Нужна ли ИП политика обработки персональных данных

С 1 сентября 2022 г. вступает в силу Федеральный закон № 266-ФЗ от 14 июля 2022 г. Он вносит множество важных изменений в порядок работы с персональными данными, который установлен Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ (далее — Закон № 152-ФЗ или Закон о персональных данных), и касается, в том числе, усиления защищенности персональных данных граждан.

Сергей Худяков
Старший юрист по гражданско-правовым и корпоративным спорам

В каких случаях нужно уведомить Роскомнадзор

1. Работа государственных информационных систем по охране безопасности и общественного порядка.
2. Обработка персональных данных без каких-либо средств автоматизации.
3. Обработка персональных данных в случаях, предусмотренных законодательством о транспортной безопасности.

Однако, данные ситуации достаточно редки и большинству компаний при сборе персональных данных придется уведомлять Роскомнадзор.

Обратите внимание!Действие Закона № 152-ФЗ распространяется также на иностранных юридических и физических лиц, если они обрабатывают персональные данные граждан РФ:

Если нет ИП, то надо ли политику конфиденциальности прописывать? | Евгений Гришечкин

• на основании договора или соглашения, стороной которого является гражданин России;
• или на основании согласия такого гражданина на обработку его персональных данных.

Таким образом, по новым правилам иностранная организация или иностранный гражданин, даже если они зарегистрированы и осуществляют свою деятельность на территории иностранного государства, обязаны соблюдать все требования Закона № 152-ФЗ (вкл. получение согласия субъекта персональных данных, уведомление Роскомнадзора и т.п.), если они обрабатывают персональные данные российских граждан.

Что нужно сделать с 1 сентября 2022 г.

1. Уведомить Роскомнадзор об обработке персональных по новым основаниям(ст.22 Закона о персональных данных в новой редакции).

Все работодатели должны направить уведомление в Роскомнадзор об обработке персональных данных своих работников (в бумажном виде или по электронной форме). Тогда данная организация включается в реестр операторов персональных данных. Ранее такая обязанность в Законе о персональных данных отсутствовала. Уведомление необходимо направить и тем операторам, которые стали обязанными информировать Роскомнадзор по другим новым основаниям.

Если организация уже включена в реестр операторов, она должна не позднее 15.09.2022 (п.7 ст. 22 Закона № 152-ФЗ в новой редакции)уведомить Роскомнадзор о новой цели обработки персональных данных. Например, «Обработка в рамках трудовых отношений» или «Обработка при получении данных о ФИО». Подробно об этом мы расскажем ниже.

В случае непредставления или несвоевременного представления уведомления организация может быть привлечена к административной ответственности по ст.19.7 КоАП РФ с взысканием штрафа в размере:

• от 3 000 руб. до 5 000 руб. — для организаций;
• от 300 руб. до 500 руб. — для должностных лиц.

Обращаем внимание!Рекомендуемая форма уведомления в настоящее время утверждена приказом Роскомнадзора от 30.05.2017 N 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (Приложение № 1).

Обработка персональных данных 152-ФЗ: что важно знать в 2022 году

Организации вправе, пока Роскомнадзор не утвердит новые обязательные формы, использовать данную форму. Однако, с 1 сентября 2022 г. в ней дополнительно нужно будет указать:

• категории персональных данных и субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными и способы обработки персональных данных отдельно для каждой цели обработки персональных данных (ч. 3.1 ст. 22 Закона N152-ФЗ в новой редакции);
• Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, которые содержатся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона N152-ФЗ в новой редакции).

Порядок направления уведомления содержится в Письме Роскомнадзора от 19.08.2022 N 08-75348.

2. Внести изменения и дополнения в политику персональных данных. В данном документе нужно (п.2 ч.1 ст.18.1. Закона о персональных данных в новой редакции):

• прописать категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения для каждой цели обработки;
• исключить все положения, ограничивающие права субъектов персональных данных, а также полномочия и обязанности операторов, не предусмотренные законодательством РФ.

3. Опубликовать политику персональных данных на всех страницах сайта, на которых осуществляется сбор персональных данных (ч.2 ст.18.1. Закона о персональных данных в новой редакции).

4. Внести изменения и дополнения в форму согласия на обработку персональных данных 2022(образец согласия — здесь >>) (ч.1 ст.9, ч.2 ст.18 Закона о персональных данных в новой редакции).

5. Внести изменения и дополнения в форму договорапоручения на обработку персональных данных (образец договора — здесь >>) (ч.3 ст.6 Закона о персональных данных в новой редакции).

6. При сборе персональных данных разъяснять гражданам юридические последствия отказа предоставить персональные данныеи/или дать согласие на их обработку (если в соответствии с законом их предоставление и/или согласие на их обработку обязательно) (ч.2 ст.18 Закона о персональных данных в новой редакции).

7. Если персональные данные получены оператором не от субъекта персональных данных, то дополнительно к информации, указанной в п.3 ст.18 Закона № 152-ФЗ, надо предоставлять также сам переченьполученных персональных данных (п.2.1. ч.3 ст.18 Закона о персональных данных в новой редакции).

8. Выполнять иные требования, предусмотренные Законом № 152-ФЗ, с учетом внесённых изменений в персональные данные в 2022 г.

Расскажем о нововведениях более детально.

Получите
консультацию
эксперта
Задайте вопрос по Вашей ситуации и получите консультацию эксперта.
Задать вопрос

Новые требования к содержанию уведомления о персональных данных в Роскомнадзор

С 1 сентября для каждой цели обработки данных в уведомлении нужно будет указать:

• категории персональных данных (общедоступные; биометрические; специальные; иные);
• категории субъектов, персональные данные которых обрабатываются (например, работники компании; кандидаты на работу, направившие резюме при устройстве на работу; физические лица, с которыми заключены договоры гражданско-правового характера (ГПХ); клиенты; посетители и др.);
• правовое основание обработки персональных данных (указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных: например, статьи 86-90 Трудового кодекса РФ; ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи и др.);
• перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

К действиям с персональными данными относятся, в частности: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование и др.

К способам обработки относятся: неавтоматизированная обработка персональных данных, исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных.

Также в уведомлении нужно будет указать ФИО физического лица или наименование юридического лица, которые имеют доступ и (или) осуществляют на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Если организация (физлицо) имеет доступ к такой системе (например, к государственной автоматизированной информационной системе учета древесины и сделок с ней, предусмотренной ст. 50.6 Лесного кодекса РФ), или по поручению оператора обрабатывает содержащиеся в данной системе персональные данные, то наименование такой организации (ФИО гражданина) должно быть отдельно указано в уведомлении.

Обработка персональных данных третьими лицами

Более строгими стали условия обработки персональных данных третьими лицами по поручению оператора (предусмотрены ст.6 Закона № 152-ФЗ). Такое поручение теперь должно содержать дополнительные сведения и обязательства третьих лиц, помимо тех, которые были определены ранее. Например, работодатель с согласия работника вправе поручить обработку его персональных данных третьему лицу (юридическому лицу, ИП или физическому лицу) на основании заключённого с таким лицом договора (ведение кадрового, бухгалтерского учета и пр.).

С 1 сентября 2022 г. в таком поручении должны быть отдельно указаны следующие сведения:

1. Перечень персональных данных, которые будут обрабатываться третьим лицом по поручению оператора.
2. Обязанности третьего лица:
3. соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, которые возложены на оператора персональных данных;
4. предоставлять оператору по его запросу документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по защите персональных данных;
5. уведомить оператора о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ.

Если третьим лицом, которому российский оператор поручил обрабатывать персональные данные, является иностранное юридическое или физическое лицо, то ответственность за нарушение условий обработки перед субъектом персональных данных несет как оператор, так и указанное иностранное лицо.

Введены ограничения на предоставление персональных данных

Закон дополнен положением, в соответствии с которым предоставление биометрических персональных данных (фотография, видеозапись, дактилоскопические данные и др.) не может быть обязательным, если это не установлено законом. Соответственно, теперь поводов отказать клиенту в обслуживании стало меньше.

