Содержание
- Что закон подразумевает по ПД и их обработкой
- Оператор персональных данных
- Обязанности оператора ПД
- Кому нужно подавать Уведомление в РКН с 2022 года и исключение из правил
- Какие еще изменения в работе с ПД начали действовать с 2022 года
- Заполнение Уведомления в Роскомнадзор
- — Цели обработки и категории ПД
— Способы отправки Уведомления в РКН - Как узнать, является ли организация оператором ПД
- Ответственность за нарушение законодательства в области персональных данных
- Юридическая помощь от «Права в сети»
В период цифровизации особо остро стоит вопрос защиты персональных данных (ПД). Законодательством установлены правила сбора, хранения и обработки такой информации, а также ответственность за нарушения требований. Разберемся, что относится к ПД, кто считается оператором персональных данных, какие у него обязанности, и какие документы надо отправлять в Роскомнадзор.
Что закон подразумевает под ПД и их обработкой
К ПД относятся любые сведения, которые позволяют идентифицировать человека, например, ФИО, адрес, паспортные данные, ИНН, номер телефона, email и т.д.
Обработка персональных данных — это любые действия, связанные с ПД, например, сбор, хранение, систематизация, блокирование, удаление.
Оператор персональных данных
Начнем с формулировки из закона № 152-ФЗ от 27.07.2006.
Это значит, что к оператору ПД относятся все юрлица, ИП и физлица, независимо от организационно-правовой формы, кто любым способом получает информацию о физических лицах и как-то с ней работает. Например, это могут быть данные:
- сотрудников;
- покупателей и заказчиков;
- участников каких-то мероприятий;
- учеников, студентов и т.п.
Примеры способов сбора ПД:
- форма подписки, где запрашивается email;
- регистрация на сайте;
- заполнение заявлений и других бланков в бумажном виде;
- профиль в соцсетях и другое.
Вывод: если у организации или ИП есть клиенты и сотрудники, персональные данные которых собираются, хранятся и обрабатываются, значит, компания относится к операторам ПД.
Обязанности оператора ПД
Основные обязанности оператора ПД установлены главой 4 Федерального закона «О персональных данных», среди них:
- Предоставление тем, у кого собирают ПД, информации о способах и целях обработки данных.
- Разъяснение последствий отказа от предоставления ПД.
- Информирование физлиц о реквизитах оператора ПД, перечне обрабатываемых данных, цели их обработки и источнике получение в случаях, когда персональные данные получены не от самого физлица, а от посредников.
- Уточнение сведений при выявлении неточности в ПД.
- Блокировка обработки ПД, если выявлено, что обработка была неправомерной.
Есть еще одна обязанность — сообщать в Роскомнадзор (РКН) о работе с ПД. Уведомить надзорный орган обязаны и работодатели, которые обрабатывают только личные данные своих подчинённых.
Кому нужно подавать Уведомление в РКН с 2022 года и исключения из правил
До 01.09.2022 законодательство позволяло обрабатывать ПД без специального уведомления в таких случаях:
- при заключении с работником трудового договора;
- в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в аналогичных целях;
- когда физлицо согласилось с обработкой своих персональных данных, подписав соответствующее согласие;
- когда полученные оператором персональные данные включали в себя только сведения о фамилии, имени и отчестве субъекта персональных данных.
Однако с 1 сентября 2022 года в Федеральный закон РФ «О персональных данных» были внесены изменения, которые обязали практически всех операторов ПД направлять уведомления в Роскомнадзор.
Исключения. Оператор ПД может не уведомлять РКН, если:
- ПД есть в государственных информационных системах персональных данных, созданных для обеспечения безопасности страны и общественного порядка (например, информационные системы органов правопорядка).
- ПД обрабатываются без средств автоматизации (например, запись информации о посетителях организации в бумажный журнал).
- ПД обрабатываются в ситуациях, предусмотренных законами о транспортной безопасности.
Обратите внимание! Из разъяснений Роскомнадзора следует, что направить уведомление до сентября 2022 года должны были:
- повторно те операторы, кто когда-то уже отправлял документ;
- первый раз, у кого эта обязанность появилась с 01.09.2022.
Какие еще изменения в работе с ПД начали действовать с 2022 года
Оператор персональных данных с 01.09 2022 обязан направлять уведомление не позднее 10 рабочих дней, а не в течение 30 календарных дней, как было раньше.
