Роскомнадзор: работаем с персональными данными по новому.

ФЗ № 152 от 27.07.2006 «О персональных данных» направлен на создание механизмов защиты прав и свобод субъектов, чьи персональные данные участвуют в общедоступном обороте, а в 2021 г. в нем произошли некоторые изменения.

В соответствии с данным документом, обработка персональных данных не влечет предоставление к ним доступа неограниченного круга лиц. Также молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение. Отсюда само собой следует, что субъект персональных данных должен не только дать согласие на обработку, но и на распространение таких данных.

Роскомнадзор, согласно п. 3 ч. 5 ст. 23 закон № 152-ФЗ, является уполномоченным органом по защите прав субъектов персональных данных и ведет реестр операторов. По состоянию на конец 2021г., в реестре содержались сведения о 429 462 операторах персональных данных.

Но одновременно с изменениями законодательства по персональным данным ужесточаются меры ответственности операторов за его нарушение. С 27.03.2021 г. за любые правонарушения, установленные ст. 13.11 КоАП РФ, нарушителю грозит штраф и никаких предупреждений больше не бывает.

Санкции за обработку персональных данных без согласия в письменной форме следующие:

- для граждан штраф в размере от шести тысяч до десяти тысяч рублей;

- для должностных лиц в размере от двадцати до сорока тысяч рублей;

- для юридических лиц в размере от тридцати до ста пятидесяти тысяч рублей.

Сроки же давности привлечения к административной ответственности за нарушения в области персональных данных составляют теперь год.

Кроме того, с 1 сентября 2021 года вступили в действие обязательные требования к содержанию согласия на обработку персональных данных, разрешенных к распространению. Требования разработаны Роскомнадзором (Приказ от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).

Обработка персональных данных включает в себя:

- сбор;

- запись;

- систематизацию;

- хранение;

- уточнение (обновление, изменение);

- накопление;

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ), уничтожение и др.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.

Согласие на обработку персональных данных необходимо оформлять практически с каждым субъектом персональных данных: кандидатом на замещение вакантной должности, работником, а также и с родственниками работника, клиентами, контрагентами, третьими лицами и др.

Согласие на обработку. Согласно приказу Роскомнадзора, оно должно включать следующую информацию:

1. о субъекте персональных данных (ФИО, адрес электронной почты или почтовый адрес);

2. об операторе персональных данных (наименование или ФИО, место регистрации, место жительства или место пребывания, ИНН, ОГРН, сайт)

3. цель обработки персональных данных;

4. категории и состав персональных данных, на которые получается согласие (общие, специальные и биометрические);

5. перечень данных, на которые субъект может установить запрет на распространение;

6. условия передачи оператором персональных данных, в том числе перечень лиц, имеющих право на ознакомление;

7. срок действия согласия.

То есть субъект персональных данных может установить запреты или конкретные условия обработки части информации, в частности, запрет на какую-либо обработку персональных данных неограниченным кругом лиц (кроме непосредственного доступа к ним).

Срок же действия согласия вправе определить сам субъект персональных данных, если иное не установлено федеральным законом.

Распространение персональных данных должно быть приостановлено в любое время по требованию субъекта, даже если прежде он давал на это согласие. Требование должно включать в себя фамилию, имя, отчество, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень данных, обработка которых подлежит прекращению. Указанные в требовании персданные могут обрабатываться только оператором, которому оно направлено.

Еще один существенный момент: если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Роскомнадзор решил облегчить бизнесу адаптацию к изменениям: в ведомстве разработали специальный сервис — конструктор для формирования шаблона формы согласия, он уже функционирует. В дальнейшем оператор может использовать проверенную Роскомнадзором форму согласия в своей работе. Это исключает возможность ошибки — документ будет соответствовать всем необходимым требованиям.

Конструктор создавали с учетом правоприменительной практики. На сайте Роскомнадзора можно заполнить поля шаблона, после чего его рассматривают эксперты ведомства. При необходимости они дадут свои рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.

Организация, являющаяся оператором персональных данных должна иметь внутренние локальные документы, регламентирующие порядок обработки персональных данных, в том числе Политику в отношении персональных данных, которую необходимо разместить в открытом доступе в интернете (на сайте организации).

Также должен быть назначен ответственный за организацию обработки персональных данных сотрудник.

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.

Соблюдение законодательства о персональных данных несомненно является частью общей политики соответствия, то есть комплаенса, поэтому я советую поручать контроль за этим направлением работы только профессионалам, имеющим специальные знания и квалификацию.