В отношении изменений обработки персональных данных

02.09.2022

Законом №266-ФЗ от 14.07.2022 г. внесены изменения в Закон 152-ФЗ «О персональных данных».

С 1 сентября 2022 года операторы персональных данных (ОПД), чья деятельность до 1 сентября 2022 года попадала под исключения, изложенные в предыдущей версии Закона, должны сообщить в Роскомнадзор о намерении обрабатывать персональные данные. Это коснется, в частности, всех работодателей, организаций с пропускным режимом, торговых предприятий со службами доставки.

Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если организация или предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных (ОПД).

К ОПД относятся физические лица, юрлица, государственные и муниципальные органы, которые осуществляют обработку персональных данных: сбор, запись, накопление, хранение, предоставление и другие действия. Иностранные граждане и компании, которые работают с данными российских граждан, тоже подпадают под действие закона. Микропредприятия, СОНКО, общественные объединения также относятся к операторам персональных данных со всеми вытекающими из этого обязанностями.

Закон о персональных данных не распространяется лишь на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда (п. 2 ст. 1 закона 152-ФЗ).

Как подать уведомление в Роскомнадзор

Направить сведения можно тремя способами.

Заполнить форму на портале Роскомнадзора, распечатать, подписать и подать в бумажном виде в территориальное управление ведомства по месту своей регистрации.
Отправить электронное уведомление, подписанное усиленной квалифицированной электронной подписью, на сайте Роскомнадзора. Дублировать уведомление на бумаге не нужно.
Подать уведомление через Госуслуги. В этом случае также не нужно отправлять бумажное уведомление с подписью.

Действующие операторы персональных данных должны отправить уведомление до сентября 2022 года. Новые ОПД — до начала обработки персональных данных. Сведения проверят в течение 30 дней и внесут субъект предпринимательства в реестр операторов.

Постановка на учет в реестре — разовая акция. Если компания или ИП в нем уже зарегистрирована, повторно отправлять уведомление не нужно. Так, работодатель один раз информирует Роскомнадзор о намерении осуществлять обработку персональных данных сотрудников в рамках трудовых отношений. Он не сообщает в ведомство о приеме на работу или увольнении конкретного работника.

С 1 сентября 2022 года Уведомление представляется по форме, утвержденной приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

наименование компании (ФИО ИП) и ее адрес;
цель обработки персональных данных (например, заключение трудовых договоров);
категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
правовое основание обработки персональных данных;
перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
предполагаемая дата начала обработки персональных данных;
срок или условие прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
сведения об обеспечении безопасности персональных данных.

С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные данные только в трех ситуациях:

персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.

Какие еще новшества вступают в силу, в связи с принятием закона 266-ФЗ

С 30 до 10 рабочих дней уменьшен срок ответа на запросы сотрудника относительно собственных ПД и их обработки. Ответ дается в той же форме, что и запрос, но сотрудник может попросить об ином. Например, в электронном виде запросить бумажный ответ. Срок для отправки ответа может быть продлен на пять рабочих дней при условии отправки мотивированного уведомления лицу, отправившему запрос.
Если сотрудник или иной субъект ПД потребует прекращения обработки своих данных, то придется не позднее 10 рабочих дней с даты получения требования, прекратить их обработку или обеспечить ее прекращение.
Операторы не вправе отказывать в услугах клиентам, которые не желают предоставлять свои биометрические данные, такие как отпечаток пальца, радужная оболочка глаза, температурная карта лица, если по закону это необязательно. По требованию владельца биометрических данных операторы обязаны прекратить их дальнейшую обработку — на это отведено 30 дней.
Получая персональные сведения о субъекте от третьих лиц, оператор обязан информировать об этом субъекта. Причем сделать это нужно до начала обработки данных. В уведомлении указывают источник получения личных сведений, их перечень, цели и правовые обоснования для обработки.
Если имел место факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан с момента выявления уведомить Роскомнадзор в течение 24 часовотносительно:

самого факта произошедшего инцидента;
предполагаемых его причин;
предполагаемого вреда;
принятых мер по устранению последствий инцидента,

а также предоставить сведения о лице, которое он уполномочил контактировать с сотрудниками Роскомнадзора по этому инциденту.

В течение 72 часов необходимо:

отчитаться перед Роскомнадзором о результатах внутреннего расследования выявленного инцидента;
представить (при наличии) сведения о виновных лицах.
1. В связи с тем, что новая редакция закона обязывает операторов ПД взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, необходимо подключиться к ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).

После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.

Кратко, изменения, введенные законом №266-ФЗ, можно представить в таблице.

Обязанность	Как было	Как стало
Уведомить Роскомнадзор о начале обработки персданных	Во всех случаях, кроме указанных в ч. 2 ст. 22 Закона № 152-ФЗ «О персональных данных»	Во всех без исключения случаях. Если уже начали обработку персданных, то уведомить до 1 сентября 2022 года
Уведомить Роскомнадзор о прекращении обработки персональных данных	В течение 10 рабочих дней	В течение 10 рабочих дней
Ответить на запрос сотрудника, как обрабатывают его персданные	Срок не установлен	В течение 10 рабочих дней, с продлением на 5 рабочих дней
Показать работнику документы с его персональными данными	В течение 30 дней	В течение 10 рабочих дней, с продлением на 5 рабочих дней
Прекратить обрабатывать персданные по требованию работника	В течение 30 дней	В течение 10 рабочих дней, с продлением на 5 рабочих дней
Уведомить Роскомнадзор о неправомерном доступе третьих лиц к персданным сотрудников	Таких требований не было	В течение 24 часов
Отчитаться в Роскомнадзор об итогах расследования по факту доступа третьих лиц к персданным сотрудников	Таких требований не было	В течение 72 часов

Ответственность за нарушения при работе с персональными данными

Ответственность может быть административной, уголовной и гражданской.

Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 13.11 КоАП от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.

Помимо того, Федеральным законом от 28.05.2022 № 145-ФЗ внесены поправки в статью 14.8 КоАП. В ней установлены штрафы за отказ магазина заключить договор с потребителем, который не сообщил персональные данные (исключение — случаи, когда обязанность сообщить такие данные предусмотрена законодательством или связана с непосредственным исполнение договора). Размеры санкций такие:

для должностных лиц — от 5 000 до 10 000 рублей;

для юридических лиц — от 30 000 до 50 000 рублей.

Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.

Также ст. 24 Закона №152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации.