусмотренных личной карточкой по форме Т-2 — п. 2 разъяснений Роскомнадзора от 14 декабря 2012 г.

Совет Как быть, если сотрудник отказывается сообщать данные о родственниках для заполнения Т-2? На основании ст. 9 Закона No 152-ФЗ сотрудник передает собственные персональные данные. При уклонении от предоставления информации о родственниках работодатель не вправе их требовать — ч. 1 ст. 9 No 152-ФЗ, п. 3 ст. 86 ТК РФ. В этом случае некоторые разделы личной карточки Т-2 останутся незаполненными по объективным причинам. Чтобы обезопасить себя от претензий со стороны проверяющих, рекомендуем составить акт или взять с работника соответствующее заявление об отказе.

Для достижения целей обработки ПД при:

• выполнении обязанностей, возложенных законом на оператора;
• исполнении условий договора с сотрудником необходимая обработка персональных данных родственников производится без согласия субъекта — статья 6 No 152-ФЗ.

Если случаи обработки конфиденциальной информации не предусмотрены действующим законодательством, необходимо получить согласие на обработку персональных данных от самого работника, от его родственников (жены, мужа, брата, сестры, родителей, совершеннолетних детей) и иных третьих лиц, чьи ПнД подлежат обработке.

Необходимо взять согласие родственников и прочих лиц на обработку персональных данных до того, как вы начнете производить какие-либо операции с ними.

Какие сведения указывают в согласии:

• ФИО, регистрация третьего лица, данные паспорта;

• название, расположение оператора;
• цель обработки конфиденциальных сведений;
• перечисляются сведения, на обработку которых получено согласие;

• перечисляются действия, которые будут производиться с персональными данными родственников работника;
• используемые работодателем методы обработки;
• на какой срок выдано согласие на обработку ПД;
• как можно отозвать согласие на обработку ПД (если другое не определено законом);
• подпись родственника или другого третьего лица как субъекта персональных данных.

Важно! Законным представителем несовершеннолетнего выступает сам работник  — его родитель, поэтому отдельного документа — согласия на обработку ПД не требуется.

Обработка персональных данных родственников и членов семей может осуществляться двумя способами:

1. Получение отдельного документа  — заявления от родственника сотрудника на обработку его персональных данных. Здесь согласие оформляет и подписывает сам член семьи (третье лицо).
2. Оформление работником согласия на обработку персональных данных от лица родственника. Здесь работник выступает как его представитель на основании нотариальной доверенности.

Хранение персональных данных близких родственников работников, третьих лиц определяется целью их обработки. Она указана в согласии, также, как и срок действия документа.

По истечению срока, достижении целей обработки ПД, при отзыве согласия на обработку персональных данных конфиденциальная информация о любом третьем лице должна уничтожаться. Это требование статьи 21 Федерального закона No 152-ФЗ «О персональных данных».

Важно! Личные сведения уничтожаются со всех носителей, где они присутствуют — из ИСПДн и с бумажных носителей.

Регламент аннулирования персональных данных прописывается в ЛНА по ПД в организации. Он определяется работодателем самостоятельно. Для этого может быть создана специальная комиссия, состав которой определяется приказом. Состав комиссии может меняться в зависимости от вида ликвидируемых персональных данных.

Распространенные методы документальной фиксации уничтожения личной информации о субъекте — оформление акта об окончании обработки персональных данных или регистрация факта уничтожения ПнД в специальном журнале. Форма акта и журнала утверждается работодателем.

Речь идет об уничтожении персональных данных с бумажных носителей, из инфосистем.

Важно! Согласие на обработку персональных данных третьих лиц не уничтожается. Срок хранения согласий на обработку персональных данных определяет Приказ Росархива от 20.12.2019 No 236. Этот документ замещает отмененный в 2019 году приказ Минкульта РФ No 558.

Как должна происходить передача персональных данным третьим лицам (банкам, страховым компаниям и т.д.), потребность в которых возникает в процессе трудовой деятельности? Об этом и многом другом наш новый курс в рамках программы повышения квалификации.

Как компаниям уничтожать персональные данные с 1 марта 2023 года

С 1 марта 2023 года для организаций и ИП изменился порядок уничтожения персональных данных. Рассказываем, кто и когда обязан уничтожать персональные данные, как это делать и как правильно подтвердить факт уничтожения.

Когда компании должны уничтожать персональные данные

С 1 марта для организаций и ИП, обрабатывающих персональные данные физлиц, в том числе и для работодателей, был изменен порядок уничтожения персональных данных.

Теперь компании должны подтверждать факт уничтожения таких данных в целях пресечения их незаконной обработки.

Ранее никаких требований к документальному оформлению факта уничтожения персональных данных законодательством установлено не было. 

Обязанность по уничтожению персональных данных возникает в следующих случаях (ч.ч. 3−5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

• при необоснованном получении персональных данных (например, получение персданных физлица без его согласия);
• при неправомерной обработке персональных данных (незаконная передача персданных третьим лицам, необеспечение сохранности данных и т.д.);
• при достижении целей обработки персональных данных (например, при истечении срока действия ранее исполненного договора);
• при отзыве субъектом персональных данных согласия на обработку его персональных данных.

В первых двух случаях компания обязана незамедлительно прекратить неправомерную обработку персональных данных и обеспечить правомерность обработки персональных данных. Если обеспечить законность обработки не удается, компания должна уничтожить имеющиеся в ее распоряжении персональные сведения, которые обрабатываются с нарушением установленных законодательством требований. 

Также уничтожению подлежат персональные данные, цель обработки которых была достигнута, и данные, согласие на обработку которых было отозвано. В этих случаях обеспечивать правомерность обработки персональных данных не требуется – данные попросту уничтожаются.

Как уничтожать персональные данные

Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Конкретный порядок уничтожения персональных данных законодательством не установлен. Данный порядок компания вправе определить самостоятельно, прописав его в отдельном локальном нормативном акте.

В таком акте можно определить ситуации, когда требуется уничтожение персональных данных, а также способ их уничтожения.

В любом случае уничтожение должно предполагать, что персональные данные станут непригодными для дальнейшего использования, обработки и передачи – цифровые носители будут зачищены, а материальные носители – безвозвратно уничтожены.

Уничтожение персональных сведений осуществляется на основании приказа или распоряжения руководства компании.

Этим приказом формируется комиссия из числа работников компании, в состав которой входит должностное лицо, ответственное за обработку персональных данных.

Комиссия определяет перечень персональных сведений, подлежащих уничтожению. После этого комиссия приступает непосредственно к самому уничтожению данных.

Способ уничтожения персональных сведений компания выбирает самостоятельно. Если данные хранятся на бумажных носителях, эти носители могут быть, к примеру, сожжены, разорваны или измельчены через шредер до такой степени, чтобы их нельзя было восстановить.

Если информация хранится на машиночитаемых носителях (жестких дисках, флешках) или в информационной системе, она может быть уничтожена как путем физического уничтожения самого носителя, так и путем удаления информации из системы, форматирования диска или записи на него новой информации. И в том и в другом случае восстановление ранее содержащихся на носителе или в информационной системе сведений должно полностью исключаться.

После уничтожения компания должна документально оформить уничтожение персональных данных для целей возможного подтверждения данного факта в суде, в правоохранительных или контролирующих органах.

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении.

Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных.

То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

• наименование организации или ФИО предпринимателя и их адрес местонахождения;
• ФИО лиц, чьи персональные данные были уничтожены;
• ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
• способ уничтожения персональных данных;
• причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

• ФИО лиц, чьи персональные данные были уничтожены;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• причину уничтожения персональных данных и дату их уничтожения.

Если выгрузка из журнала не позволяет указать все эти сведения, то недостающие сведения нужно указать в акте об уничтожении. Акт об уничтожении и выгрузка подлежат хранению в течение 3 лет с момента уничтожения персональных данных. 

Данный порядок уничтожения персональных данных будет действовать до 1 марта 2029 года.

Обработка персональных данных с 1 сентября 2022 года: что поменялось

1. Главная →
2. Журнал →
3. Бизнес →
4. Риски

24 августа 2022 83 339 84

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.

Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.

Его слова подтверждаются громкими новостями из открытых источников.

Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

• Ф.И.О.;
• дата рождения;
• адрес регистрации и адрес проживания;
• паспортные данные, СНИЛС, ИНН;
• номер телефона;
• e-mail;
• адрес страницы в соцсетях;
• контакт в мессенджере.

То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД. 

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).

ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.

 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).

Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.

По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне

Попробовать

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ). 
2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.

В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.

2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

Как работать с персональными данными работников в 2023 году

Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.

Вот популярные нарушения работодателей в работе с персданными.

Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно

Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.

Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.

Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.

Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях

Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.

А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 3. Получают данные для одной цели, а используют для другой

Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 4. Не публикуют политику обработки персональных данных

Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.

Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.

Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных

Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.

Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.

Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.

Нарушение № 6. Не уничтожают персональные данные работника по его требованию

Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См. Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.

Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.

Нарушение № 7. Хранят данные в базах данных, находящихся не в России