Как теперь владельцу бизнеса работать с персональными данными
- 14.10.22
- 3977
- Читать ≈ 14 минут
Содержание статьи
1. Как нужно работать с персональными данными
2. Какая информация подразумевается под персональными данными
3. Когда и каким способом нужно уведомлять Роскомнадзор
4. Наказания за недобросовестную работу с персональными данными
5. Что еще важно знать о персональных данных
6. Как и сколько нужно хранить персональные данные и когда уничтожать их
7. С чем связаны изменения в законе о персональных данных
С 1 сентября внесены существенные изменения в Закон о защите персональных данных. С этого момента Роскомнадзор должен знать о том, что вы храните и обрабатываете персональные данные, а также о том, каким образом вы это делаете. Если в персональных данных произошла утечка, Роскомнадзор первый, кого вы должны об этом уведомить. Что все эти изменения означают для бизнеса и как это будет происходить на практике, разобрались в статье.
Как нужно работать с персональными данными
Компании и ИП, которые собирают персональные данные своих сотрудников или клиентов (а это практически все), теперь должны ставить об этом в известность Роскомнадзор.
Федеральный закон №152-ФЗ с 1 сентября 2022 года претерпел существенные изменения. Больше не разрешается собирать и хранить персональные данные, не оповещая об этом регулятор.
Вот как изменения комментирует Евгений Царев, управляющий RTM Group, эксперт в области права в ИТ:
«Вступившие в законную силу требования существенно ужесточили условия работы с персональными данными, однако бояться предпринимателям абсолютно нечего: необходимо внимательно ознакомиться с изменениями и активно применять их на практике. В случае возникновения сложностей, всегда можно адресовать вопросы регулятору, то есть в Роскомнадзор, который постоянно отвечает заявителям, дает подробные комментарии и разъяснения.
Да, теперь подойти к вопросу организации процесса обработки и защиты персональных данных придется не просто «для галочки», а обстоятельно, организуя процесс таким образом, чтобы данные были действительно защищены»
>15 000 раз
Какая информация подразумевается под персональными данными
Персональные данные — это все данные человека, по которым можно его идентифицировать. Это имя, фамилия, отчество, паспортные данные, номер телефона. Устраиваясь на работу или заключая договор купли-продажи товаров или услуг, человек передает третьим лицам такие данные, в этом случае третье лицо автоматически становится оператором персональных данных.
Итак, что считается персональными данными:
- данные, которые нужны для оформления трудовых отношений (паспортные данные, трудовая книжка, военный билет, свидетельство о пенсионном страховании, диплом об образовании);
- данные для заключения договоров с физлицами;
- данные, на использование которых получено разрешение физлица;
- данные для пропуска сотрудников на территорию предприятия;
- данные участников общественных объединений и религиозных организаций.
Когда и каким способом нужно уведомлять Роскомнадзор
Уведомлять Роскомнадзор нужно до того, как вы начали собирать и работать с персональными данными. Если вы это уже делаете, то и уведомление нужно отправить сейчас.
Отчитываться в контролирующий орган нужно, если вы собираете и обрабатываете персональные данные при помощи любых автоматизирующих средств. Например, компьютера. Если вы ведете рукописный журнал учета, уведомлять об этом не нужно. Как только вы решаете воспользоваться электронным носителем, вместо бумажного, сразу нужно поставить в известность Роскомнадзор.
Евгений Царев подробнее рассказал о случаях, когда подавать уведомления не нужно:
«Исключения составляют случаи, когда:
— персональные данные включены в государственные информационные системы, созданные с целью защиты безопасности государства и граждан;
— в случае, если персональные данные обрабатываются исключительно без автоматизации;
— в случаях, предусмотренных законами о транспортной безопасности, для обеспечения безопасности транспортного комплекса государства, защиты общества в этой сфере.
В любых остальных случаях уведомление Роскомнадзора стало обязательным»
Оповещать контролирующий орган нужно всего один раз.
При приеме данных от каждого нового сотрудника никаких уведомлений не требуется.
Для подачи уведомления существует три способа:
- отнести в Роскомнадзор бумажное заявление, заполненное по форме;
- направить электронное уведомление через портал Госуслуг;
- заполнить уведомление на сайте Роскомнадзора и подписать его Усиленной квалифицированной электронной подписью. Как ее получить, мы подробно рассказывали в статье.
Эксперт Евгений Царев подчеркивает, что Уведомление Роскомнадзора – не формальное действие, а предполагающий тщательную подготовку процесс, включающий в себя выполнение технических и организационно-правовых мер защиты персональных данных.
«Такие меры предусмотрены ст.18.1 и ст.19 Федерального закона. К ним относится принятие внутренних документов, которые определяют, как проводить работу с персональными данными, как регламентируется доступ к ним, кто в организации может осуществлять их обработку, кто является ответственным. К техническим мерам относятся определение возможных угроз безопасности персональных данных, учет совершаемых действий с персональными данными, применением средств защиты (например, антивируса).
Также стало обязательным уведомлять Роскомнадзор об инцидентах, связанных с утечкой персональных данных. О них необходимо сообщать дважды: в течение 24 часов с момента возникновения инцидента, и в течение 72 часов с момента возникновения инцидента о результатах проведенного внутреннего расследования по факту утечки. Для удобства уведомления Роскомнадзором была создана специальная форма.
Скорректированы требования к согласию по обработке персональных данных: теперь оно должны быть, помимо уже имеющихся условий, предметным и однозначным, то есть предпринимателю необходимо откорректировать имеющиеся согласия на обработку персональных данных, указав, что согласие дается «предметно и однозначно»
Наказания за недобросовестную работу с персональными данными
За своевременное непредставление сведений в Роскомнадзор предполагаются штрафы.
О них рассказал Александр Партин, юрист, эксперт по персональным данным:
«На данный момент ответственность установлена, в основном, в статье 13.11 КоАП РФ и составляет в зависимости от нарушения штраф от 30 до 150 тыс. руб. (за повторное - до 300 тыс. руб.). Отдельно отметим ответственность за нарушение требований о локализации персональных данных граждан РФ — штраф до 6 млн руб. (за повторное — до 18 млн руб.).
Кроме того, активно обсуждается введение оборотных штрафов за утечки персональных данных»
Что еще важно знать о персональных данных
- теперь запрещается работать с персональными данными несовершеннолетних;
- для обработки персональных данных необходимо получить предметное согласие на это;
- сотрудник может не дать согласие на обработку его персональных данных;
- сотрудник имеет право знать, как хранятся и как обрабатываются его персональные данные. На запрос об этом работодатель должен ответить в течение 10 дней.
Евгений Царев пояснил, как нужно поступить, если необходимо отправить персональные данные за границу:
«Если компания передает персональные данные за границу, то также понадобится в обязательном порядке уведомлять Роскомнадзор. Важно отметить, что регулятор теперь сможет запретить передачу данных, если сочтет ее потенциально опасной.
Поручение на обработку персональных данных должно содержать перечень персональных данных, перечень операций, проводимых с ними, цели обработки персональных данных. То есть если предприниматель обрабатывает персональные данные с помощью третьих лиц, то необходимо в обязательном порядке в поручении привести вышеуказанные данные»
Как и сколько нужно хранить персональные данные и когда уничтожать их
Если вы ведете бумажный журнал для персональных данных, его нужно хранить в сейфе или в несгораемом шкафу под замком. Если они у вас на электронном носителе, обязательно нужны защитные логин и пароль. Доступ к персональным данным должен быть только у тех сотрудников, которые с ними работают. Как правило, это HR и бухгалтер. Важно прописать список лиц, у которых есть доступ, заранее.
Для уничтожения персональных данных есть несколько причин:
- истек установленный срок хранения;
- больше нет необходимости обрабатывать персональные данные;
- сотрудник отозвал свое разрешение на обработку;
- доказана неправомерность обработки.
С чем связаны изменения в законе о персональных данных и почему актуален вопрос об их хранении
Мы попросили экспертов рассказать об этом. Евгений Царев пояснил необходимость изменений в законе о персональных данных и считает эти изменения целесообразными:
«Все изменения закона происходят из-за постоянно происходящих утечек (яркими примерами инцидентов с утечками стали такие сервисы как «Яндекс еда», «Delivery Club») и развития информационных технологий, и именно поэтому вопрос о персональных данных становится «острым» и «больным».
Данные о тысячах пользователей попадают в сеть, что влечет за собой, соответственно, множество жалоб регулятору по факту произошедших инцидентов.
Поскольку сообщения об утечках попадают в СМИ постоянно, и количество таких сообщений растет, а регулятор получает множество гневных писем с жалобами на операторов персональных данных, законодателю не остается ничего, кроме как попытаться оперативно разрешить наболевшие вопросы и организовать законодательную базу таким образом, чтобы операторы выполняли требования буквы закона, понимая реальную ответственность за свои действия»
Александр Партин также видит необходимость в ужесточении закона, потому что персональные данные представляют собой особую ценность:
«Персональные данные – это любая информация об определенном человеке или человеке, которого можно определить. Если такие сведения попадают к злоумышленникам, человеку может быть причинен серьезный материальный вред (кредит по чужим паспортным данным или кража денег со счета под видом службы безопасности банка), психические страдания или вред репутации (например, при публикации интимных сведений о человеке) и даже создана угроза жизни и здоровью (например, публикация информации о сотрудниках силовых ведомств, их семьях)»
Коротко о главном
С 1 сентября внесены изменения в Закон о персональных данных. Теперь с персональными данными нужно работать так:
- заранее уведомить Роскомнадзор о сборе и хранении персональных данных;
- если данные хранятся в электронном виде, нужен логин, пароль, антивирус и прочие способы защиты;
- если данные хранятся на бумаге, нужно обеспечить противопожарную безопасность и прописать положение, кто имеет к ним доступ;
- если произошла утечка, нужно уведомить Роскомнадзор дважды: в течение 24 часов о самой утечке, в течение 72 часов о принятых мерах;
- если нарушить закон, ожидают довольно внушительные штрафы.
Лучшие материалы о бизнесе
и финансах. Раз в неделю.
Без воды и спама.