Персональные данные: изменения с 1 сентября 2022 года

Все организации работают с персональными данными. Даже если компания не работает с клиентами ‒ физическими лицами, она обрабатывает персональные данные сотрудников.

Ошибки в работе с персональными данными грозят привлечением к административной ответственности в виде внушительных штрафов по ст. 13.11 КоАП РФ.

Федеральным законом от 14.07.2022 № 266-ФЗ внесены изменения в Закон № 152-ФЗ «О персональных данных». Часть изменений вступили в силу с 1 сентября 2022 года, другие будут применяться с 1 марта 2023 года. О ключевых изменениях в Законе о персональных данных, которые нужно учесть в работе, читайте в статье нашего эксперта.

Какие изменения необходимо учесть в работе с 1 сентября 2022 года

Уведомление об обработке персональных данных

Одно из самых обсуждаемых изменений с 1 сентября 2022 года касается включения операторов в реестр Роскомнадзора.

Еще с начала действия Закона № 152-ФЗ действует правило, что до начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении. Это следует из ст. 22 Закона № 152-ФЗ. Ранее в данном требовании было множество исключений, например, если персональные данные обрабатываются в соответствии с трудовым законодательством или в случае обработки персональных данных клиентов, когда информация нужна исключительно для заключения и исполнения договоров.

С 1 сентября из Закона № 152-ФЗ исключают большинство случаев, когда компаниям не нужно уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные.

Операторы вправе осуществлять без уведомления уполномоченного органа обработку персональных данных (ч. 2 ст. 22 Закона № 152-ФЗ):

• включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• в случае если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
• обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В остальных случаях уведомление обязательно, соответственно, после 1 сентября 2022 года практически все организации должны быть включены в реестр Роскомнадзора.

Также законотворцы скорректировали требования к содержанию уведомления. Если данные будут обрабатываться оператором в разных целях, то для каждой из них понадобится указать (ч. 3.1 ст. 22 Закона № 152-ФЗ):

• категорию данных и их субъектов;
• правовое основание обработки;
• перечень действий с данными и способы их обработки.

В законе закрепили, что формы уведомлений устанавливаются Роскомнадзором. В настоящий момент действует рекомендованная форма (Приложение 1 к Методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30.05.2017 № 94).

Порядок подачи уведомления не поменялся. Его можно подать на бумажном носителе или в виде электронного документа. Чаще всего уведомление подается через портал персональных данных на сайте Роскомнадзора.

Обратите внимание, сохранено положение о том, что в случае изменения сведений оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений (ч. 7 ст. 22 Закона № 152-ФЗ). Если ваша организация уже включена в реестр, то рекомендуем проверить направленные сведения и скорректировать их в соответствии с требованиями законодательства. Например, в уведомлении указана цель обработки, связанная с осуществлением деятельности в соответствии с уставом и не указана цель – соблюдение требований трудового законодательства. Ранее эту цель можно было не указывать, так она попадала под исключения, но после 1 сентября информацию в уведомлении необходимо скорректировать.

Политика обработки персональных данных

Нововведения с 1 сентября затрагивают содержание и порядок работы с основным документом организации по данному направлению – политику оператора в отношении обработки персональных данных.

С 1 сентября 2022 года в соответствии со ст. 18.1 Закона № 152-ФЗ документ должен включать:

• категории и перечень данных, а также категории субъектов персональных данных для каждой цели обработки;
• способы и сроки обработки и хранения данных;
• порядок уничтожения персональных данных.

В законе отдельно отметили, что документы по персональным данным не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Рекомендуем пересмотреть документы по персональным данным и актуализировать их в соответствии с новыми требованиями законодательства.

Еще одно изменение затронет организации, которые собирают персональные данные пользователей в интернет. Документ по работе с персональными данными должен быть опубликован на сайте. В настоящий момент у большинства организаций документ уже опубликован таким способом. Это связанно с тем, что в ч. 2 ст. 18.1 Закона № 152-ФЗ отмечено, что оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. Если же оператор, собирающий данные на сайте, обеспечивал иным образом доступ к документу, например он был размещен на информационном стенде в офисе организации, то в соответствии с новыми правилами его необходимо продублировать на сайт, где осуществляется сбор информации.

Требования к договору, в связи с заключением или исполнением которого обработка персональных данных возможна без согласия субъекта

В соответствии с п. 5 ч. 1 ст. 6 Закона № 152-ФЗ, если обработка персональных данных необходима для заключения или исполнения договора, стороной которого либо выгодоприобретателем является субъект, согласие на обработку не требуется.

Установлены новые требования к таким договорам. Документ не может содержать:

• положения, ограничивающие права и свободы субъекта;
• случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законом;
• положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Такие условия не будут недействительными, но при их включении в договор для обработки персональных данных будет требоваться отдельное согласие субъекта, несмотря на то что обработка будет необходима для заключения или исполнения договора.

Сбор персональных данных

Операторам запретили отказывать гражданину в услугах, если он не хочет предоставлять биометрические сведения или соглашаться на обработку персональных данных, если по закону получать согласие на нее необязательно (ч. 3 ст. 11 Закона № 152-ФЗ).

Обратите внимание, с 1 сентября 2022 года вступают в силу изменения не только в Законе о персональных данных, но и в Законе о защите прав потребителей. По новым требованиям продавец не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом потребителя предоставить персональные данные. При этом существует исключение, если обязанность предоставления такой информации предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем (п. 4 ст. 16 Закона о защите прав потребителей). В случае нарушения указанных требований организация может быть привлечена к административной ответственности по ч. 7 ст. КоАП РФ.

