Работа с персональными данными граждан: что важно знать

Работа с персональными данными граждан

Закон о персональных данных применяется в нашей стране уже более 15 лет и за это время претерпел много изменений. Федеральным законом от 14.07.2022 № 266-ФЗ в него вновь внесены корректировки, направленные на повышение качества защиты персональных данных. Часть положений нового закона действует с 1 сентября текущего года, а некоторые вступают в силу с 1 марта 2023 года. Всем операторам, осуществляющим обработку личных сведений, необходимо организовать эту работу в соответствии с новыми требованиями.

Какие изменения уже действуют

Положения закона, действующие с 1 сентября, затронули большой круг вопросов.

Изменены и дополнены ранее существовавшие требования:

  • о порядке и сроках уведомления Роскомнадзора;
  • касающиеся содержания и опубликования локальных актов оператора;
  • о действиях в случае утечки сведений;
  • о содержании ряда документов, связанных с обработкой информации.

Кроме того, закон распространили на юридических и физических лиц других государств, которые используют личные данные граждан России. Если российский оператор поручит обработку иностранному лицу, ответственность перед гражданином, чьи сведения были переданы, несут оба этих субъекта.

В части взаимодействия с Роскомнадзором с сентября действуют следующие изменения:

  • срок направления информации по запросу контролирующего органа уменьшен до 10 рабочих дней, а его продление допускается в пределах 5 рабочих дней при наличии уважительных причин;
  • норму закона о направлении уведомлений распространили на ряд случаев, которые раньше этого не требовали. Сейчас Роскомнадзор необходимо информировать об обработке персональных данных в отношении клиентов, собственных работников, а также иных физических лиц в перечисленных в законе случаях. Если оператор не применяет средства автоматизации (например, записывает информацию вручную в журнал), направлять уведомление не нужно;
  • скорректированы требования к содержанию уведомления;
  • установлены обязанности оператора при компрометации персональных данных, в том числе касающиеся сроков уведомления Роскомнадзора.

Уведомления можно подать через специальный портал.

Уже действуют изменения, которыми конкретизировано содержание внутренних документов организации, касающихся обработки данных применительно к каждой цели. Также закреплена обязанность оператора, собирающего сведения о гражданах на собственном сайте, публиковать свои акты непосредственно на тех страницах, где идёт сбор данных.

Помимо этого, скорректированы: перечень сведений, которые должны предоставляться гражданам, содержание поручения другому лицу об обработке персональных данных, требования к согласию на обработку. Установлен 10-дневный срок ответа на запрос гражданина, который может быть увеличен максимум на 5 рабочих дней. Аналогичный срок предусмотрен для прекращения обработки личных данных гражданина в случае поступления от него такого требования.

Одновременно со специальным законом, касающимся работы с персональными данными граждан, внесён в закон о защите прав потребителей и КоАП РФ.

В законе закреплено, что продавец не вправе отказать потребителю в заключении договора по той причине, что последний отказался предоставлять свои данные. Из этого правила есть два исключения:

  • когда без них заключить договор невозможно;
  • когда это прямо предусмотрено законом.

За нарушение запрета предусмотрена ответственность по ч. 7 ст. 14.8 КоАП.

Если потребитель требует объяснить, почему ему отказано в заключении договора, на ответ даётся 7 дней, а ответ в устной форме должен быть дан незамедлительно.

Нововведения с марта 2023 года

Часть изменений, внесённых в закон о персональных данных, вступает в силу с 1 марта 2023 года, однако подготовиться к ним стоит уже сейчас. Новые требования для операторов касаются:

  • оценки потенциального вреда, который может быть причинён гражданину вследствие нарушения оператором законодательства;
  • уничтожения персональных данных;
  • сроков уведомления Роскомнадзора об изменении сведений, указанных в первоначальном уведомлении об обработке персональных данных (новый срок – до 15 числа следующего месяца);
  • трансграничной передачи личных данных.

Во исполнение новых требований закона Роскомнадзором в октябре текущего года изданы приказы 178 и 179. Первый из них регламентирует оценку возможного вреда из-за нарушения законодательства и устанавливает правила этой оценки. Второй определяет, как нужно будет подтверждать уничтожение информации.

Оценка вреда при работе с персональными данными граждан

Оценивать вероятный вред закон требует в тех случаях, когда обработка личных данных происходит в информационных системах. Приказ № 178 регулирует эту процедуру.

Степень потенциального вреда подразделяется на высокую, среднюю и низкую. Определять её должен будет ответственный сотрудник или комиссия оператора, а критерии отнесения конкретных сведений к той или иной категории перечислены в приказе.

Например, вред высокой степени может наступить, если оператор обрабатывает биометрические данные, сведения о несовершеннолетних в целях использования их для заключения договора, некоторые специальные виды персональных данных (национальная, религиозная принадлежность, политические взгляды, состояние здоровья и т. д.).

Вред средней степени возможен, когда оператор занимается продвижением своих товаров или услуг через персональные базы данных другого лица, и в некоторых других случаях.

