Нормативные документы по защите персональных данных в 2023 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Нормативные документы по защите персональных данных в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
• персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

• перечень обрабатываемых персональных данных;
• обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
• обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
• обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

• трансграничной передачи персональных данных;
• обработки специальных категорий данных (например, состояние здоровья человека);
• биометрических данных;
• персональных данных несовершеннолетних лиц;
• а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Новые штрафы за персональные данные для операторов

Новые требования к обработке персональных данных повлекли новую ответственность для операторов.

Изменения внесли в статью 14.8 Кодекса РФ об административных правонарушениях (Федеральный закон от 28.05.2022 N 145-ФЗ). Они действуют с 01 сентября 2022 года.

Ответственность грозит операторам, которые отказались заключить, исполнить, изменить или расторгнуть договор с потребителем из-за его отказа предоставить ПД. За такие действия компанию могут оштрафовать на сумму от 30 до 50 тысяч рублей, а должностное лицо – от 5 до 10 тысяч рублей.

Важно учитывать, что ответственность не наступает, когда:

• потребитель был обязан сообщить ПД согласно требованиям федеральных законов или других правовых актов,
• предоставление данных непосредственно связано с исполнением договора.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• получаемых и обрабатываемых в рамках трудового законодательства;
• получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
• относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
• разрешенных физлицом для распространения;
• включающих в себя только фамилии, имена и отчества физлиц;
• необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора

В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.

Каких-то особых условий оформления приказа нормативно не предусмотрено. При разработке документа можно использовать фирменный бланк компании. Для работодателя достаточно будет одного экземпляра, но при необходимости можно подготовить дополнительные копии.

Обычно текст документа набирают на компьютере и распечатывают на принтере. Далее приказ подписывает руководитель организации. Также свою подпись должен поставить сотрудник, на которого приказом возложена обязанность контроля исполнения данного распоряжения руководства. Наконец, приказ также подписывают остальные работники, которые в нем упоминаются.

Ставить печать на документе обязательно только в том случае, если требование об использование печати прописано в учетной политике компании.

Перечень мер по защите персональных данных

Составить список мероприятий, направленных на поддержание защищенности ИСПДн, не так просто, как может показаться на первый взгляд, так как необходимо брать в расчет категории ПДн и способы их хранения. Если сведения находятся в бумажном виде (заявления, договоры, свидетельства и т.д.), то основной акцент делается на ограничение и контроль физического доступа. Фактически достаточно выделить средства на покупку надежного сейфа и определить круг лиц, у которых будет ключ. В отношении данных, которые находятся в электронном формате, требований больше. Для начала придется разобраться с имеющимся типом угрозы, затем выбрать соответствующий уровень защищенности (всего их 4) и только потом прорабатывать конкретный перечень мер безопасности.

В зависимости от особенностей реализации различают две группы защитных мероприятий: внешние и внутренние. К первым относится разработка процедуры приема и учета посетителей организации, введение пропускной системы и технических средств, а также специализированного софта, позволяющего уберечь цифровые данные от несанкционированной обработки. Вторые связаны с регулированием деятельности в сфере ПДн внутри организации и включают:

• установление ограничений по доступу персонала к личным сведениям;
• выбор ответственного за безопасность ПДн лица;
• составление и утверждение локальных документов;
• информирование персонала о требованиях по работе с цифровыми или бумажными персональными данными;
• планирование правильного расположения рабочих мест;
• создание списков работников, которые могут находиться в помещениях с носителями ПДн;
• установление порядка уничтожения конфиденциальных сведений;
• интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.

Коллективный договор

Не требуется согласия работников и членов их семей (а также бывших работников и членов их семей) на обработку их ПД, которая необходима для выполнения нанимателем и профсоюзной организацией нанимателя обязанностей, предусмот­ренных коллективным договором.

Логика рассуждений должна быть следующей.

По общему правилу, закрепленному в абз. 8 ст. 6 и абз. 3 п. 2 ст. 8 Закона от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) не требуется согласие субъекта на обработку его ПД в процессе трудовой (служебной) деятельности в случаях, предусмот­ренных законодательством.

Наниматель вправе устанавливать дополнительные трудовые и иные гарантии для работников по сравнению с законодательством о труде (ст. 7 ТК).

При организации труда работников наниматель должен исполнять обязанности, вытекающие из законодательства, локальных правовых актов и трудовых договоров (ст. 55 ТК).

Как правило, дополнительные трудовые и иные гарантии для работников устанавливаются в коллективном договоре организации. Именно в нем часто предусмотрены обязательства по оказанию материальной помощи (в т.ч. бывшим работникам), выплаты к праздничным и юбилейным датам, организация оздоровления, добровольное медицинское страхование и т.п.

Все работники (в т.ч. впервые принятые) должны быть ознакомлены нанимателем с действующими у него коллективными договорами (ст. 373 ТК), что соответствует принципу прозрачности обработки персональных данных.

Какая предусмотрена ответственность за разглашение

Конституция РФ обеспечивает каждому гражданину право на неразглашение личных данных. Сбор, сохранность и распространение сведений о жизни гражданина без его ведома запрещены. Тем не менее, при оформлении его на фирму от него зачастую запрашивают информацию личного характера.

Кто, при таких обстоятельствах отвечает за недопущение утечки предоставленных данных?

Личная информация может отображаться в резюме, при собеседовании, при заполнении трудового соглашения. ТК РФ в ст. 65 определяет список материалов, требуемых при подписании трудового соглашения:

1. Паспорт или другое удостоверение.
2. Трудовая книжка, кроме вариантов, когда человек устраивается на работу впервые или при совместительстве.
3. Страховой документ пенсионной страховки.
4. Воинский билет.
5. Документ, подтверждающий образование, специальность, а также прочие документы, отображенные в Законе РФ.

Отвечает за утечку личных сведений учреждение, а также должностные работники:

• Отдел кадров.
• Сотрудник, назначенный приказом руководства.
• Сотрудник, заключивший трудовое соглашение об ответственности за утечку сведений.

В обязанности отдела кадров каждого учреждения входит подбор сотрудников, а также накопление, обработка, сохранность личных данных работающих в учреждении. Эта информация является конфиденциальной и обеспечивается защитой согласно Закону РФ. Поэтому, одной из задач отдела кадров является обеспечение безопасности полученных данных, их защищенность от возможных злоумышленников.

Так, УК РФ в ст. 137 определяет, что противозаконная утечка информации о частной жизнедеятельности человека без его ведома, при публичном распространении или в СМИ наказывается:

• Штрафом до 200 000 рублей.
• Размером дохода, осужденного лица до 18-ти месяцев.
• Принудительным трудом от 120-ти до 180-ти часов.
• Исправительными сроками до 1-го года.
• Арестом до 4-х месяцев.

Действия, осуществляемые работником, злоупотребляющим своими обязанностями, наказываются:

• Штрафом от 100 000 до 300 000 рублей.
• Зарплатой или прочим доходом, осужденного от 1-го до 2-х лет.
• Запретом занятия должности или занятия указанной деятельностью от 2-х до 5-ти лет.
• Арестом от 4-х до 6-ти месяцев.

Защищенность конфиденциальных сведений регламентируется ст. 13.14 КоАП РФ. Если сотрудник, имеющий доступность к таким сведениям при исполнении должностных функций, разгласил их, то на данного сотрудника накладывается штраф от 40 до 50 МРОТ.

К уголовному или административному наказанию могут подвергаться руководитель учреждения, менеджер отдела, не обеспечивающие сохранность личных данных работающего, или другой работающий, допустивший утечку личных сведений.

Сохранность личной информации обеспечивается следующими нормативными материалами:

1. Конституцией РФ (ст. 23, 24).
2. ТК РФ (ст. 86).
3. ФЗ № 24 от 20.02.1995 года.
4. ТК РФ (ст. 90, подп. «в» п. 6 ст. 81).

Уточнение порядка трансграничной передачи данных

В связи с внесенными изменениями в Федерального закона № 152-ФЗ Роскомнадзором уже реализован сервис по направлению уведомления об осуществлении трансграничной передачи персональных данных по установленной форме.

Операторы, которые осуществляли трансграничную передачу до дня вступления в силу Федерального закона № 266-ФЗ и продолжают осуществлять такую передачу после дня его вступления в силу, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомления об осуществлении их трансграничной передачи. (ч. 5 ст. 6 266-ФЗ).

Далее с 1 марта 2023 года операторы обязаны сообщать о намерении осуществлять трансграничную передачу.

Также с 1 марта 2023 года планируется вступление в силу трех проектов Постановлений Правительства РФ, касающихся трансграничной передачи персональных данных (регулирующих порядок принятия решений о запрещении или об ограничении такой передачи как Роскомнадзором, так и иными уполномоченными органами, а также предусматривающих случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона 152-ФЗ.

Что делать операторам

Во избежание нарушений операторами внесенных изменений в законодательство и новых подзаконных актов Роскомнадзора, необходимо провести ряд мероприятий, в частности:

• Проверить, зарегистрировано ли ваше юридическое лицо в реестре Роскомнадзора на сайте ведомства, и если нет – зарегистрироваться.
• Провести внутренний анализ и корректировку действующих договоров с клиентами, а также шаблонов типовых договоров.
• Дополнить новыми положениями политику конфиденциальности и иные внутренние нормативные акты.
• Актуализировать шаблоны согласий на обработку персональных данных, обеспечив, чтобы их тексты были не только конкретными, информированными и сознательными, то также предметными и однозначными.
• Составить и утвердить положение о защите персональных данных, если такое положение отсутствует в компании.
• Адаптировать свои системы к новым требованиям в части подтверждения уничтожения данных (приказ Роскомнадзора «Об утверждении требований к подтверждению уничтожения персональных данных», который вступит в силу с 1 марта 2023).
• Провести оценку вреда в соответствии с новыми требованиями РКН (проект от 25 августа 2022 года приказа Роскомнадзора «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (планируется вступление в силу 1 марта 2023 года).

Требования к информационным системам персональных данных

Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.

Помимо этого, детализированные требования по защите персональных данных установлены, в частности:

• приказом ФСТЭК № 21 от 18.02.2013 г;
• приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).

Типичные позиции операторов персональных данных

1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.

   Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.

   Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.

2. “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.

   В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

Защита персональных данных

Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.

К исключениям относятся:

• только ФИО субъектов;
• трудовые отношения;
• договорные отношения;
• общедоступные персональные данные;
• однократные пропуска на территорию;
• когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
• транспортная безопасность.

---

Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.

Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.

Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).

Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.

Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.

Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:

• Положение о персональных данных;
• Приказ об утверждении положения;
• Приказ о назначении ответственного лица;
• Политика в отношении обработки и безопасности персональных данных;
• Пользовательское соглашение в приложении и на сайте;
• Инструкция ответственного за организацию обработки персональных данных;
• Приказ о выделении помещений для обработки персональных данных + правила доступа;
• Журнал учета машинных носителей информации с персональными данными.

Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.

Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.

Похожие записи:

• Земельный участок чернобыльцам закон
• Процедура наблюдения в деле о банкротстве
• Как оплатить госпошлину за гражданский паспорт в 2023 году