Правовое основание обработки персональных данных что писать для ИП

Добрый день. Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Коми в адрес ИП Вещагина Л.Г. направлено письмо, в котором они извещают, что ими выявлены признаки деятельности, предполагающих обработку ПИ Вещагиной Л.Г. персональных данных. ИП Вещагина оказывает услуги по оценочной деятельности.

Вопрос — является ли ИП Вещагина Л.Г. действительно оператором, осуществляющим обработку данных. Если да, то в какой форме мы должны принимать согласие на обработку персональных данных? Где это должно быть отражено: в задании на оценку, в отдельном приложении к договору? Расскажите подробнее о наших действиях в рамках ФЗ № 152-ФЗ «О персональных данных».

Вышеуказанное управление просит их известить о моем намерении осуществлять обработку персональных данных. Я могу отказаться или надо что-то оформлять в рамках указанного ФЗ №152-ФЗ?

В соответствии со статьей 4 Федерального закона от 29.07.1998 № 135-ФЗ «Об оценочной деятельности в Российской Федерации» (135-ФЗ), оценщик — член СРОО может осуществлять оценочную деятельность самостоятельно, занимаясь частной практикой, а также на основании трудового договора между оценщиком и юридическим лицом, которое соответствует условиям статьи 15.1 135-ФЗ, т.е. оценочной компанией. Такая форма как оценщик — индивидуальный предприниматель (ИП) 135-ФЗ не предусмотрена, соответственно, оценщик, занимаясь оценочной деятельностью в таком качестве не подтверждает свой оценочный стаж. Именно поэтому комментарий вопросов, связанных с работой ИП, не входит в компетенцию саморегулируемой организации оценщиков.

Как заполнить новое уведомление для Роскомнадзора

В то же время, руководствуясь нормами Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), сообщаем следующее.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 152-ФЗ). Такой информацией являются фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.

Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 152-ФЗ).

Учитывая вышеизложенное, является ли ИП оператором персональных данных, зависит не от его вида деятельности, а от того осуществляет ли он сбор, запись, систематизацию, накопление, хранение, использование, передачу и т.д. персональных данных.

Обработка персональных данных: 4 новых требования от Роскомнадзора

Для решения вопроса о том, является ли конкретное лицо оператором персональных данных, необходимо принимать во внимание все обстоятельства, поскольку данный вопрос является вопросом факта.

Представляется, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Определение состава персональных данных и конкретных способов их обработки, включая используемые программно-аппаратные средства, нередко требует наличия специальной квалификации, в связи с чем данные элементы могут по факту определяться привлеченными оператором лицами. Однако предоставление оператору информации о них, а также последующее продолжение его взаимоотношений с таким привлеченным лицом могут рассматриваться как согласие с указанными действиями и проявление контрольных функций в отношении таких действий. Таким образом, в указанных случаях лицо будет признаваться оператором персональных данных даже несмотря на то, что отдельные аспекты обработки данных были определены иным лицом.

Типичными примерами операторов персональных данных являются организации, которые осуществляют обработку данных своих работников (и) или клиентов — физических лиц; лица, которые осуществляют сбор и анализ общедоступных данных в сети Интернет; государственные органы и учреждения, которые обрабатывают персональные данные граждан в процессе предоставления государственных услуг; онлайн-сервисы, которые предусматривают регистрацию пользователей и (или) собирают данные о них в процессе использования такого сервиса.

По сути, оператором персональных данных является любое лицо, которое работает с персональными данными физических лиц.

Следует отметить, что до начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 152-ФЗ).

Не требуется представление уведомления

Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 152-ФЗ):

1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 152-ФЗ).

На практике это основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством.

На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Названное исключение не распространяется на персональные данные уволенных сотрудников (кроме случаев, предусмотренных трудовым законодательством, например ст. 64.1 ТК РФ); членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации).

Согласно позиции Четвертого арбитражного апелляционного суда, при обработке персональных данных по данному основанию не нужно подавать уведомление независимо от того, осуществляется она автоматизировано или нет (Постановление от 07.02.2018 № 04АП-127/2018 по делу № А19-17054/2017).

Указанное основание распространяется также на деятельность по подбору персонала. Это связано с тем, что трудовое законодательство регулируется не только Трудовым кодексом РФ, но и иными нормативными актами. Так, Федеральным законом от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации» предусмотрено, что работодатели содействуют политике занятости, в частности, путем трудоустройства.

Исходя из этого работодатель вправе без уведомления обрабатывать персональные данные кандидатов на должности, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей, если имеется их письменное согласие;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Это условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 152-ФЗ).

Указанное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по этому основанию должны одновременно соблюдаться все перечисленные условия:

— персональные данные не должны распространяться;

— они не должны предоставляться третьим лицам без согласия субъекта персональных данных;

— персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.

При обработке персональных данных по данному основанию не нужно подавать уведомление независимо от того, осуществляется она с использованием средств автоматизации или без них.

Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;

3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются таким объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами. Это условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 152-ФЗ);

4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 152-ФЗ);

5) включающих только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 152-ФЗ);

6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 152-ФЗ);

7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 152-ФЗ);

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 152-ФЗ).

9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 152-ФЗ).

Источник: sroroo.ru

Регистрация в реестре операторов персональных данных Роскомнадзора

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Камни преткновения

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Что делать, если вы уже обрабатываете персональные данные?

Если вы уже обрабатываете персональные данные и не знаете как сейчас поступить по поводу регистрации в реестре операторов персональных данных, то следуйте такому плану:

1. Соберите сведения по обработке и предпринимаемых мерах по защите персональных данных (см. перечень сведений ниже).
2. Как можно скорее подготовьте и подайте уведомление об обработке персональных данных в Роскомнадзор.
3. Выполните подготовку по всем требованиям 152-ФЗ с учетом указанных вами в уведомлении сведений (смотрите информацию по ссылке — подготовка по 152-ФЗ).
4. Произведите корректировку сведений в реестре Роскомнадзора по результатам подготовки по 152-ФЗ путем подачи извещения об изменениях (при необходимости).

Как зарегистрироваться в реестре Роскомнадзора?

Зарегистрироваться в реестре можно двумя способами: в электронной или бумажной форме.

Для регистрации в бумажной форме нужно скачать и заполнить проект уведомления или заполнить форму на сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/

Затем документ нужно распечатать, утвердить руководителем организации и отправить заказным письмом с уведомлением в адрес Роскомнадзора: 109074, г.Москва, Китайгородский пр., д.7, стр.2.

Лайфхак по успешной регистрации в реестре Роскомнадзора

Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:

1. Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
2. Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
3. Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
4. При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
5. При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.

Регистрация в реестре Роскомнадзора: цена вопроса

Госпошлина за внесение в реестр Роскомнадзора не взимается. Оператор может подать уведомление самостоятельно или обратиться за помощью к компетентной организации, которая не только подготовит уведомление, но и поможет выполнить подготовку по требованиям закона.

Помощь коммерческих организаций в регистрации в реестре стоит от 10 до 50 тысяч рублей, а с предоставлением базового набора организационно-распорядительной документации — от 50 до 150 тысяч рублей.

Скачать коммерческое предложение на Внесение в реестр Роскомнадзора

Какие сведения указываются в уведомлении?

В уведомлении указываются следующие сведения:

• наименование (фамилия, имя, отчество), адрес оператора;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки;
• перечень действий с персональными данными, описание используемых способов обработки персональных данных;
• описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
• фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
• дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных;
• сведения о месте нахождения базы данных;
• сведения об обеспечении безопасности персональных данных.

Что предлагаем мы?

Изменения в обработке персональных данных с 1 сентября 2022 года

С 1 сентября 2022 г. вступает в силу Федеральный закон № 266-ФЗ от 14 июля 2022 г. Он вносит множество важных изменений в порядок работы с персональными данными, который установлен Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ (далее — Закон № 152-ФЗ или Закон о персональных данных), и касается, в том числе, усиления защищенности персональных данных граждан.

Сергей Худяков
Старший юрист по гражданско-правовым и корпоративным спорам

В каких случаях нужно уведомить Роскомнадзор

1. Работа государственных информационных систем по охране безопасности и общественного порядка.
2. Обработка персональных данных без каких-либо средств автоматизации.
3. Обработка персональных данных в случаях, предусмотренных законодательством о транспортной безопасности.

Однако, данные ситуации достаточно редки и большинству компаний при сборе персональных данных придется уведомлять Роскомнадзор.

Обратите внимание! Действие Закона № 152-ФЗ распространяется также на иностранных юридических и физических лиц, если они обрабатывают персональные данные граждан РФ:

• на основании договора или соглашения, стороной которого является гражданин России;
• или на основании согласия такого гражданина на обработку его персональных данных.

Таким образом, по новым правилам иностранная организация или иностранный гражданин, даже если они зарегистрированы и осуществляют свою деятельность на территории иностранного государства, обязаны соблюдать все требования Закона № 152-ФЗ (вкл. получение согласия субъекта персональных данных, уведомление Роскомнадзора и т.п.), если они обрабатывают персональные данные российских граждан.

Что нужно сделать с 1 сентября 2022 г.

1. Уведомить Роскомнадзор об обработке персональных по новым основаниям (ст.22 Закона о персональных данных в новой редакции).

Все работодатели должны направить уведомление в Роскомнадзор об обработке персональных данных своих работников (в бумажном виде или по электронной форме). Тогда данная организация включается в реестр операторов персональных данных. Ранее такая обязанность в Законе о персональных данных отсутствовала. Уведомление необходимо направить и тем операторам, которые стали обязанными информировать Роскомнадзор по другим новым основаниям.

Если организация уже включена в реестр операторов, она должна не позднее 15.09.2022 (п.7 ст. 22 Закона № 152-ФЗ в новой редакции) уведомить Роскомнадзор о новой цели обработки персональных данных. Например, «Обработка в рамках трудовых отношений» или «Обработка при получении данных о ФИО». Подробно об этом мы расскажем ниже.

В случае непредставления или несвоевременного представления уведомления организация может быть привлечена к административной ответственности по ст.19.7 КоАП РФ с взысканием штрафа в размере:

• от 3 000 руб. до 5 000 руб. — для организаций;
• от 300 руб. до 500 руб. — для должностных лиц.

Обращаем внимание! Рекомендуемая форма уведомления в настоящее время утверждена приказом Роскомнадзора от 30.05.2017 N 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (Приложение № 1).

Организации вправе, пока Роскомнадзор не утвердит новые обязательные формы, использовать данную форму. Однако, с 1 сентября 2022 г. в ней дополнительно нужно будет указать:

• категории персональных данных и субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными и способы обработки персональных данных отдельно для каждой цели обработки персональных данных (ч. 3.1 ст. 22 Закона N152-ФЗ в новой редакции);
• Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, которые содержатся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона N152-ФЗ в новой редакции).

Порядок направления уведомления содержится в Письме Роскомнадзора от 19.08.2022 N 08-75348.

2. Внести изменения и дополнения в политику персональных данных. В данном документе нужно (п.2 ч.1 ст.18.1. Закона о персональных данных в новой редакции):

• прописать категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения для каждой цели обработки;
• исключить все положения, ограничивающие права субъектов персональных данных, а также полномочия и обязанности операторов, не предусмотренные законодательством РФ.

3. Опубликовать политику персональных данных на всех страницах сайта, на которых осуществляется сбор персональных данных (ч.2 ст.18.1. Закона о персональных данных в новой редакции).

4. Внести изменения и дополнения в форму согласия на обработку персональных данных 2022 (образец согласия — здесь >>) (ч.1 ст.9, ч.2 ст.18 Закона о персональных данных в новой редакции).

5. Внести изменения и дополнения в форму договора поручения на обработку персональных данных (образец договора — здесь >>) (ч.3 ст.6 Закона о персональных данных в новой редакции).

6. При сборе персональных данных разъяснять гражданам юридические последствия отказа предоставить персональные данные и/или дать согласие на их обработку (если в соответствии с законом их предоставление и/или согласие на их обработку обязательно) (ч.2 ст.18 Закона о персональных данных в новой редакции).

7. Если персональные данные получены оператором не от субъекта персональных данных, то дополнительно к информации, указанной в п.3 ст.18 Закона № 152-ФЗ, надо предоставлять также сам перечень полученных персональных данных (п.2.1. ч.3 ст.18 Закона о персональных данных в новой редакции).

8. Выполнять иные требования, предусмотренные Законом № 152-ФЗ, с учетом внесённых изменений в персональные данные в 2022 г.

Расскажем о нововведениях более детально.