К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ).

Фотографическое изображение и иные сведения, которые используются для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным (Письмо Минцифры России от 17.07.2020 N ОП-П24-070-19433).

Соответственно, теперь организация не вправе отказать в обслуживании клиенту, если он, например, отказался предоставлять свою фотографию для пропуска.

При этом отметим, что в соответствии с разъяснениями Роскомнадзора сканирование, копирование паспорта (например, при заключении договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности) не считается обработкой биометрических персональных данных.

Также не относится к биометрическим персональным данным фотографическое изображение, которое содержится в личном деле работника. Поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора (Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Исключением являются ситуации, предусмотренные в ч.2 ст.11: в частности, когда биометрические персональные данные обрабатываются в связи с осуществлением правосудия, в связи с проведением обязательной государственной дактилоскопической регистрации, при въезде и выезде из России и в других законодательно установленных случаях.

Субъекту персональных данных не может быть отказано в обслуживании, если он не желает предоставлять биометрические персональные данные, и предоставление таких данных не является обязательным по закону.

Когда согласие на обработку не нужно

Определены требования к договору, который заключается с субъектом персональных данных и в связи с заключением которого обработка персональных данных может осуществляться без получения согласия. Например, согласие не нужно получать для исполнения договора с гражданином, который является (пп.5 п.1 ст.6 Закона № 152-ФЗ):

• стороной данного договора,
• либо выгодоприобретателем по договору,
• либо поручителем по договору.

Также не нужно получать согласие, если обработка необходима для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Такой договор не должен:

• ограничивать права и свободы субъекта персональных данных,
• допускать обработку персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ,
• содержать положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Но сообщить об обработке таких персональных данных оператор обязан.

Передача персональных данных «за рубеж»

Установлены новые правила трансграничной передачи персональных данных (передача на территорию иностранного государства органу власти иностранного государства, иностранному юридическому или физическому лицу) (ст. 12 Закона № 152-ФЗ, вступает в силу с 01.03.2023):

• введена обязанность направлять уведомления в Роскомнадзор о намерении осуществить трансграничную передачу;
• прописаны обязательные сведения, которые должны содержаться в таком уведомлении;
• установлена обязанность оператора до подачи уведомления получить от органов власти иностранного государства, иностранных физических или юридических лиц, которым планируется трансграничная передача персональных данных:

• сведения о мерах, принимаемых для обеспечения защиты персональных данных,
• информацию о правовом регулировании иностранного государства в области персональных данных (при передаче в страны, которые не обеспечивают адекватную защиту персональных данных),
• контактные данные таких лиц;

Аудит с помощью
«в моменте»

Поможем увидеть полную и объективную картину финансового состояния вашего бизнеса, а также ответим на самые сложные вопросы, возникающие в деятельности компании (бухгалтерский и налоговый учет, кадры, договоры и др.).

Что должно быть в ЛНА по персональным данным?

Конкретизированы требования к содержанию и опубликованию локальных актов в сфере персональных данных:

• политика оператора и иные локальные акты в области обработки персональных данных должны определять для каждой цели обработки:

• категории и перечень персональных данных,
• категории субъектов,
• способы, сроки обработки и хранения,
• порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

Оператор обязан опубликовать политику на своем сайте, а также на тех страницах, на которых осуществляется сбор персональных данных.

Прекращение обработки персональных данных и предоставление данных о них гражданину

Установлен срок прекращения оператором обработки персональных данных по требованию субъекта персональных данных.

Субъект персональных данный вправе в любое время обратиться к оператору и потребовать прекратить обработку его персональных данных. Исключение — ситуации, которые предусмотрены п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных (в частности, когда обработка осуществляется с согласия субъекта персональных данных).

Оператор обязан прекратить обработку в течение 10 рабочих дней с момента получения соответствующего требования. Данный срок может быть продлен на 5 рабочих дней с направлением в адрес субъекта персональных данных уведомления с указанием причин продления.

Также значительно сократились сроки предоставления оператором запрашиваемой у него информации.

Субъект персональных данных вправе получить у оператора сведения об обработке его персональных данных. По новым правилам такие сведения предоставляются в течение 10 дней после получения соответствующего запроса (вместо 30 дней — как было ранее). Аналогичный срок установлен для ответа на запрос Роскомнадзора о предоставлении информации.

Например, покупатель, который передал свои персональные данные магазину при оформлении заказа, может затребовать у этого магазина информацию о том, в каких целях и какими способами он использует персональные данные, сколько они будут обрабатываться и храниться, какие лица имеют доступ к его персональным данным и другие сведения, указанные в ст.14 Закона о персональных данных.

Введены новые обязанности оператора

С 1 сентября 2022 г. оператор обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Включая информирование о компьютерных инцидентах, в результате которых произошла неправомерная передача персональных данных. Порядок такого взаимодействия будет определен Роскомнадзором.

Введена дополнительная обязанность оператора по устранению допущенных нарушений при обработке персональных данных. Если установлен факт неправомерной или случайной передачи персональных данных, то оператор обязан уведомить об этом Роскомнадзор в следующие сроки:

• в течение 24 часов — о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде, принятых мерах по установлению последствий этого инцидента. Помимо этого, оператор должен представить сведения об уполномоченным оператором лице, которое будет взаимодействовать с Роскомнадзором по факту этого инцидента;
• в течение 72 часов — о результатах внутреннего расследования выявленного инцидента. Также следует предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии таких лиц).

Изменение положений о персональных данных — одно из многочисленных перемен в нашем законодательстве. Самые важные нововведения мы регулярно обсуждаем на Круглых столах с нашими экспертами, аудиторами и налоговыми юристами компании «Правовест Аудит». Присоединяйтесь!

Источник: pravovest-audit.ru

Сбор персональных данных – теперь это мрак [обновлено]

Отчеты нужно предоставлять в Роскомнадзор вовремя, иначе накажут.

Дата публикации: 16 августа 2022
Дата обновления: 6 июля 2023
Редактор TexTerra
Время чтения: 9 минут

Александр Хлынов Редакция «Текстерры»

Начиная с 1 сентября 2022 года о сборе персональных данных нужно сообщать в Роскомнадзор. И не постфактум, а до начала их обработки. Думаете, вашу компанию это не касается? Еще как касается!

Ваша компания захотела провести электронный опрос покупателей (и те должны оставить ФИО и телефон/электронный адрес). Вы решили провести в онлайне конкурс с призами. Вы решили провести конференцию и собираете заявки…

Обо всем этом надо отчитываться. Причем до мероприятия!

И не важно, представляете ли вы компанию, являетесь индивидуальным предпринимателем, самозанятым или обычным гражданином – отчитываться должны все, кто намерен собирать и обрабатывать персональные данные.

Что, как и когда делать – подробно расписано в федеральном законе от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Но, как обычно, там много букв на трудном языке, поэтому вот ответы на главные вопросы, которые появились у вас после прочтения первого абзаца и будут появляться дальше, пока вы не дочитаете статью.

Спойлер: все не так страшно, и TexTerra знает законный (хоть и странный) способ собирать данные и ни перед кем не отчитываться. Подойдет он не всем и не во всех случаях.

1. ФИО и номер телефона – это персональные данные?

ФИО пока не считаются персональными данными. Это одно из исключений, перечисленных во второй части статьи 22 Закона №152-ФЗ «О персональных данных». Но с 1 сентября 2022 года фамилия имя и отчество станут считаться персональными данными – их уберут из списка исключений.

Что касается телефонных номеров, то они были, есть и будут оставаться персональными данными, даже если больше никакими данными не сопровождаются. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 №152-ФЗ «О персональных данных»).

Продвинем ваш бизнес

В Google и «Яндексе», соцсетях, рассылках, на видеоплатформах, у блогеров

2. Какие еще исключения?

