Новое в работе с персональным данными с 1 сентября 2022 года

Персональные данные – это любые сведения о гражданине, которые прямо или косвенно относятся к нему. Персональные данные требуют от физлиц при приеме на работу, при продаже товаров в интернет-магазинах, при предоставлении доступов к облачным сервисам, при оказании услуг, т.п. С 1 сентября 2022 года вступают в силу изменения в работе с персональными данными, которые распространяются не только на работодателей, но и на продавцов, исполнителей, владельцев агрегаторов.

Новое в работе с персданными для работодателей с 1 сентября 2022 года

С 1 сентября 2022 года перечень случаев, когда нужно уведомлять Роскомнадзор о предстоящей обработке персданных, сократили.

Теперь уведомлять РКН не нужно только в случаях предстоящей обработки ПД:

• которые включены в государственные информационные системы персданных, созданных в целях защиты безопасности государства и общественного порядка;
• в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Теперь в вышеуказанном перечне нет такого основания для неуведомления РКН как работа с перссведениями работника, обработка которых необходима по трудовому законодательству.

С 1 сентября 2022 года нужно присылать уведомления в Роскомнадзор, если работодатель собирается обрабатывать перссведения сотрудника в целях:

• подписания трудового договора;
• выдачи зарплаты;
• направления в ПФР и ФСС данных о сотрудниках согласно действующему законодательству;
• оформления доверенности на сотрудника в интересах работодателя;
• оформления пропусков для входа на территорию работодателя.

Это подтвердили представители РКН в письме от 19.08.2022 г. № 08-75348.

Исключение действует, если обработка ПД проходит без использования средств автоматизации. Например, сведения о проходе сотрудника на территорию работодателя заносят в бумажную книгу или тетрадь.

Для того, чтобы работать с ПД сотрудника, от лица надо получить согласие на обработку его персональных данных. С сентября 2022 года расширили требования к этому согласию. Теперь одно должно быть не только конкретным, информированным и сознательным, но еще и предметным и однозначным.

У физлица есть право отказаться предоставить свои персданные. В этом случае оператор обязан не только разъяснить субъекту ПД юридические последствия этого отказа (это правило не изменилось), но и отказа дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку перссведений требуется обязательно.

А вот правила работы с биометрическими ПД, наоборот, смягчили.

С 1 сентября нельзя запретить физлицо предоставлять свои биометрические ПД. То есть работодатель не вправе заставлять сотрудников фотографироваться или предоставлять отпечатки пальцев для пропуска в офис. Если работник откажется это сделать, привлечь к дисциплинарной ответственности за этого его нельзя.

Операторам персональных данных требуется утвердить локальный акт, который установит процедуры по предотвращению и выявлению нарушений закона о персональных данных.

Изменены также требования к локальным актам оператора ПД. Теперь в них:

• нужно включать категории и перечень обрабатываемых сведений, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований – для каждой цели обработки персданных;
• запрещено включать положения, ограничивающие права субъектов персданных, а также возлагающие на операторов не предусмотренные законами полномочия и обязанности.

Помимо этого, скорректированы сроки и порядок ответа оператора на запросы субъектов персаднных. Сведения следует представить физлицу или  его представителю в течение 10-ти рабочих дней с момента обращения (получения оператором соответствующего запроса). Указанный срок может быть продлен, но не более чем на 5 рабочих дней. Основание – мотивированное уведомление, которое оператор направляет в адрес субъекта персданных.

В случае обращения субъекта персседений к оператору с требованием о прекращении обработки ПД, оператор обязан по общему правилу прекратить их обработку или обеспечить прекращение такой обработки (если за оператора действует обработчик), кроме случаев, когда обработка возможна без согласия субъекта ПД. Срок прекращения обработки – 10 рабочих дней с даты получения требования. Указанный срок может быть продлен не более чем на 5 рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес обладателя сведений.

Новое в работе с Роскомнадзором с 1 сентября 2022 года

У операторов персданных появились новые обязанности в работе с РКН с 1 сентября 2022 года. Так, операторы должны:

• отвечать на запросы РКН в течение 10-ти рабочих дней (а не 30-ти, как ранее);
• уведомить РКН в случае, если перссведения его владельца изменятся. Подать уведомление в нужно до 15-го числа месяца, следующего за месяцем, когда произошли изменения;
• о случаях прекращения обработки персданных уведомить РКН нужно в течение 10-ти рабочих дней;
• в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персданных, что нарушило права их владельцев, оператор обязан уведомить РКН. При этом требуется сообщать – о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде, нанесенном правам владельцев персданных, о принятых мерах по устранению последствий случившегося. Кроме того, нужно также предоставить сведения о контактном лице - в течение 1 дня с момента выявления такого инцидента оператором, Роскомнадзором или иным заинтересованным лицом. О результатах внутреннего расследования случившегося и о лицах, действия которых стали причиной выявленного инцидента (при наличии) требуется сообщать в течение 3-х суток.

Кроме того, теперь операторы обязаны сотрудничать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Через нее нужно сообщить об инцидентах, при которых произошла утечка личных сведений субъектов ПД. 

Чтобы проинформировать о неправомерной передаче данных, нужно будет подать уведомление в Роскомнадзор, а затем в течение 48 часов потребуется отчитаться в Роскомнадзор о том, как работодатель провел внутреннее расследование.

Обязанности продавцов, исполнителей и агрегаторов с 1 сентября 2022 года

С 1 сентября 2022 года продавцам, потребителям, владельцам агрегаторов запрещено отказывать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом последнего предоставить свои ПД. Исключение – если обязанность предоставления таких данных предусмотрена по закону или непосредственно связана с исполнением договора с потребителем.

При предъявлении потребителем требования о предоставлении информации о конкретных причинах и правовых основаниях, по которым невозможно заключить, исполнить, изменить или расторгнуть договор без предоставления персданных, в письменной форме (в том числе в форме электронного документа) продавец (исполнитель, владелец агрегатора) должен предоставить такую информацию в течение 7-ми дней со дня предъявления этого требования.

Продавец (исполнитель, владелец агрегатора) предоставляет информацию потребителю в той форме, в которой предъявлено требование потребителя о предоставлении информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных, если иное не указано в этом требовании.

При предъявлении потребителем требования о предоставлении информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персведений, в устной форме такую информацию надо представить незамедлительно.

За нарушение запрета ввели административную ответственность.

Теперь предусмотрены штрафы по статье 14.8 КоАП РФ, если потребителю откажут в заключении, исполнении, изменении или расторжении договора в связи с непредставлением своих ПД. Это повлечет штрафы для должностных лиц – в размере от 5 тыс. до 10 тыс рублей, а для компаний – от 30 до 50 тыс. рублей.