Новые требования к обработке персональных данных: что изменил приказ Роскомнадзора

Какие изменения в защите персональных данных произошли с 1 сентября? Разберемся в статье.

Сначала немного теории. Итак, законодательством о защите прав субъектов персональных данных предусмотрены три группы методов защиты — правовые, технические и организационные.

Бесконтрольное распространение персональных данных — существенная угроза для частной жизни. Но при этом активное обращение данных, подавляющее большинство из которых относятся к категории персональных, необходимо для динамичного развития технологии больших данных.

Порядок распространения

В 2021 году произошли масштабные изменения законодательства по персональным данным. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» направлен на создание механизмов защиты прав и свобод субъектов, чьи персональные данные участвуют в общедоступном обороте. Согласно этому закону, обработка персональных данных не влечет предоставление к ним доступа неограниченного круга лиц. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение.

Субъект персональных данных должен не только дать согласие на обработку, но и на распространение таких данных. Такое согласие оформляется отдельно.

Роскомнадзор, согласно п. 3 ч. 5 ст. 23 закон № 152-ФЗ, является уполномоченным органом по защите прав субъектов персональных данных и ведет реестр операторов. По состоянию на 31.08.2021, в реестре содержатся сведения о 429 462 операторах персональных данных.

Штрафы

Одновременно с изменениями законодательства по персональным данным ужесточатся и меры ответственности операторов за его нарушение.

Санкции за обработку персональных данных без согласия в письменной форме следующие:

• для граждан штраф в размере от шести тысяч до десяти тысяч рублей;
• для должностных лиц — от двадцати до сорока тысяч рублей;
• для юридических лиц — от тридцати до ста пятидесяти тысяч рублей.

Согласие на обработку

Вслед за масштабными мартовскими изменениями, касающимися порядка распространения персональных данных, с 1 сентября 2021 года вступили в действие обязательные требования к содержанию согласия на обработку персональных данных, разрешенных к распространению. Требования разработаны Роскомнадзором (Приказ от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).

Обработка персональных данных включает в себя:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ), уничтожение и др.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обрабатываемые персданные не должны быть избыточными по отношению к заявленным целям их обработки.

Согласие на обработку персональных данных необходимо оформлять практически с каждым субъектом персональных данных: кандидатом на замещение вакантной должности, работником, а также и с родственниками работника, клиентами, контрагентами, третьими лицами и др.

Другие подробности

Рассмотрим требования к содержанию, порядок получения, условия прекращения действия согласия на обработку персональных данных, разрешенных к распространению.

Согласно приказу Роскомнадзора, согласие должно включать следующую информацию:

• о субъекте персональных данных (ФИО, адрес электронной почты или почтовый адрес);
• об операторе персональных данных (наименование или ФИО, место регистрации, место жительства или место пребывания, ИНН, ОГРН, сайт);
• цель обработки персональных данных;
• категории и состав персональных данных, на которые получается согласие (общие, специальные и биометрические);
• перечень данных, на которые субъект может установить запрет на распространение;
• условия передачи оператором персональных данных, в том числе перечень лиц, имеющих право на ознакомление;
• срок действия согласия.

Как видно из документа, субъект персональных данных может установить запреты или конкретные условия обработки части информации, в частности, запрет на какую-либо обработку персональных данных неограниченным кругом лиц (кроме непосредственного доступа к ним).

Срок действия согласия определяет субъект персональных данных (например, работник), если иное не установлено федеральным законом.

Срок действия требований — до 1 сентября 2027 года.

Распространение персональных данных должно быть приостановлено в любое время по требованию субъекта, даже если прежде он давал на это согласие. Требование должно включать в себя фамилию, имя, отчество, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень данных, обработка которых подлежит прекращению. Указанные в требовании персданные могут обрабатываться только оператором, которому оно направлено.

Где найти шаблон согласия на обработку данных от РКН

Роскомнадзор решил облегчить бизнесу адаптацию к изменениям: в ведомстве разработали специальный сервис — конструктор для формирования шаблона формы согласия, он уже функционирует. В дальнейшем оператор может использовать проверенную Роскомнадзором форму согласия в своей работе. Это исключает возможность ошибки — документ будет соответствовать всем необходимым требованиям.

Конструктор создавали с учетом правоприменительной практики. На сайте Роскомнадзора можно заполнить поля шаблона, после чего его рассматривают эксперты ведомства. При необходимости они дадут свои рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.

Выводы и рекомендации

Организация, являющаяся оператором персональных данных должна иметь внутренние локальные документы, регламентирующие порядок обработки персональных данных, в том числе Политику в отношении персональных данных, которую необходимо разместить в открытом доступе в интернете (на сайте организации).

Также должен быть назначен ответственный за организацию обработки персональных данных сотрудник.

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.

Соблюдение законодательства о персональных данных несомненно является частью общей политики соответствия, то есть комплаенса, поэтому я советую поручать контроль за этим направлением работы только профессионалам, имеющим специальные знания и квалификацию.