Обязанности оператора персональных данных с 1 сентября 2022 года

Общие требования

Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). 

Что изменилось в обработке персональных данных с 1 сентября

Условно требования можно разделить на три группы:

1. Сделать свои действия прозрачными для государственного контроля.
2. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации.
3. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД.

Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

Контроль (надзор) за деятельностью оператора

Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей.

1. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ:
   • в ГИС, созданных для защиты безопасности государства и общественного порядка;
   • исключительно без средств автоматизации;
   • для обеспечения транспортной безопасности.

Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. 

О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ):

• до 1 марта 2023 года — в течение 10 рабочих дней; 
• с 1 марта 2023 года — до 15-го числа следующего месяца. 

2. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор:
   • не позднее 24-х часов — об утечке ПД;
   • через 72 часа — о результатах расследования происшествия.

В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ).

3. Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ).

Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний.

В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей.

Выполнение требований 152-ФЗ

Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности:

• принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); 
• проводят внутренний аудит;
• оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами;
• ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами.

Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. 

Также юрлица издают Политику оператора и внутренние документы по обработке ПД.

В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ).

С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки:

• категории и перечень ПД;
• категории субъектов;
• способы, сроки обработки и хранения;
• порядок уничтожения ПД при достижении целей.

Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ).

Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется.

Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте.

Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так:

1. Политика обработки ПД.
2. Приказ о назначении ответственного за организацию работ.
3. Реестр персональных данных.
4. Положение о защите ПД работников.
5. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора.
6. Положение о работе с персональными данными.
7. Регламент взаимодействия с ГосСОПКА.

Соблюдение прав субъектов ПД

Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора:

1. Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. 
2. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку.
3. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ).
4. Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина.
5. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно.
6. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ).

С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. 

Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ).

Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ).

Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).

Отчитывайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

Ответственность оператора

За невыполнение обязанностей ОПД могут привлечь к административной, уголовной и гражданской ответственности. В зависимости от проступка, это могут быть штрафы по ст. 13.11 или 19.7 КоАП РФ; наказание по ст. 272 УК РФ. 

Оператор возмещает физическому лицу при нарушении его прав моральный вред, независимо от компенсации имущественного ущерба и убытков (ст. 24 152-ФЗ).