В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.
Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей. Его слова подтверждаются громкими новостями из открытых источников. Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».
С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Как регулируется обработка персональных данных
В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:
- Ф.И.О.;
- дата рождения;
- адрес регистрации и адрес проживания;
- паспортные данные, СНИЛС, ИНН;
- номер телефона;
- e-mail;
- адрес страницы в соцсетях;
- контакт в мессенджере.
То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД.
По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД). ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п. 3 ст. 6 152-ФЗ).
ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ). Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ. По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.
С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).
Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне
Что меняется для операторов и обработчиков персональных данных
С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.
- В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).
- Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
- Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
- Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
- Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
- Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
- ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
- Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).
Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.
Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД. В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).
Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.
Отчитывайтесь легко и без ошибок
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Какие санкции грозят оператору за нарушения
За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).
С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).
Предприниматель по Закону от 01.05.2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.
Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.
Какие изменения по Закону 266-ФЗ вступят в силу с 1 марта 2023 года
Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.
Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).
Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).
Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
«предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей».
За опоздание ответственность не предусмотрена.
и какое согласие оформлять если в СБЕРБАНК или по сайту в организации, и в организации в бухгалтерию по з/плате?
А если запросы идут с других организаций на работника, тоже согласие берем?
вы меня простите, но я запуталась совсем(
ст. 7 152-ФЗ
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В остальных случаях согласие требуется. Можете ознакомиться со статьями наших коллег по этой теме:
https://school.kontur.ru/publications/2077
https://kontur.ru/articles/5844
Кроме того, на сайте Роскомнадзора по Брянской области приведены образцы: https://32.rkn.gov.ru/personal-data/p13324/. Но они актуальны на конец 2019 года.
Еще один способ найти образцы — ввести ИНН известной компании в реестре операторов персональных данных и ознакомиться с их формулировками.
При заполнении поля «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации» в полях:
- страна - указывается «Россия» (в случае если персональные данные хранятся за пределами Российской Федерации, указывается страна на территории которой Вы храните персональные данные);
- адрес ЦОД (центр обработки данных) – указывается адрес месторасположения центра обработки данных (зачастую это адрес фактического осуществления Вашей организацией деятельности по обработке персональные данных);
- собственный ЦОД – необходимо указать ДА/НЕТ (ДА – указывается в случае если ЦОД принадлежит Вашей организации (обработку персональных данных производится Вами самостоятельно; НЕТ – указывается в случае привлечения сторонней организации для организации обработки персональных данных посредством ЦОД, при этом необходимо будет ввести регистрационные данные данной организации)
По Закону № 152-ФЗ:
оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Закон 152-ФЗ не содержит исключений для ИП, микропредприятий или некоммерческих организаций. Все случаи, когда он не применяется, указаны в самом 152-ФЗ.
Закон 152-ФЗ не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну (ст. 1 Закона № 152-ФЗ).
Оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в случаях, указанных в п. 2 ст. 22 Закона № 152-ФЗ. С 1 сентября 2022 года их всего два:
— ПД, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
— в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Если фонд обрабатывает персональные данные граждан и не подпадает под исключения в ст. 1 и ст. 22 Закона № 152-ФЗ, он должен уведомить Роскомнадзор.
ст. 7 152-ФЗ
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
По Закону № 152-ФЗ:
оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Закон 152-ФЗ не содержит исключений для ИП, микропредприятий или некоммерческих организаций. Все случаи, когда он не применяется, указаны в самом 152-ФЗ.
Закон 152-ФЗ не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну (ст. 1 Закона № 152-ФЗ).
Оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в случаях, указанных в п. 2 ст. 22 Закона № 152-ФЗ. С 1 сентября 2022 года их всего два:
— ПД, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
— в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Если вы обрабатываете персональные данные граждан и не подпадаете под исключения в ст. 1 и ст. 22 Закона № 152-ФЗ, следует уведомить Роскомнадзор.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
ИП без сотрудников не исключены из перечня лиц, к которым применяется закон. Но если обработка персональных данных не выполняется, то положения закона не применимы.
Ознакомьтесь с памяткой.) для туристических операторов и агентств, размещенной на сайте РКН.
Субъекты персональных данных по 152-ФЗ это сотрудники, учащиеся, покупатели, клиенты и т. п. Определенного перечня нет, это все физические лица, которых можно определить по имеющимся персональным данным, в том числе контрагенты-физлица и ИП.
База данных №1 - Контур.Экстерн
База данных №2 - Контур.Эльба ?
В блоке : Сведения об организации, ответственной за хранение данных - указываем АО «ПФ «СКБ Контур» ?
Правильно ?
В отдельных случаях, когда абонент действительно не хранит у себя персональные данные на компьютере, а заполняет сразу в сервис, можно указать адрес 620144, Свердловская обл., г. Екатеринбург, ул. Народной воли, стр 19А. Либо можете указать, что ЦОД собственный, и указать адреса своих рабочих мест, откуда осуществляете вход и работаете в сервисе, т.к., возможно, вы скачиваете какие-то отчеты и храните их у себя локально.
Добрый день Елизавета, спасибо за ваш ответ. Но позвольте уточнить в контур экстерне как раз хранятся данные о сотрудниках, например ПФ отчет сзв-м . Единожды введя туда данные ФИО, СНИЛС, ИНН по каждому сотруднику , каждый месяц используя эти данные сдаю отчёт. Архив отчётов храниться в контуре, на компьютере пользователя не чего нет, только ссылка для входа в контур.
Учет сотрудников ведётся в облачном сервисе Контур.Эльба , значит это и есть информационная база данных?
Как правильно заполнить её адрес? Указать юр. адрес Контра или https://elba.kontur.ru/ ?
Поскольку ваша статья в основном рассчитана на пользователей сервисов Контур , вы бы им очень помогли, если бы дали рекомендации как заполнить форму уведомления.
Особое затруднение вызывают разделы : Общие сведения, Сведения об информационных системах и Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ.
За ранее благодарна вам за ответ и уделённое время.
Два уведомления подавать в органы?
1.Считается ли передачей ПДн работников Сберу и СКб Контур при выплате зарплаты через Зарплатный проект? Платеж идет на карточку работника и отображается в СКБ КОНтур +в Контуре хранятся личные данные сотрудников, идет расчет отпусков. Если данные работников отображаются в сбере и в контуре то это передача третьим лицам или что-то другое?
2. Похожий вопрос по клиентам организации. Платежи клиентов при оплате через сайт отображаются в юмани, тильде, оповещения от тильды приходят на яндекс почту. Нужно ли прописывать в соглашение, что данные передаются организациям Юмани-Тильда-Яндекс?
3. При подписание согласия на обработку ПДн, где дается согласие на обработку номера телефона, мейла, нужно ли брать у работников и клиентов согласие на звонки, отправку сообщений по почте? и опять таки нужно ли указывать что это передается яндексу и тефонной компании?