Оглавление
Закон о персональных данных применяется в нашей стране уже более 15 лет и за это время претерпел много изменений. Федеральным законом от 14.07.2022 № 266-ФЗ в него вновь внесены корректировки, направленные на повышение качества защиты персональных данных. Часть положений нового закона действует с 1 сентября текущего года, а некоторые вступают в силу с 1 марта 2023 года. Всем операторам, осуществляющим обработку личных сведений, необходимо организовать эту работу в соответствии с новыми требованиями.
Какие изменения уже действуют
Положения закона, действующие с 1 сентября, затронули большой круг вопросов.
Изменены и дополнены ранее существовавшие требования:
- о порядке и сроках уведомления Роскомнадзора;
- касающиеся содержания и опубликования локальных актов оператора;
- о действиях в случае утечки сведений;
- о содержании ряда документов, связанных с обработкой информации.
Кроме того, закон распространили на юридических и физических лиц других государств, которые используют личные данные граждан России. Если российский оператор поручит обработку иностранному лицу, ответственность перед гражданином, чьи сведения были переданы, несут оба этих субъекта.
В части взаимодействия с Роскомнадзором с сентября действуют следующие изменения:
- срок направления информации по запросу контролирующего органа уменьшен до 10 рабочих дней, а его продление допускается в пределах 5 рабочих дней при наличии уважительных причин;
- норму закона о направлении уведомлений распространили на ряд случаев, которые раньше этого не требовали. Сейчас Роскомнадзор необходимо информировать об обработке персональных данных в отношении клиентов, собственных работников, а также иных физических лиц в перечисленных в законе случаях. Если оператор не применяет средства автоматизации (например, записывает информацию вручную в журнал), направлять уведомление не нужно;
- скорректированы требования к содержанию уведомления;
- установлены обязанности оператора при компрометации персональных данных, в том числе касающиеся сроков уведомления Роскомнадзора.
Уведомления можно подать через специальный портал.
Уже действуют изменения, которыми конкретизировано содержание внутренних документов организации, касающихся обработки данных применительно к каждой цели. Также закреплена обязанность оператора, собирающего сведения о гражданах на собственном сайте, публиковать свои акты непосредственно на тех страницах, где идёт сбор данных.
Помимо этого, скорректированы: перечень сведений, которые должны предоставляться гражданам, содержание поручения другому лицу об обработке персональных данных, требования к согласию на обработку. Установлен 10-дневный срок ответа на запрос гражданина, который может быть увеличен максимум на 5 рабочих дней. Аналогичный срок предусмотрен для прекращения обработки личных данных гражданина в случае поступления от него такого требования.
Одновременно со специальным законом, касающимся работы с персональными данными граждан, внесён в закон о защите прав потребителей и КоАП РФ.
В законе закреплено, что продавец не вправе отказать потребителю в заключении договора по той причине, что последний отказался предоставлять свои данные. Из этого правила есть два исключения:
- когда без них заключить договор невозможно;
- когда это прямо предусмотрено законом.
За нарушение запрета предусмотрена ответственность по ч. 7 ст. 14.8 КоАП.
Если потребитель требует объяснить, почему ему отказано в заключении договора, на ответ даётся 7 дней, а ответ в устной форме должен быть дан незамедлительно.
Нововведения с марта 2023 года
Часть изменений, внесённых в закон о персональных данных, вступает в силу с 1 марта 2023 года, однако подготовиться к ним стоит уже сейчас. Новые требования для операторов касаются:
- оценки потенциального вреда, который может быть причинён гражданину вследствие нарушения оператором законодательства;
- уничтожения персональных данных;
- сроков уведомления Роскомнадзора об изменении сведений, указанных в первоначальном уведомлении об обработке персональных данных (новый срок – до 15 числа следующего месяца);
- трансграничной передачи личных данных.
Во исполнение новых требований закона Роскомнадзором в октябре текущего года изданы приказы 178 и 179. Первый из них регламентирует оценку возможного вреда из-за нарушения законодательства и устанавливает правила этой оценки. Второй определяет, как нужно будет подтверждать уничтожение информации.
Оценка вреда при работе с персональными данными граждан
Оценивать вероятный вред закон требует в тех случаях, когда обработка личных данных происходит в информационных системах. Приказ № 178 регулирует эту процедуру.
Степень потенциального вреда подразделяется на высокую, среднюю и низкую. Определять её должен будет ответственный сотрудник или комиссия оператора, а критерии отнесения конкретных сведений к той или иной категории перечислены в приказе.
Например, вред высокой степени может наступить, если оператор обрабатывает биометрические данные, сведения о несовершеннолетних в целях использования их для заключения договора, некоторые специальные виды персональных данных (национальная, религиозная принадлежность, политические взгляды, состояние здоровья и т. д.).
Вред средней степени возможен, когда оператор занимается продвижением своих товаров или услуг через персональные базы данных другого лица, и в некоторых других случаях.
Низкую степень можно определить в случаях ведения общедоступных источников персональных данных или назначения ответственным за их обработку внештатного сотрудника.
Когда есть основания для отнесения вероятного вреда к разным степеням риска, применять следует самую высокую.
Результат оценки оформляется актом. Перечень сведений, которые следует в нём отражать, также определён приказом. Акт можно составлять и в электронном виде при условии его заверения ЭЦП.
Как подтверждать уничтожение персональных данных
Приказ № 179 устанавливает порядок, согласно которому должен быть подтверждён факт уничтожения персональных данных при нарушении законодательства в этой сфере. Необходимые документы зависят от способа обработки сведений:
- если средства автоматизации не используются, достаточно акта, составленного в соответствии с требованиями приказа;
- если обработка ведётся с использованием таких средств, потребуется ещё и выгрузка из журнала событий в информационной системе.
Акт, составленный в цифровом виде, подлежит заверению ЭЦП. Срок хранения документов – 3 года после уничтожения данных.
Вышеперечисленные изменения более детально регламентируют отдельные вопросы, связанные с обработкой личной информации граждан, и создают дополнительные обязанности для операторов персональных данных. При организации работы внутри компании стоит помнить, что статьёй 13.11 КоАП РФ за нарушение законодательства в этой сфере предусмотрена ответственность в виде достаточно крупных штрафов. К ней могут быть привлечены как физические, так и юридические лица. А при определённых обстоятельствах незаконная обработка личных данных может повлечь для виновного и уголовную ответственность.