Подотчетным является сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

По поводу последнего пункта (переписывание паспортных данных на проходной или охране) есть лазейка, о которой мы расскажем, отвечая на следующий вопрос.

3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?

Не все, а только те, кто заносит данные в компьютер. Если вы записываете персональные данные в тетрадку или на листок (без использования средств автоматизации) и не намерены их куда-то после этого передавать, то слать отчеты в Роскомнадзор не нужно – такой подход не нарушает закон.

Передача персональных данных через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь – нет. Поэтому охранник, записывающий ваши данные от руки в тетрадь, ничего не нарушает, а тому, кто заносит их в компьютер без предварительного уведомления Роскомнадзора, грозит штраф.

4. Какой еще штраф? Сколько?

Не так уж много, как можно было бы подумать. Это может быть даже предупреждение. Согласно ст. 19.7 КоАП РФ, физических лиц могут оштрафовать на сумму от 100 до 300 рублей, должностных лиц (тех же охранников и вахтеров) – от 300 до 500 рублей, а юридическим лицам грозит штраф от 3 тысяч до 5 тысяч рублей.

Надо полагать, символические суммы рано или поздно изменятся, когда пройдет некий период привыкания.

5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?

Уведомления нужно составлять и отправлять перед сбором и обработкой персональных данных для каждой цели отдельно. Для прохода через проходную – одно, а для участия в розыгрыше – еще одно, для приема на работу или заключения договора на оказание услуг – другое и так далее.

Ваша заявка принята.
Мы свяжемся с вами в ближайшее время.

6. Как составить уведомление?

Используйте фирменный бланк компании. Далее вам поможет список рекомендаций от Роскомнадзора по составлению и заполнению формы уведомления, утвержденной приказом Роскомнадзора от 30.05.2017 №94 в редакции от 30.10.2018 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

В уведомлениях нужно указывать:

• название компании или ФИО лица, собирающего данные,
• правовое основание обработки персональных данных (можно взять отсюда, но не используйте пункт 1),
• цель обработки персональных данных,
• категории персональных данных (помните, что фото и видео человека – тоже его персональные биометрические данные),
• категории субъектов, персональные данные которых обрабатываются (работник, абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и т.п.),
• перечень действий с персональными данными – неавтоматизированная, исключительно автоматизированная или смешанная обработка,
• описание мер защиты базы персональных данных от взлома или случайного проникновения в нее,
• дата начала обработки персональных данных (по факту, обработка начинается вместе с началом сбора данных),
• сроки и/или условия прекращения обработки данных,
• планируется или нет передача персональных данных за рубеж,
• местонахождение базы данных,
• сведения об обеспечении безопасности персональных данных.

7. Для чего Роскомнадзору нужны наши уведомления?

Вас внесут вот в этот реестр. Здесь же вас может найти любой желающий, кто решит проверить, на законных ли основаниях вы собираете персональные данные людей.

Нововведения от 1 марта 2023 года

Первое.Отправка персональных данных в другую страну (например, туроператорами при бронировании отеля, импортерами при заключении контрактов) является трансграничной передачей, и о ней теперь нужно уведомить Роскомнадзор в соответствии со ст. 12 закона № 152-ФЗ .

Роскомнадзор рассмотрит передачу в течение 10 дней и либо одобрит ее, либо запретит. Велика вероятность, что Роскомнадзор передачу данных запретит, если речь идет о стране без адекватной защиты данных (перечень стран с адекватной защитой вы найдете здесь). Чтобы увеличить шансы на получение разрешения, нужно получить от контрагента сведения по списку в п. 5 ст. 12 закона № 152-ФЗ, которые Роскомнадзор может затребовать.

Второе.Изменились сроки уведомления Роскомнадзора при изменениях у оператора персональных данных: наименования, адреса оператора, целей обработки персональных данных, составе персональных данных, о начале или прекращении трангсраничной передачи.

Если раньше об изменениях нужно было сообщать в Роскомнадзор в течение 10 рабочих дней с момента изменений, то с 1 марта 2023 года – до 15-го числа следующего месяца.

