Персональные данные – 2023
Как обезопасить свой бизнес от штрафов за нарушения при работе с персональными данными.
Материал подготовила Анастасия Орлова, юрист юридического агентства «Правый берег»
Что такое персональные данные?
Строго говоря, к персональным данным относится любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Так, персональными данными являются ФИО; место и дата рождения; сведения о заработной плате; номер телефона, адрес электронной почты, иные идентификаторы в соцсетях или мессенджерах; паспортные данные; биометрические данные (например, генетические данные или фотография человека) и другие данные.
Для того чтобы попасть под сферу действия закона о персональных данных достаточно осуществить с ними любое взаимодействие. Федеральный закон относит к случаям обработки такие действия как сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Получается, что даже просмотр документа с персональными данными на экране монитора является обработкой персональных данных. Единственным исключением из сферы закона является обработка персональных данных для личных и семейных нужд: смотреть контакты в телефоне можно без опасений.
Чтобы собирать и работать с персональными данными, оператор должен разработать и ввести в действие довольно большой пакет документов. Вот только базовые:
Политика обработки персональных данных
Положение об обработке и обеспечении безопасности персональных данных
Модели угроз безопасности
Приказ о назначении ответственного за обработку персональных данных
Формы согласий на обработку персональных данных
Во избежание ошибок в разработке этих и других документов рекомендуется привлечь специалистов.
После того как все документы будут разработаны и утверждены, нужно уведомить контролирующий орган о начале обработки персональных данных. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов. Отсутствие компании в реестре не убережет от ответственности в случае выявления нарушений – неподача уведомления о начале обработке персональных данных является самостоятельным нарушением.
На этом сложности с обработкой персональных данных не заканчиваются. С 1 марта 2023 года законодатель ужесточил требования к хранению, фиксации уничтожения, даже сообщения об утечке персональных данных.
Как проверить свою компанию?
Мы подготовили для вас простой чек-лист добросовестного оператора персональных данных.
Проведите аудит и зафиксируйте все процессы с персональными данными- При передаче персональных данных третьим лицам (поставщикам услуг/клиентам) проследите за наличием договора поручения обработки персональных данных или соответствующего раздела в основном договоре
- При начале нового проекта проведите оценку на предмет наличия процессов с персональными данными
- Следите за своевременным направлением уведомлений в Роскомнадзор: обработка персональных данных, изменения в процессах обработки, трансграничная передача, утечка
- При трансграничной передаче проследите за наличием договора поручения обработки персональных данных
- Следите за выполнением требования о локализации сбора и обработки персональных данных, особенно в работе с третьими лицами
- Обеспечьте постоянную коммуникацию с сотрудниками
- Автоматизируйте процессы сбора и обработки данных по максимуму
- Следите за выполнением запросов субъектов персональных данных
Что нового в законодательстве о персональных данных в 2023 году?
С 1 марта 2023 года законодательство в области персональных данных было существенно изменено. Ниже о новшествах, которые коснутся всех операторов персональных данных и о том, что нужно обязательно учитывать при работе с персональными данными.
Уничтожение персональных данных
С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 № 179.
С 1 марта 2023 года необходимо фиксировать факт того, что персональные данные уничтожены. Оформить уничтожение необходимо документами:
С 1 марта 2023 года необходимо фиксировать факт того, что персональные данные уничтожены. Оформить уничтожение необходимо документами:
- актом об уничтожении персональных данных;
- выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Оценка степени вреда
С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персональных данных (приказ Роскомнадзора от 27.10.2022 № 178).
Степени вреда всего три: высокая, средняя, низкая. Для отнесения вреда к какой-либо категории, также потребуется составить специальный акт.
Степени вреда всего три: высокая, средняя, низкая. Для отнесения вреда к какой-либо категории, также потребуется составить специальный акт.
Сообщение об утечке персональных данных
Вступил в силу Порядок взаимодействия Роскомнадзора и операторов ПД в рамках ведения реестра учета инцидентов в области ПД (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022 г. № 187).
Под инцидентом понимается любой факт, повлекший неправомерную передачу (предоставление, распространение, доступ) ПД. Операторы обязаны уведомлять Роскомнадзор о таком инциденте в течение 24 часов, включив в уведомление сведения о произошедшем инциденте, его возможных причинах, предполагаемом вреде субъекту ПД, а также возможные меры по устранению вреда. Далее в течение 72 часов должно быть представлено дополнительное уведомление, содержащее сведения о результатах внутреннего расследования инцидента с указанием виновных лиц в случае, если в ходе расследования они были выявлены.
Кроме того, Роскомнадзор может направить оператору требование о предоставление уведомления, если обнаружит утечку его баз данных.
Под инцидентом понимается любой факт, повлекший неправомерную передачу (предоставление, распространение, доступ) ПД. Операторы обязаны уведомлять Роскомнадзор о таком инциденте в течение 24 часов, включив в уведомление сведения о произошедшем инциденте, его возможных причинах, предполагаемом вреде субъекту ПД, а также возможные меры по устранению вреда. Далее в течение 72 часов должно быть представлено дополнительное уведомление, содержащее сведения о результатах внутреннего расследования инцидента с указанием виновных лиц в случае, если в ходе расследования они были выявлены.
Кроме того, Роскомнадзор может направить оператору требование о предоставление уведомления, если обнаружит утечку его баз данных.
Трансграничная передача персональных данных
С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, примет решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.
Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.
Новые сроки направления уведомления об изменении сведений
С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении сведений, содержащихся в уведомлении об обработке персональных данных. Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.
Порядок привлечения к ответственности
За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).
Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).
Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персональных данных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.
Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).
Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).
Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персональных данных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.
Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).
Размер ответственности в 2023 году
Административная ответственность за нарушение законодательства о персональных данных установлена в следующих случаях:
- нарушение правил обработки персональных данных;
- неисполнение обязанностей при взаимодействии с гражданином — субъектом персональных данных;
- невыполнение требований по защите персональных данных;
- неисполнение обязанностей при взаимодействии с Роскомнадзором.
С чего начать?
Мы надеемся, что подготовленная нами информация будет для вас полезной. Рекомендуем вам оценить соответствие процессов обработки персональных данных нормативным требованиям, в частности:
- Проанализировать трансграничные потоки данных для обеспечения соответствия правилам трансграничной передачи в зависимости от «адекватности» юрисдикции, на территорию которой передаются данные;
- Адаптировать внутренние документы к новым требованиям по оценке вреда и уничтожению персональных данных.
Указанные мероприятия потребуют специальных знаний и временных затрат. Для экономии времени рекомендуем доверить процессы анализа документации компании, оценки возможных рисков и разработки необходимых актов профессионалам.
Юридическое агентство «Правый берег» проведет аудит процессов обработки персональных данных в вашей компании, поможет с составлением внутренних документов, а также обеспечит сопровождение при проверках и спорах с Роскомнадзором.
Юридическое агентство «Правый берег» проведет аудит процессов обработки персональных данных в вашей компании, поможет с составлением внутренних документов, а также обеспечит сопровождение при проверках и спорах с Роскомнадзором.
Нужна помощь?
Отправьте запрос на аудит или предварительную консультацию в сфере обработки персональных данных.
Отправляя сообщение, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности.