Обработка персональных данных: новые требования с 01.09.2022
Для усиления защиты прав граждан как субъектов персональных данных на неприкосновенность их частной жизни Федеральный закон № 266-ФЗ от 14.07.2022 внёс изменения в Закон о персональных данных. Как с 1 сентября 2022 года правильно обрабатывать персданные, узнаете из статьи.
Причины изменений
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
На начало 2022 г. по данным Роскомнадзора более 2500 операторов персональных данных осуществляли трансграничную передачу персданных российских граждан в недружественные страны, где не обеспечивается их должная защита.
Именно поэтому потребовались поправки в Федеральный закон от 27.07.2006 № 152 “О персональных данных”, направленные на совершенствование правовой защищенности субъектов персональных данных, а также усиление госконтроля в данной сфере.
Описанные ниже изменения действуют с 1 сентября 2022 года, кроме отдельных положений, которые применяют с 1 марта 2023 года.
Закон № 266-ФЗ установил, что российский магазин приложений должен быть обязательно предустановлен на отдельных видах технически сложных устройств (смартфоны и т. п.).
Новая обязанность операторов персданных
- незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
- обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).
Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.
Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
Сокращение срока ответа на запрос
Втрое – с 30 до 10 дней – сокращены сроки исполнения операторами запросов органов власти (Роскомнадзор) и граждан по вопросам, связанным с незаконной обработкой персональных данных.
Фактор передачи биометрии
Установлен прямой запрет операторам отказывать гражданам в оказании услуг при отказе человека предоставить свои персональные данные (в т. ч. биометрические), если такое предоставление по закону необязательно.
На операторов также возложили обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в 30-дневный срок.
Одновременно введено ограничение на обработку биометрических персональных данных несовершеннолетних.
Передача персданных за границу
Усовершенствован порядок трансграничной передачи персональных данных.
Уточнено, что при трансграничной передаче определяющим является не организационно-правовая форма получателя персданных, а его нахождение на территории иностранного государства.
Операторов обязали информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных. В исключительных случаях, при наличии угроз для обороны, безопасности и основ конституционного строя, такая передача может быть ограничена по решению уполномоченного госоргана.
Новый принцип применения норм о персданных
Введена экстерриториальность применения российского законодательства о персональных данных.
В частности, это означает возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
Персданные из ЕГРН
Внесены изменения в Федеральный закон от 13.07.2015 № 218-ФЗ “О государственной регистрации недвижимости”.
Установлено, что персональные данные, содержащиеся в Едином государственном реестре недвижимости (ЕГРН), могут быть предоставлены третьим лицам только с согласия их субъекта – физического лица. Для этого в ЕГРН вносят соответствующую запись:
- на основании заявления физлица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости;
- при внесении соответствующей отметки в заявление о госрегистрации права.
Без такой записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов. К таким обстоятельствам, в частности, могут относиться:
- наличие договора, сторона которого – заявитель и правообладатель;
- причинение ущерба личности или имуществу заявителя;
- наличие оснований для предъявления заявителем вещного иска к правообладателю и др.
В этой связи корреспондирующие изменения также внесены в Основы законодательства Российской Федерации о нотариате от 11.02.1993 № 4462-1.
За это установлена плата:
- 300 руб. – нотариальный тариф;
- 150 руб. – плата за услуги правового и технического характера (не взимается при совершении нотариального действия удаленно).
Эти изменения в части ЕГРН устраняют правовую коллизию, когда операторы персданных, с одной стороны, обязаны не раскрывать третьим лицам персональные данные без согласия их правообладателя, но, с другой, выдача персданных из ЕГРН возможна без каких-либо ограничений.
Новое о персональных данных
С 1 марта 2021 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
в течение трех рабочих дней с момента обращения;
или в срок, указанный в постановлении суда;
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.
К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).
Оформление согласия
Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.
Ректору
ФГБОУ ПО «Самарский государственный университет»
Владимирову Владимиру Владимировичу,
адрес местонахождения 123456, Самара, ул. Самарская, д. 1
ОГРН: 1234567890123 ИНН: 1234567890
ОКВЭД: 12.34 ОКПО: 12345678
ОКОГУ: 1234567 ОКОПФ: 12300 ОКФС: 12От Иванова Ивана Ивановича,
паспорт серии 12 34 № 123456 выдан 12 января 2000 года
ОВД Самарского района г. Самары,
зарегистрированного по адресу 123456, Самара,
ул. Ленина, д. 1, кв. 23.