Получите
консультацию
эксперта
Задайте вопрос по Вашей ситуации и получите консультацию эксперта.
Задать вопрос

Новые требования к содержанию уведомления о персональных данных в Роскомнадзор

С 1 сентября для каждой цели обработки данных в уведомлении нужно будет указать:

• категории персональных данных (общедоступные; биометрические; специальные; иные);
• категории субъектов, персональные данные которых обрабатываются (например, работники компании; кандидаты на работу, направившие резюме при устройстве на работу; физические лица, с которыми заключены договоры гражданско-правового характера (ГПХ); клиенты; посетители и др.);
• правовое основание обработки персональных данных (указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных: например, статьи 86-90 Трудового кодекса РФ; ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи и др.);
• перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

К действиям с персональными данными относятся, в частности: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование и др.

К способам обработки относятся: неавтоматизированная обработка персональных данных, исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных.

Также в уведомлении нужно будет указать ФИО физического лица или наименование юридического лица, которые имеют доступ и (или) осуществляют на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Если организация (физлицо) имеет доступ к такой системе (например, к государственной автоматизированной информационной системе учета древесины и сделок с ней, предусмотренной ст. 50.6 Лесного кодекса РФ), или по поручению оператора обрабатывает содержащиеся в данной системе персональные данные, то наименование такой организации (ФИО гражданина) должно быть отдельно указано в уведомлении.

Обработка персональных данных третьими лицами

Более строгими стали условия обработки персональных данных третьими лицами по поручению оператора (предусмотрены ст.6 Закона № 152-ФЗ). Такое поручение теперь должно содержать дополнительные сведения и обязательства третьих лиц, помимо тех, которые были определены ранее. Например, работодатель с согласия работника вправе поручить обработку его персональных данных третьему лицу (юридическому лицу, ИП или физическому лицу) на основании заключённого с таким лицом договора (ведение кадрового, бухгалтерского учета и пр.).

С 1 сентября 2022 г. в таком поручении должны быть отдельно указаны следующие сведения:

1. Перечень персональных данных, которые будут обрабатываться третьим лицом по поручению оператора.
2. Обязанности третьего лица:
3. соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, которые возложены на оператора персональных данных;
4. предоставлять оператору по его запросу документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по защите персональных данных;
5. уведомить оператора о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ.

Если третьим лицом, которому российский оператор поручил обрабатывать персональные данные, является иностранное юридическое или физическое лицо, то ответственность за нарушение условий обработки перед субъектом персональных данных несет как оператор, так и указанное иностранное лицо.

Введены ограничения на предоставление персональных данных

Закон дополнен положением, в соответствии с которым предоставление биометрических персональных данных (фотография, видеозапись, дактилоскопические данные и др.) не может быть обязательным, если это не установлено законом. Соответственно, теперь поводов отказать клиенту в обслуживании стало меньше.

К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ).

Фотографическое изображение и иные сведения, которые используются для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным (Письмо Минцифры России от 17.07.2020 N ОП-П24-070-19433).

Соответственно, теперь организация не вправе отказать в обслуживании клиенту, если он, например, отказался предоставлять свою фотографию для пропуска.

При этом отметим, что в соответствии с разъяснениями Роскомнадзора сканирование, копирование паспорта (например, при заключении договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности) не считается обработкой биометрических персональных данных.

Также не относится к биометрическим персональным данным фотографическое изображение, которое содержится в личном деле работника. Поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора (Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Исключением являются ситуации, предусмотренные в ч.2 ст.11: в частности, когда биометрические персональные данные обрабатываются в связи с осуществлением правосудия, в связи с проведением обязательной государственной дактилоскопической регистрации, при въезде и выезде из России и в других законодательно установленных случаях.

Субъекту персональных данных не может быть отказано в обслуживании, если он не желает предоставлять биометрические персональные данные, и предоставление таких данных не является обязательным по закону.

Когда согласие на обработку не нужно

Определены требования к договору, который заключается с субъектом персональных данных и в связи с заключением которого обработка персональных данных может осуществляться без получения согласия. Например, согласие не нужно получать для исполнения договора с гражданином, который является (пп.5 п.1 ст.6 Закона № 152-ФЗ):

• стороной данного договора,
• либо выгодоприобретателем по договору,
• либо поручителем по договору.

