Изменения в Закон РФ «О персональных данных»
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Изменения в Закон РФ «О персональных данных»». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Как уведомить Роскомнадзор о сборе персональных данных
Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде,
- в электронном виде с использованием усиленной квалифицированной электронной подписи,
- в электронном виде с использованием средств аутентификации ЕСИА.
Новые требования к трансграничной передаче персональных данных
Изменения в части трансграничной передачи данных вступают в силу 1 марта 2023 года
Как осуществлять трансграничную передачу данных. Наиболее обсуждаемыми стали изменения, касающиеся трансграничной передачи. Тут новый закон действительно меняет ситуацию коренным образом. Оператор до того, как начнет трансграничную передачу, обязан уведомить об этом Роскомнадзор. Операторы, которые уже занимаются такой работой, обязаны подать уведомление не позднее 1 марта 2023 года. Новелла прямо требует направлять его отдельно от уведомления об обработке персональных данных.
Закон подробно описывает, какую информацию должно содержать уведомление. Более того, обязывает оператора получать от иностранных госорганов или лиц, которым будут передавать данные, сведения об уровне защиты прав субъектов персональных данных в этом государстве. Сделать это необходимо до того, как компания подаст в Роскомнадзор уведомление.
П. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“»
Сейчас многие компании должны выбрать: подать уведомление до 1 марта 2023 года или отложить подачу, чтобы собрать информацию и проследить, как будет развиваться практика. Пока что нет ответственности за неподачу уведомления в срок. Поэтому второй подход, хотя и рискованный, может оказаться разумным в некоторых случаях.
Однако важно помнить, что в уведомлении об обработке персональных данных компании также указывают, осуществляют ли они трансграничную передачу. Следовательно, операторы, подавшие указанное уведомление и включенные в реестр операторов персональных данных, не смогут «подождать». Оператор, когда направит уведомление, может осуществлять трансграничную передачу только в странах, которые указал в уведомлении и которые Роскомнадзор признал обеспечивающими адекватную защиту прав субъектов. Это, в частности, государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Когда Роскомнадзор не признал, что страны из уведомления обеспечивают адекватную защиту, оператор сможет передавать данные, если Роскомнадзор рассмотрит уведомление и не вынесет решение о запрете или об ограничении такой передачи. Роскомнадзор должен рассмотреть уведомление в течение 10 рабочих дней. Этот срок могут продлить, если Роскомнадзор направит запрос оператору.
Изменения в правилах работы с персональными данными сотрудников в 2023 году
В 2023 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.
Случаи, когда необходимо отдельное согласие физического лица:
- Организация занимается распространением данных неограниченному кругу лиц.
- Организация занимается передачей информации третьим лицам.
К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.
Что относится к персональным данным
Под личной информацией подразумевается любые данные, которые относится к человеку, как субъекту, определяемому принятым законодательством РФ «О персональных данных» № 152-ФЗ (п. 1 ст. 3) от 27.07.2006 года.
Данный ФЗ не разъясняет, какие данные включаются в этот термин. К таким сведениям можно отнести:
- ФИО сотрудника.
- Дата рождения.
- Данные паспорта.
- Адрес проживания.
- ИНН.
- Номер СНИЛС.
- Образование.
- Трудовой стаж.
Это наименьшая информация о человеке, которая предоставляется при устройстве на предприятие. В процессе труда к списку прибавляется дополнительная информация:
- Обязанности по трудовому контракту.
- Информация о состоянии воинского учета.
- Наличие социальных льгот.
- Информация о наказаниях и вознаграждениях.
- Отчеты для статистических структур и т.д.
Накапливаемые данные сохраняются в личном деле работающего. Вся информация о работающем регламентируется ФЗ № 152, который обязан соблюдаться учреждением, нанимающим работников для работы с личной информацией.
Ниже приведен образец документа на согласие обработки личных сведений.
Какие ПД считаются избыточными
Представление персональных данных не может фигурировать в качестве условия сделки. Продавец не может отказаться продать товар или оказать услугу по той лишь причине, что покупатель не хочет предоставить персональные данные, которые для исполнения договора фактически не требуются. Об этом говорится в обновлённой статье 16 Закона «О защите прав потребителей».
Помимо этого, есть положение закона «О персональных данных» от 27.07.2006 N 152-ФЗ, где говорится, что «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых законных целей». Обработка персональных данных, несовместимая с целями их сбора, недопустима.
Что это значит
Продавец может запросить некоторые персональные данные, но только те, которые необходимы для исполнения договора. Избыточные данные собирать нельзя. Например, для сервиса доставки еды нужны адрес и номер телефона заказчика. Но если на сайте доставщик предлагает дополнительно заполнить пункты о семейном положении или представить фотографии всех страниц паспорта, и это обязательное условие. Налицо — нарушение.
Такой принцип работал и до внесения поправок.
Можно ли использовать не сертифицированные СЗИ
Требование:
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
(применимо для УЗ — 1-4)
Возможные способы выполнения:
Следует отметить разницу подходов различных регуляторов.
Позиция ФСБ – СКЗИ подлежат обязательной сертификации.
Позиция ФСТЭК по СЗИ: Процедура оценки соответствия определена Федеральным законом «О техническом регулировании» от 27 декабря 2002 г. N 184-ФЗ.
Если следовать логике ФСТЭК, то руководствоваться надлежит положениями Федерального закона от 27.12.2002 N 184-ФЗ «О техническом регулировании».
Согласно статьи 20, к формам подтверждения соответствия относится:
-
обязательная сертификация;
-
декларирование соответствия.
Регистрация изменения полномочий в электронном журнале безопасности
Требование:
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе:
(применимо для УЗ — 1)
Возможные способы выполнения:
-
обеспечение ИС автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС;
-
отражение в электронном журнале безопасности полномочий сотрудников оператора ПДн по доступу к ПДн, содержащимся в ИС. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;
-
назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям.
В каких случаях потребуется уведомить Роскомнадзор об обработке
С 1 сентября 2022 года практически любая организация и ИП обязаны отправить уведомление, если они являются работодателями или заключают договоры с физлицами. Данное действие необходимо сделать операторам до начала обработки персональных данных.
Операторы должны направить уведомление в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.
Что делать компаниям, которые сбор личных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.
Уведомление направляется операторами однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.