Войти в сервисы
Меню

Персональные данные: что именно изменилось

#блог
Переходите на ЭДО
Моментально отправляйте и подписывайте юридически значимые документы с контрагентами
Подробнее

1 марта вступила в силу заключительная часть поправок, которую еще в июле прошлого года внесли в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Федеральный закон от 14 июля 2022 г. № 266-ФЗ). Рассказываем, как именно эти новые правила и требования скажутся на деятельности бизнеса и жизни физических лиц.

Разбираемся в понятиях

Персональные данные (далее – ПД) – это любая личная информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу.

Обработка ПД – это действия с персональными данными человека: получение и запись информации о соискателе для заполнения трудовой договор; сбор данных посетителей сайта через форму и пр.

А теперь о том, что, собственно, изменилось в законе о персданных.

Уведомление об изменении

Теперь на то, чтобы известить Роскомнадзор об изменении персональных данных, дается больший срок. Раньше это нужно было сделать в течение 10 рабочих дней с момента внесения изменений в уведомление об обработке ПД, а отныне – не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Уведомление подается по форме из https://49.rkn.gov.ru/docs/49/Prikaz_Roskomnadzora_ot_28.10.2022_180.docx

Уничтожение 

Уничтожить персданные (или обеспечить их уничтожение) следует в тех случаях, которые предусматривает ст. 21 Закона о персональных данных (в частности, при достижении целей их обработки).

Если до 1 марта фиксировать факт уничтожения ПД можно было в свободной форме, то теперь делать это требуется по новой форме, включив 10 обязательных видов данных. Эти требования установлены приказом Роскомнадзора от 28 октября 2022 г. № 179.

Уничтожив персданные, работодатель должен зафиксировать этот факт двумя документами:

1.   Актом об уничтожении ПД. Его обязательными реквизитами являются:

  • Наименование учреждения – оператора ПД

  • Адрес оператора ПД

  • ФИО и должность лиц, уничтоживших ПД

  • Перечень категорий уничтожаемых ПД

  • Дата уничтожения ПД

  • Способ уничтожения ПД

  •  Причина уничтожения ПД

  • Наименования уничтоженного материального носителя

  • Количество уничтоженных листов

  • ФИО субъектов ПД или иная информация, относящаяся к определенным  физлицам, чьи ПД были уничтожены

  • Подписи лиц, уничтоживших ПД.

  1. Выгрузкой из журнала регистрации событий в информационной системе ПД.  Ее обязательные реквизиты – это:

ФИО субъектов ПД или иная информация, относящаяся к определенным  физлицам, чьи ПД были уничтожены

  • Перечень категорий уничтожаемых ПД

  • Наименование информационной системы ПД, из которой они были уничтожены

  • Причина уничтожения ПД

  • Дата уничтожения ПД

Если в компании данные обрабатываются вручную, будет достаточно акта.

Оценка степени вреда

Роскомндаздор обязал работодателей оценивать степень вреда, который может быть нанесен физическому лицу при нарушении правил обработки его ПД (приказ Роскомнадзора от 27.10.2022 № 178). Всего называется три степени вреда:

Степень вреда

Обрабатываемые персональные данные

Высокая

  • Биометрические

  • Специальные (состояние здоровья и судимость)

  • О несовершеннолетнем лице

  • Передаваемые за границу

  • Собираемые с использованием иностранных баз данных

Средняя

  • Распространяемые (например, публикуемые в интернете, то есть выставляемые на обозрение неограниченного круга лиц)

  • Обрабатываемые в иных целях, отличных от первоначальной цели получения данных

Низкий

  • Накапливаемые в общедоступных источниках

  • Обрабатываемые с привлечением лиц, с которыми вы на заключили  трудовой договор

 

Анализ потенциального вреда оформляется в виде акта, в котором должны быть указаны следующие сведения:

  • Наименование и адрес оператора

  • Дата составления акта

  • Дата проведения оценки

  • Данные лица или членов комиссии, ответственных за проведение оценки

  • Степень вреда, определяемая по результатам анализа.