Также не нужно получать согласие, если обработка необходима для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Такой договор не должен:

• ограничивать права и свободы субъекта персональных данных,
• допускать обработку персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ,
• содержать положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Но сообщить об обработке таких персональных данных оператор обязан.

Передача персональных данных «за рубеж»

Установлены новые правила трансграничной передачи персональных данных (передача на территорию иностранного государства органу власти иностранного государства, иностранному юридическому или физическому лицу) (ст. 12 Закона № 152-ФЗ, вступает в силу с 01.03.2023):

• введена обязанность направлять уведомления в Роскомнадзор о намерении осуществить трансграничную передачу;
• прописаны обязательные сведения, которые должны содержаться в таком уведомлении;
• установлена обязанность оператора до подачи уведомления получить от органов власти иностранного государства, иностранных физических или юридических лиц, которым планируется трансграничная передача персональных данных:

• сведения о мерах, принимаемых для обеспечения защиты персональных данных,
• информацию о правовом регулировании иностранного государства в области персональных данных (при передаче в страны, которые не обеспечивают адекватную защиту персональных данных),
• контактные данные таких лиц;

Аудит с помощью
«в моменте»

Поможем увидеть полную и объективную картину финансового состояния вашего бизнеса, а также ответим на самые сложные вопросы, возникающие в деятельности компании (бухгалтерский и налоговый учет, кадры, договоры и др.).

Что должно быть в ЛНА по персональным данным?

Конкретизированы требования к содержанию и опубликованию локальных актов в сфере персональных данных:

• политика оператора и иные локальные акты в области обработки персональных данных должны определять для каждой цели обработки:

• категории и перечень персональных данных,
• категории субъектов,
• способы, сроки обработки и хранения,
• порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

Оператор обязан опубликовать политику на своем сайте, а также на тех страницах, на которых осуществляется сбор персональных данных.

Прекращение обработки персональных данных и предоставление данных о них гражданину

Установлен срок прекращения оператором обработки персональных данных по требованию субъекта персональных данных.

Субъект персональных данный вправе в любое время обратиться к оператору и потребовать прекратить обработку его персональных данных. Исключение — ситуации, которые предусмотрены п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных (в частности, когда обработка осуществляется с согласия субъекта персональных данных).

Оператор обязан прекратить обработку в течение 10 рабочих дней с момента получения соответствующего требования. Данный срок может быть продлен на 5 рабочих дней с направлением в адрес субъекта персональных данных уведомления с указанием причин продления.

Также значительно сократились сроки предоставления оператором запрашиваемой у него информации.

Субъект персональных данных вправе получить у оператора сведения об обработке его персональных данных. По новым правилам такие сведения предоставляются в течение 10 дней после получения соответствующего запроса (вместо 30 дней — как было ранее). Аналогичный срок установлен для ответа на запрос Роскомнадзора о предоставлении информации.

Например, покупатель, который передал свои персональные данные магазину при оформлении заказа, может затребовать у этого магазина информацию о том, в каких целях и какими способами он использует персональные данные, сколько они будут обрабатываться и храниться, какие лица имеют доступ к его персональным данным и другие сведения, указанные в ст.14 Закона о персональных данных.

Введены новые обязанности оператора

С 1 сентября 2022 г. оператор обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). Включая информирование о компьютерных инцидентах, в результате которых произошла неправомерная передача персональных данных. Порядок такого взаимодействия будет определен Роскомнадзором.

Введена дополнительная обязанность оператора по устранению допущенных нарушений при обработке персональных данных. Если установлен факт неправомерной или случайной передачи персональных данных, то оператор обязан уведомить об этом Роскомнадзор в следующие сроки:

• в течение 24 часов — о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде, принятых мерах по установлению последствий этого инцидента. Помимо этого, оператор должен представить сведения об уполномоченным оператором лице, которое будет взаимодействовать с Роскомнадзором по факту этого инцидента;
• в течение 72 часов — о результатах внутреннего расследования выявленного инцидента. Также следует предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии таких лиц).

Изменение положений о персональных данных — одно из многочисленных перемен в нашем законодательстве. Самые важные нововведения мы регулярно обсуждаем на Круглых столах с нашими экспертами, аудиторами и налоговыми юристами компании «Правовест Аудит». Присоединяйтесь!

Источник: pravovest-audit.ru