Адрес электронной почты:
[email protected]
Номер телефона:
+7 (123) 456-78-90Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения
Настоящим я, Иванов Иван Иванович, руководствуясь статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», заявляю о согласии на распространение ФГБОУ ПО «Самарский государственный университет» моих персональных данных с целью размещения информации обо мне на официальном сайте ФГБОУ ПО «Самарский государственный университет» в следующем порядке:
Категория персональных данных
Перечень персональных данных
Разрешаю к распространению (да/нет)
Разрешаю к распространению не-ограниченному кругу лиц (да/нет)
Условия и запреты
Дополнительные условия
Общие персональные данные
Фамилия
Да
Да
Имя
Да
Да
Отчество
Да
Да
Год рождения
Нет
Нет
Месяц рождения
Да
Да
Дата рождения
Да
Да
Место рождения
Да
Нет
Адрес
Нет
Нет
Семейное положение
Да
Нет
Только сотрудникам отдела кадров
Образование
Да
Нет
Профессия
Да
Нет
…
…
…
Специальные категории персональных данных
Состояние здоровья
Да
Нет
Только сотрудникам отдела кадров
Сведения о судимости
Да
Нет
Только сотрудникам отдела кадров
…
…
…
Биометрические персональные данные
Цветное цифровое фотографическое изображение лица
Да
Да
…
…
…
Сведения об информационных ресурсах Оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных:
Информационный ресурс
Действия с персональными данными
https://[email protected]/
Предоставление сведений неограниченному кругу лиц
https://[email protected]/
Предоставление сведений сотрудниками организации
…
…
Настоящее согласие дано мной добровольно и действует с 01.03.2021 по 31.12.2021.
Оставляю за собой право потребовать прекратить распространять мои персональные данные. В случае получения требования Оператор обязан немедленно прекратить распространять мои персональные данные, а также сообщить перечень третьих лиц, которым персональные данные были переданы.
«01» марта 2021 г. Иванов Иванов И. И.
Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.
Подчеркнем, что в согласии должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). При этом не допускается ни указание об автоматической пролонгации срока действия согласия, ни определение срока его действия путем установления бессрочного статуса или указания на событие, наступление которого возможно в долгосрочной перспективе.
Итак, если вы размещаете информацию о работниках в открытом доступе и еще не получили от них согласие, срочно его запросите. Ведь требования к защите персональных данных становятся жестче, поправки в ст. 13.11 «Нарушение законодательства РФ в области персональных данных» КоАП РФ вступят в силу 27 марта 2021 года (Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).
Так, обработка персональных данных без письменного согласия повлечет за собой уже двойные штрафы:
Каким должно быть согласие на обработку персональных данных с 01.09.2021: требования
С 1 сентября 2021 года приказ Роскомнадзора № 18 от 24.02.2021 утвердил требования к содержанию согласия на обработку персональных данных, разрешенных их субъектом для распространения. Перечень этих требований должен знать каждый бухгалтер и кадровик. Приводим их полный список в этой статье.
Чем руководствоваться
Федеральный закон от 30.12.2020 № 519-ФЗ с 1 марта 2021 года внёс изменения в Закон от 27.07.2006 № 152-ФЗ “О персональных данных“, которые установили особенности обработки общедоступных перс. данных. А требования к содержанию согласия на обработку таких данных устанавливает Роскомнадзор.
В итоге, требования к содержанию Согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, приведены в приказе Роскомнадзора от 24.02.2021 № 18. Они будут актуальны с 1 сентября 2021 по 1 сентября 2027 года.
Что включить в форму согласия
Согласие на обработку персональных данных, разрешенных их субъектом для распространения, должно содержать следующую информацию:
РЕКВИЗИТ СОГЛАСИЯ
- наименование;
- адрес в ЕГРЮЛ;
- ИНН;
- ОГРН (если известен субъекту персональных данных).
Сведения об операторе – физическом лице:
- фамилия, имя, отчество (при наличии);
- место жительства или место пребывания;
Сведения об операторе – ИП:
- фамилия, имя, отчество (при наличии);
- ИНН;
- ОГРН (если известен субъекту персональных данных).
Это адрес, состоящий из:
- наименования протокола (http или https), сервера (www), домена, имени каталога на сервере;
- имя файла веб-страницы.
- персональные данные (Ф.И.О. (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, о субъекте персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные.
- только по своей внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников;
- либо с использованием информационно-телекоммуникационных сетей (Интернет);
- либо без передачи полученных персональных данных.
В завершение отметим, что как такого бланка Согласия на обработку персональных данных, разрешенных их субъектом для распространения, Роскомнадзор не приводит. Поэтому каждая организация (ИП, физлицо) формируют его на своё усмотрение, но с обязательным приведением перечисленных 9 реквизитов.