Низкую степень можно определить в случаях ведения общедоступных источников персональных данных или назначения ответственным за их обработку внештатного сотрудника.

Когда есть основания для отнесения вероятного вреда к разным степеням риска, применять следует самую высокую.

Результат оценки оформляется актом. Перечень сведений, которые следует в нём отражать, также определён приказом. Акт можно составлять и в электронном виде при условии его заверения ЭЦП.

Как подтверждать уничтожение персональных данных

Приказ № 179 устанавливает порядок, согласно которому должен быть подтверждён факт уничтожения персональных данных при нарушении законодательства в этой сфере. Необходимые документы зависят от способа обработки сведений:

  • если средства автоматизации не используются, достаточно акта, составленного в соответствии с требованиями приказа;
  • если обработка ведётся с использованием таких средств, потребуется ещё и выгрузка из журнала событий в информационной системе.

Акт, составленный в цифровом виде, подлежит заверению ЭЦП. Срок хранения документов – 3 года после уничтожения данных.

Вышеперечисленные изменения более детально регламентируют отдельные вопросы, связанные с обработкой личной информации граждан, и создают дополнительные обязанности для операторов персональных данных. При организации работы внутри компании стоит помнить, что статьёй 13.11 КоАП РФ за нарушение законодательства в этой сфере предусмотрена ответственность в виде достаточно крупных штрафов. К ней могут быть привлечены как физические, так и юридические лица. А при определённых обстоятельствах незаконная обработка личных данных может повлечь для виновного и уголовную ответственность.

280
|

Другие новости

04
Февраль
2023

Увольнение работников по сокращению численности (штата)

Один из способов оптимизировать расходы компании – сократить численность работников. Сокращение может быть связано и с другими обстоятельствами, например, переходом на новый вид деятельности или снижением объёмов производства. Но независимо от мотивов такого решения, оно почти всегда влечёт увольнение работников.

03
Август
2023

Продажа действующего бизнеса

Продажа бизнеса может быть сложной задачей, которая может вызвать смесь эмоций и неопределенности. Часто владельцы бизнеса решают продать свои компании из-за усталости, необходимости сменить обстановку или даже оптимизации бизнеса. Изменения в жизненных обстоятельствах также могут привести к решению о продаже.

26
Октябрь
2023

Как обжаловать решения госструктур ?

В нашей жизни не всегда все идет гладко. Иногда мы сталкиваемся с проблемами, которые невозможно решить самостоятельно. В таких случаях многие обращаются за помощью к госструктурам. Но что делать, если после обращения вы получаете решение, которое не удовлетворяет вас? Как вы можете обжаловать это решение?

24
Октябрь
2023

Юридическая компания «Дубинин & партнеры» получила статус «Выбор клиентов и партнеров»

17 октября компания получила премию «Выбор клиентов и партнеров», что свидетельствует об успехе внедрения современных решений в юридические процессы взаимодействия с клиентами.

Компания была основана в 2013 году, в процессе становления коллектив увеличился, спектр оказываемых услуг расширялся, применялись новые методы работы с клиентами, но суть и цели компании остались неизменными.

28
Май
2023

Увольнение в связи с утратой доверия: нормы закона и судебная практика

Трудовой кодекс РФ разрешает работодателю прекратить трудовые отношения с сотрудником, утратившим доверие в результате его собственных виновных действий. Такое основание применяется только в отношении тех работников, в чьи непосредственные обязанности входит обслуживание денежных или товарно-материальных ценностей (ТМЦ).

Для увольнения госслужащих в связи с утратой доверия законодательством предусмотрены отдельные основания.

19
Апрель
2023

Автоматизированная информационная система страхования

С 30 марта в России начинается создание автоматизированной информационной системы страхования, предусмотренной принятым в декабре 2022 года Законом № 594-ФЗ. Вопросам функционирования этой системы теперь посвящена новая глава в Законе об организации страхового дела. Для чего создан этот инструмент, когда и в каком порядке он начнёт функционировать – разбираемся в этой статье.

22
Март
2022

Правильное расторжение трудового договора, когда сотрудник отказывается от соглашения

Все компании одинаково рискуют при найме нового сотрудника. В один момент он может перестать выполнять свои рабочие обязанности должным образом. Когда такое происходит, то руководство начинает задумываться о его увольнении. Однако в таких случаях работник нередко отказывается от увольнения или начинает требовать компенсацию, которую не может осуществить руководство.

21
Декабрь
2021

Защита интеллектуальной собственности

Интеллектуальная собственность - это результат умственного труда и интеллекта человека, например, представляющее собой авторство на книгу или научный проект. Разберемся в видах интеллектуальной собственности, формах и способах ее защиты.

23
Январь
2022

Суд общей юрисдикции

Суд общей юрисдикции — это инстанция, которая рассматривает уголовные, гражданские и административные дела определенных категорий. Стоит помнить, что перед судом все равны. Здесь отсутствуют какие-либо ограничения по расовой, имущественной, половой, социальной, государственной, религиозной, должностной, национальной принадлежности. Это относится и к месту жительства, рождения, возрасту и прочим критериям.