Передача персональных данных за границу

С 1 марта 2023 года компании обязаны сообщать в РКН о зарубежных поставщиках, которые получают доступ к ПД россиян (ст. 12 Закона № 152-ФЗ). Ведомство, в свою очередь, определит, можно ли передавать информацию этим контрагентам или нет – компания получит уведомление об этом в течение 10 рабочих дней.

Это новшество крайне важно для работы онлайн-продавцов. Так, если зарубежный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных, разрешение не выдадут. Но если поставщик дислоцируется в стране, ратифицировавшей Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, трансграничную передачу, скорее всего, разрешат. Среди стран, ратифицировавших конвенцию, например, - Армения, Азербайджан, Сербия и Турция (полный перечень).

Уведомление о намерении осуществлять передачу данных за границу можно оформить как на бумажном носителе, так и в электронном виде. Подаваться оно должно отдельным документом: для этого на сайте РКН создан раздел.   

Если вы уже подали уведомление о трансграничной передаче до 1 марта, повторно делать этого не нужно – до тех пор пока в вашей деятельности не произойдут изменения, подразумевающие формирование новых трансграничных потоков данных (в другие страны или для иных целей). Это проговорено в сообщении РКН.

Проверки РКН

В этом году Роскомнадзор будет чаще привлекать к ответственности за нарушение работы с ПД, а в некоторых случаях сможет делать это «бесконтактно».

Расширен список оснований для внеплановых проверок по ПД (постановление от 04.02.2023 № 161). Например, в компанию могут прийти ревизоры от РКН, если будет выявлен факт распространения баз с персональными данными в интернете.

В ряде случаев привлечь к ответственности РКН сможет даже без выезда на место и без взаимодействия с нарушителем. Речь о  нарушениях, оговоренных в частях 1–2.1 и 4 статьи 13.11 КоАП (обработка ПД без письменного согласия, обработка, несовместимая с целями сбора данных и пр.). «Бесконтактная» проверка может произойти, если, к примеру, нарушение выявил сам сотрудник РКН, обладающий полномочиями составлять протоколы, либо поступило указание из прокуратуры. В целом, возбудить дело могут по жалобе, сообщению в СМИ и пр.

Документы, которые нельзя игнорировать

Вот список документов по ПД, которые наверняка потребуются вам в 2023 году:

  • Положение о работе с персональными данными работников

  • Положение о порядке уничтожения персональных данных

  • Приказ о создании комиссии по уничтожению документов с персональными данными

  • Общая форма согласия на передачу и обработку персональных данных

  • Согласие на обработку персональных данных на сайте

  • Обязательство о неразглашении персональных данных

Важный совет 

Чтобы соблюсти все требования законов и пройти возможные проверки, необходим полный порядок в документации. Обеспечить его проще всего в формате электронного документооборота: в этом случае автоматически снижается до нуля вероятность утери документов и ошибок ручного ввода, а сам процесс документооборота между контрагентами ускоряется в несколько раз.  Сервис «СФЕРА.Курьер» от СберКорус позволяет не только ускорить рабочие процессы, но и сократить материальные издержки на бумажный документооборот.  

За открытие счёта для ИП и ЮЛ в Сбере
Подробнее
Сервис электронного документооборота за 1 ₽ на год

Наши продукты

Сервис проверки контрагентов
Проверьте бизнес-партнёра по 20 источникам. Полный отчёт всего за 2 минуты
Подробнее
ЭДО с контрагентами
Подписывайте документы за секунды: без расходов на бумагу и курьерские службы
Подробнее
Электронная ТН
Ускорьте документооборот в логистике в 4 раза и забудьте о бумажных накладных
Подробнее

Читать также

На информационном ресурсе применяются рекомендательные технологии.
Оставаясь на сайте, вы соглашаетесь с политикой использования Cookie-файлов.
© СберКорус, 2012 – 2024 Политика обработки данных Политика обработки данных Защита от спама reCAPTCHA Конфиденциальность и Условия использования