Работа с персональными данными граждан: что важно знать

Закон о персональных данных применяется в нашей стране уже более 15 лет и за это время претерпел много изменений. Федеральным законом от 14.07.2022 № 266-ФЗ в него вновь внесены корректировки, направленные на повышение качества защиты персональных данных. Часть положений нового закона действует с 1 сентября текущего года, а некоторые вступают в силу с 1 марта 2023 года. Всем операторам, осуществляющим обработку личных сведений, необходимо организовать эту работу в соответствии с новыми требованиями.

Какие изменения уже действуют

Положения закона, действующие с 1 сентября, затронули большой круг вопросов.

Изменены и дополнены ранее существовавшие требования:

• о порядке и сроках уведомления Роскомнадзора;
• касающиеся содержания и опубликования локальных актов оператора;
• о действиях в случае утечки сведений;
• о содержании ряда документов, связанных с обработкой информации.

Кроме того, закон распространили на юридических и физических лиц других государств, которые используют личные данные граждан России. Если российский оператор поручит обработку иностранному лицу, ответственность перед гражданином, чьи сведения были переданы, несут оба этих субъекта.

В части взаимодействия с Роскомнадзором с сентября действуют следующие изменения:

• срок направления информации по запросу контролирующего органа уменьшен до 10 рабочих дней, а его продление допускается в пределах 5 рабочих дней при наличии уважительных причин;
• норму закона о направлении уведомлений распространили на ряд случаев, которые раньше этого не требовали. Сейчас Роскомнадзор необходимо информировать об обработке персональных данных в отношении клиентов, собственных работников, а также иных физических лиц в перечисленных в законе случаях. Если оператор не применяет средства автоматизации (например, записывает информацию вручную в журнал), направлять уведомление не нужно;
• скорректированы требования к содержанию уведомления;
• установлены обязанности оператора при компрометации персональных данных, в том числе касающиеся сроков уведомления Роскомнадзора.

Уведомления можно подать через специальный портал.

Уже действуют изменения, которыми конкретизировано содержание внутренних документов организации, касающихся обработки данных применительно к каждой цели. Также закреплена обязанность оператора, собирающего сведения о гражданах на собственном сайте, публиковать свои акты непосредственно на тех страницах, где идёт сбор данных.

Помимо этого, скорректированы: перечень сведений, которые должны предоставляться гражданам, содержание поручения другому лицу об обработке персональных данных, требования к согласию на обработку. Установлен 10-дневный срок ответа на запрос гражданина, который может быть увеличен максимум на 5 рабочих дней. Аналогичный срок предусмотрен для прекращения обработки личных данных гражданина в случае поступления от него такого требования.

Одновременно со специальным законом, касающимся работы с персональными данными граждан, внесён в закон о защите прав потребителей и КоАП РФ.

В законе закреплено, что продавец не вправе отказать потребителю в заключении договора по той причине, что последний отказался предоставлять свои данные. Из этого правила есть два исключения:

• когда без них заключить договор невозможно;
• когда это прямо предусмотрено законом.

За нарушение запрета предусмотрена ответственность по ч. 7 ст. 14.8 КоАП.

Если потребитель требует объяснить, почему ему отказано в заключении договора, на ответ даётся 7 дней, а ответ в устной форме должен быть дан незамедлительно.

Нововведения с марта 2023 года

Часть изменений, внесённых в закон о персональных данных, вступает в силу с 1 марта 2023 года, однако подготовиться к ним стоит уже сейчас. Новые требования для операторов касаются:

• оценки потенциального вреда, который может быть причинён гражданину вследствие нарушения оператором законодательства;
• уничтожения персональных данных;
• сроков уведомления Роскомнадзора об изменении сведений, указанных в первоначальном уведомлении об обработке персональных данных (новый срок – до 15 числа следующего месяца);
• трансграничной передачи личных данных.

Во исполнение новых требований закона Роскомнадзором в октябре текущего года изданы приказы 178 и 179. Первый из них регламентирует оценку возможного вреда из-за нарушения законодательства и устанавливает правила этой оценки. Второй определяет, как нужно будет подтверждать уничтожение информации.

Оценка вреда при работе с персональными данными граждан

Оценивать вероятный вред закон требует в тех случаях, когда обработка личных данных происходит в информационных системах. Приказ № 178 регулирует эту процедуру.

Степень потенциального вреда подразделяется на высокую, среднюю и низкую. Определять её должен будет ответственный сотрудник или комиссия оператора, а критерии отнесения конкретных сведений к той или иной категории перечислены в приказе.

Например, вред высокой степени может наступить, если оператор обрабатывает биометрические данные, сведения о несовершеннолетних в целях использования их для заключения договора, некоторые специальные виды персональных данных (национальная, религиозная принадлежность, политические взгляды, состояние здоровья и т. д.).

Вред средней степени возможен, когда оператор занимается продвижением своих товаров или услуг через персональные базы данных другого лица, и в некоторых других случаях.

Низкую степень можно определить в случаях ведения общедоступных источников персональных данных или назначения ответственным за их обработку внештатного сотрудника.

Когда есть основания для отнесения вероятного вреда к разным степеням риска, применять следует самую высокую.

Результат оценки оформляется актом. Перечень сведений, которые следует в нём отражать, также определён приказом. Акт можно составлять и в электронном виде при условии его заверения ЭЦП.

Как подтверждать уничтожение персональных данных

Приказ № 179 устанавливает порядок, согласно которому должен быть подтверждён факт уничтожения персональных данных при нарушении законодательства в этой сфере. Необходимые документы зависят от способа обработки сведений:

• если средства автоматизации не используются, достаточно акта, составленного в соответствии с требованиями приказа;
• если обработка ведётся с использованием таких средств, потребуется ещё и выгрузка из журнала событий в информационной системе.

Акт, составленный в цифровом виде, подлежит заверению ЭЦП. Срок хранения документов – 3 года после уничтожения данных.

Вышеперечисленные изменения более детально регламентируют отдельные вопросы, связанные с обработкой личной информации граждан, и создают дополнительные обязанности для операторов персональных данных. При организации работы внутри компании стоит помнить, что статьёй 13.11 КоАП РФ за нарушение законодательства в этой сфере предусмотрена ответственность в виде достаточно крупных штрафов. К ней могут быть привлечены как физические, так и юридические лица. А при определённых обстоятельствах незаконная обработка личных данных может повлечь для виновного и уголовную ответственность.