ИП и юрлица, которые используют личную информацию граждан, относятся к операторам персональных данных (ОПД). Этот статус у них есть независимо от нахождения в реестре Роскомнадзора. По Закону «О защите персональных данных» у операторов есть обязанности, почти одинаковые для крупной корпорации и микропредприятия. Разбираемся, как их выполнять с учетом изменений в нормативном регулировании с 1 сентября 2022 года.
Общие требования
Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД).
Что изменилось в обработке персональных данных с 1 сентября
Условно требования можно разделить на три группы:
- Сделать свои действия прозрачными для государственного контроля.
- Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации.
- Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД.
Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Контроль (надзор) за деятельностью оператора
Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей.
- Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ:
- в ГИС, созданных для защиты безопасности государства и общественного порядка;
- исключительно без средств автоматизации;
- для обеспечения транспортной безопасности.
Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо.
О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ):
- до 1 марта 2023 года — в течение 10 рабочих дней;
- с 1 марта 2023 года — до 15-го числа следующего месяца.
- Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор:
- не позднее 24-х часов — об утечке ПД;
- через 72 часа — о результатах расследования происшествия.
В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ).
- Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ).
Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний.
В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей.
Выполнение требований 152-ФЗ
Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности:
- принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119);
- проводят внутренний аудит;
- оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами;
- ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами.
Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования.
Также юрлица издают Политику оператора и внутренние документы по обработке ПД.
В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ).
С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки:
- категории и перечень ПД;
- категории субъектов;
- способы, сроки обработки и хранения;
- порядок уничтожения ПД при достижении целей.
Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ).
Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется.
Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте.
Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так:
- Политика обработки ПД.
- Приказ о назначении ответственного за организацию работ.
- Реестр персональных данных.
- Положение о защите ПД работников.
- Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора.
- Положение о работе с персональными данными.
- Регламент взаимодействия с ГосСОПКА.
Соблюдение прав субъектов ПД
Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора:
- Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии.
- Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку.
- При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ).
- Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина.
- Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно.
- Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ).
С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки.
Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ).
Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ).
Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).

Отчитывайтесь легко и без ошибок
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Ответственность оператора
За невыполнение обязанностей ОПД могут привлечь к административной, уголовной и гражданской ответственности. В зависимости от проступка, это могут быть штрафы по ст. 13.11 или 19.7 КоАП РФ; наказание по ст. 272 УК РФ.
Оператор возмещает физическому лицу при нарушении его прав моральный вред, независимо от компенсации имущественного ущерба и убытков (ст. 24 152-ФЗ).