Третье.Изменилась форма уведомления об утечке персональных данных. С 1 марта 2023 года действует приказ Роскомнадзора от 14.11.2022 № 187, где расписано и то, какие сведения должны быть в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 Закона № 152-ФЗ. Обновлённые формы размещены на официальном портале ПД.

Четвертое.Согласно приказу ФСБ России от 13.02.2023 № 77 сообщать о компьютерных инцидентах нужно непосредственно в НКЦКИ в течение 24 часов.

Пятое.Теперь оператор должен оценивать степень потенциального вреда субъекту персональных данных (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ). Требования к оценке изложены в приказе Роскомнадзора от 27.10.2022 № 178.

Шестое.Оператор должен уничтожить персональные данные в трех случаях (ст. 21 закона № 152-ФЗ):

• выявлен факт их неправомерной обработки,
• цели, для которых собиралась личная информация, достигнуты,
• отзыв согласия на обработку персональных данных.

Факт уничтожения персональных данных нужно подтвердить документами (приказ Роскомнадзора от 28.10.2022 № 179).

Седьмое.До 2030 года действует мораторий на плановые надзорные мероприятия, но при утечках персональных данных мораторий не действует и Роскомнадзор придет с внеплановой проверкой.

Вывод

В общем все, кто собирает персональные данные и заносит их в компьютер, должны отсылать уведомления в Роскомнадзор до начала сбора данных.

Исключением же стала только бумага, на которой можно на законных основаниях записывать любые персональные данные людей и составлять любые договоры (только без занесения данных в компьютер).

Новый закон о рекламе – что изменится с 1 сентября [обновлено]

Источник: texterra.ru

Как составить политику обработки персональных данных в 2023 году

В каждой организации независимо от правовой формы, включая индивидуальных предпринимателей, в случае работы с персданными лиц утверждается политика обработки персональных данных, которая представляет собой общедоступный документ и подлежит размещению на сайте компании. Что это за документ и как правильно его составить.

Что такое политика обработки перс. данных

Согласно ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор принимает меры, которые являются необходимыми и достаточными для обеспечения защиты и правомерности работы с персданными, в том числе издание акта, определяющего политику компании по работе с ПД.

Цель политики — обеспечение безопасности прав и свобод субъекта ПД при работе с его перс. данными, включая защиту прав на неприкосновенность личной жизни, личной и семейной тайны.

Политика защиты и обработки ПД — это обязательный акт, если работа с индивидуальными сведениями происходит на сайте оператора. Примером служит получение сведений о клиенте, когда происходит регистрация на сайте компании.

Сейчас практически при любой регистрации на сайте вам предлагается заполнить анкету и оставить согласие на работу со своими индивидуальными данными оператору, будь то интернет-магазины, соцсети, банки, аптеки, онлайн-школы и т. п.

Нарушение порядка работы с ПД влечет за собой привлечение к административной ответственности по ст. 13.11 КоАП РФ, максимальный размер штрафа:

• для юридических лиц — 75 000 руб.;
• для должностных лиц — 20 000 руб.;
• для индивидуальных предпринимателей — 20 000 руб.

• как составить обязательство о неразглашении персональных данных;
• образец положения о персданных работников.

Кто составляет политику обработки персданных

Опубликовывают на сайте все организации, которые обрабатывают ПД. Компанию признают оператором, если на ее интернет-странице оставляют:

• фамилию, имя, отчество;
• e-mail;
• номер телефона;
• иную информацию, позволяющую идентифицировать человека.

• государственный орган;
• муниципальный орган;
• юрлицо;
• физлицо, —

которое самостоятельно или вместе с иными лицами организует и (или) проводит обработку индивидуальных сведений.

Как правильно составить политику

Перед составлением документа ознакомьтесь с рекомендациями Роскомнадзора на сайте РКН в разделе «Персональные данные».

Политика содержит шесть разделов.

Общие положения

В этой части формулируется назначение политики.

Назначение политики можно сформулировать так: «определение порядка безопасности и обработки перс. данных субъектов, ПД которых подлежат обрабатыванию, на основании полномочий оператора».

Даются определения основных терминов, встречающихся в тексте документа (ПД, обработка ПД, оператор перс. данных, субъект ПД, конфиденциальность и т. д.), перечисляются права и обязанности субъекта персданных и компании.

Цели сбора персданных

Цель указывается предметно и однозначно, исходя из конкретной деятельности организации. Их целесообразно перечислить, не ограничиваясь общими формулировками.

При указании целей исходите из направлений деятельности организации.

Правовые основания обработки

В этом разделе приводим список всех документов, которые являются правовым основанием для работы с ПД в компании:

• федеральные законы и иные нормативные акты, принятые законодателем, касающиеся регулирования правоотношений по работе с ПД;
• уставные документы компании;
• соглашения, заключаемые организацией с субъектами ПД;
• согласие на обработку перс. данных.

По рекомендации Роскомндзора, Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием для работы с ПД оператором, поскольку регулирует отношения, которые возникают из работы с ПД, и закрепляет требования, которые предъявляются компаниям.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых данных обязаны согласовываться с целями работы с ними.

К категориям субъектов ПД относятся:

• сотрудники организации, бывшие сотрудники, кандидаты на замещение вакантных должностей, родственники работников;
• клиенты и контрагенты оператора (физлица);
• представители и сотрудники клиентов и контрагентов организации (юрлица).

По каждому субъекту с учетом конкретных целей рекомендуется перечислять все обрабатываемые оператором ПД, отдельно выписать все случаи работы специальных категорий и биометрических индивидуальных сведений.

Порядок и условия обработки перс. данных

В этой части документа указываем действия, совершаемые организацией с ПД. Укажите способы и сроки обрабатывания, срок хранения индивидуальных сведений. Рекомендуется прописать условия передачи данных третьим лицам, в том числе находящимся за границей.

Роскомнадзор указывает на необходимость включения положений по соблюдению конфиденциальности и условий о прекращении работы с ПД в случае:

• отзыва согласия;
• истечение срока действия согласия.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В этом разделе прописываем, что если оператору станет известно о неточностях в сведениях, имеющихся у организации, оператор:

• прекращает обрабатывание ПД;
• актуализирует сведения.

В политику рекомендуется внести регламент(ы) реагирования на запросы (обращения) субъектов перс. данных и их представителей по вопросам неточностей ПД, неправомерности их обработки, отзыва согласия и доступа субъекта перс. данных к своим сведениям, образцы запроса и обращения.

Документ подписывается руководителем организации и действует до утверждения новой редакции. Все работники компании знакомятся с документом под подпись.

Пример заполнения раздела по порядку работы с индивидуальными сведениями, включаемого в политику:

Порядок обработки персональных данных

1. Под безопасностью перс. данных Общество понимает защиту ПД от неправомерного доступа и действий с ними:

• уничтожение;
• изменение;
• блокировка;
• копирование;
• распространение;

иных неправомерных действий, касающихся ПД субъекта, и принимает необходимые меры правового, организационного и технического характера.

2. Работа с перс. данными в Обществе осуществляется в рамках норм Конституции Российской Федерации, Федерального закона № 152-ФЗ, подзаконных актов и иных нормативно-правовых актов, а также документов Минцифры России, Роскомнадзора, ФСТЭК России.

3. При работе с ПД Общество придерживается принципов:

• законности;
• ограничения обработки достижением конкретных целей;
• недопущения работы с ПД, несовместимой с целями сбора перс. данных;
• обеспечения точности индивидуальных сведений, их достаточности, актуальности по отношению к целям работы с ПД, а также принятия мер по уничтожению или уточнению таких сведений;
• прозрачности работы с ПД;
• осуществления хранения сведений в соответствии с нормами законодательства.

Вот образец политики защиты персональных данных на сайте компании:

• как составить согласие на обработку персональных данных;
• составляем заявление об изменении персональных данных.

Источник: clubtk.ru