Если потребитель потребует объяснить, почему из-за непредставления персональных данных ему отказали в заключении, исполнении, изменении или расторжении договора, ответить нужно в течение 7 дней, при устном запросе — незамедлительно (п. 4 ст. 16 Закона о защите прав потребителей).

Еще одно нововведение по сбору персональных данных касается ситуаций, когда информация о субъекте получена оператором от третьего лица. С 1 сентября, помимо указания источника получения информации и целей обработки, оператор должен оповестить субъекта о перечне полученной информации (п. 2.1 ч. 3 ст. 18 Закона № 152-ФЗ).

Пошаговые инструкции, образцы заполнения документов и ссылки на правовые акты: получите доступ к «Готовым решениям».

Согласие субъекта на обработку персональных данных

В новой редакции Закона № 152-ФЗ отмечено, что согласие на обработку персональных данных должно быть не только конкретным, информативным и сознательным, но и предметным и однозначным (ч. 1 ст. 9 Закона № 152-ФЗ). На настоящий момент ни в законе, ни в судебной практике нет точного определения этих понятий. На наш взгляд, таким нововведением законотворцы уточнили, что формулировки в согласии должны быть четкими, конкретными и понятными.

Рекомендуем пересмотреть формы согласий на обработку персональных данных в организации и исключить из них абстрактные формулировки.

Обработка персональных данных третьим лицом

Если оператор поручает обработку персональных данных третьему лицу, то в поручение, помимо прежних условий, с 1 сентября 2022 года необходимо включать (ч. 3 ст. 6 Закона № 152-ФЗ):

• перечень персональных данных;
• условие, что при сборе персональных данных обработчик должен использовать базы данных, находящиеся на территории РФ (ч. 5 ст. 18 Закона № 152-ФЗ);
• обязанность обработчика об исполнении требований ст. 18.1 Закона № 152-ФЗ;
• обязанность обработчика предоставлять по запросу оператора (в течение срока действия поручения) документы и иную информацию, подтверждающие принятие мер и соблюдение требований Закона № 152-ФЗ.

Использование данных иностранными лицами

Ст. 1 Закона № 152-ФЗ дополнили частью 1.1, где отмечено, что его положения в том числе распространяются на иностранных юридических и физических лиц, которые обрабатывают персональные данные граждан Российской Федерации.

Также с 1 сентября в случае передачи иностранному юридическому или физическому лицу персональных данных для обработки ответственность несут как оператор, так и обработчик персональных данных (ч. 6 ст. 6 Закона № 152-ФЗ).

Ответ оператора на запрос субъекта и Роскомнадзора

Одной из обязанностей оператора является предоставление субъекту информации относительно обработки его персональных данных. При этом в законе не было определенности относительно формы ответа на запрос.

В новой редакции Закона № 152-ФЗ разъяснили порядок предоставления субъекту информации, касающейся обработки его персональных данных (ч. 3 ст. 14 Закона № 152-ФЗ).

Ответ предоставляется в той же форме, в которой был представлен запрос, например по электронной почте, за исключением случаев, когда субъект указывает в запросе иную форму предоставления информации.

Сокращены сроки ответов оператора на запросы субъекта персональных данных и Роскомнадзора.

Сведения предоставляются в течение 10 рабочих дней с момента запроса, при этом срок может быть продлен, но не более чем на 5 дней и при направлении мотивированного уведомления, с указанием причин несвоевременного предоставления информации (ст. 20 Закона № 152-ФЗ).

Порядок действий оператора в случае утечки персональных данных

В новой редакции Закона № 152-ФЗ подробно определен порядок действий оператора в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов (ст. 21 Закона № 152-ФЗ).

В течение 24 часов оператор должен зафиксировать произошедший инцидент и сообщить в уполномоченный орган следующую информацию:

• факт произошедшего инцидента;
• предполагаемые причины;
• информацию о предполагаемом вреде, нанесенном субъектам персональных данных;
• информацию о принятых мерах по устранению последствий соответствующего инцидента;
• сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.

В течение 72 часов оператор должен провести внутреннее расследование и представить в уполномоченный орган информацию о его результатах, а также сведения о лицах, действия которых стали причиной инцидента, в случае их выявления.

Особенности обработки персональных данных, разрешенных для распространения

К персональным данным, разрешенным для распространения, относится информация, на распространение которой субъектом дано отдельное согласие. Правила работы с такой информацией определены в ст. 10.1 Закона № 152-ФЗ. В ней же предусмотрены исключения для органов, на которых данные правила не распространяются.

В новой редакции перечень органов расширен. Теперь требования ст. 10.1 Закона № 152-ФЗ не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.

Какие изменения вступят в силу с 1 марта 2023 года

Ряд изменений вступит в силу с марта 2023 года. Это:

1) Трансграничная передача персональных данных

Оператор перед началом трансграничной передачи персональных данных должен будет уведомить Роскомнадзор о своем намерении. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (ст. 12 Закона № 152-ФЗ).

2) Уведомление об обработке персональных данных

Изменяется срок уведомления Роскомназора в случае, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных. Проинформировать нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения (ч. 7 ст. 22 Закона № 152-ФЗ).

Изменения в Законе № 152-ФЗ существенно влияют на текущую работу. Необходимо провести аудит внутренних документов по данному направлению, уведомить Роскомнадзор в случае, если организация еще не состоит в реестре, учесть и применять новые требования к сбору персональных данных.

Автор: преподаватель-юрист «ЧТО ДЕЛАТЬ КОНСАЛТ» Анастасия Чекмарева