Также в законодательстве закрепили, какие сведения должны быть в локальных актах оператора ПД. К таким сведениям относятся:
- категории и перечни обрабатываемых данных;
- категории субъектов данных;
- способы, а также сроки обработки и хранения данных;
- порядок уничтожения ПД.
Важное изменение — это запрет отказывать человеку в оказании услуги из-за того, что он не предоставил свои ПД и не дал согласие на их обработку. Такая же норма была внесена в Закон РФ «О защите прав потребителей». В случае нарушений будет разбираться Роспотребнадзор или суд.
С сентября 2022 года все положения Федерального закона РФ № 152-ФЗ распространяются и на иностранные организации, а также физлица, которые используют данные физических лиц.
Заполнение Уведомления в Роскомнадзор
Форму Уведомления можно скачать по ссылке: https://pd.rkn.gov.ru/operators-registry/notification/.
Информация, которая должна быть в документе:
- Сведения об операторе — тип оператора, наименование, адрес, контактные данные, ИНН, ОГРН и регион, на территории которого осуществляется обработка персональных данных.
- Цели обработки персональных данных и категории данных, в отношении которых осуществляется обработка.
- Категории субъектов, чьи персональные данные обрабатываются.
- Правовое основание обработки персональных данные.
- Перечень действий, совершаемых с персональными данными.
- Способы обработки.
Цели обработки и категории ПД
Оператор не может работать с ПД в целях, которые не указаны в Уведомлении. Срок хранения персональных данных также определяется целями обработки, если иной срок не установлен договором или законом. Несмотря на такие ограничения, все-таки рекомендуем в разделе «Цели обработки ПД» перечислять только те категории данных, которые в действительности обрабатываются оператором.
Не стоит указывать лишнюю информацию, которая может пригодиться в будущем. Если в процессе деятельности ИП или юридического лица цели и категории обрабатываемых персональных данных будут меняться, лучше направить в Роскомнадзор дополнительное Уведомление.
Категории персональных данных, которые могут быть отмечены оператором в Уведомлении:
Способы отправки Уведомления в РКН
Есть три варианта:
- По почте. Документ заполняют с помощью онлайн-формы на сайте РКН. После этого документ распечатывают, подписывают и отправляют почтой с описью вложения.
- На сайте Роскомнадзора. Заполненная онлайн-форма подписывается усиленной квалифицированной подписью.
- Через портал Госуслуг. Перед отправкой необходимо пройти процедуру аутентификации.
Подскажем, нужно ли вам отправлять Уведомление в РКН, и как это сделать — просто оставьте заявку на бесплатную консультацию.
Как узнать, является ли организация оператором ПД
Сведения об операторах ПД включаются в общедоступный единый перечень операторов. По ссылке https://pd.rkn.gov.ru/operators-registry/operators-list/ достаточно ввести ИНН, чтобы проверить, есть ли организация или ИП в списке операторов.
Ответственность за нарушение законодательства в области персональных данных
Статьей 13.11 КоАП установлена ответственность за такие нарушения:
- Обработка ПД в случаях, не предусмотренных законом, или несовместимая с целями сбора данных.
- Обработка ПД субъекта, который не давал письменного согласия на обработку.
- Необеспечение оператором доступа к документу, определяющему политику оператора в отношении ПД, или сведениям о способах защиты собранных данных.
- Несоблюдение обязанности по блокировке, обезличиванию, уточнению, уничтожению ПД в случаях, предусмотренных законом.
Размер штрафов за каждое нарушение определяется отдельно:
- для физических лиц от 700 до 5000 рублей;
- должностных лиц от 3000 до 20 000 рублей;
- индивидуальных предпринимателей от 5000 до 20 000 рублей;
- юридических лиц от 15 000 до 75 000 рублей.
Юридическая помощь от «Право в сети»
Юристы «Право в сети» проконсультируют, о том, как составить и отправить Уведомление в Роскомнадзор, а также помогут другие документы для вашего проекта:
- согласие на обработку ПД;
- политику конфиденциальности;
- пользовательское соглашение;
- договор или оферту.
Начните с бесплатной консультации — оставьте заявку, и мы свяжемся с вами.
Автор — Елена Артамонова, юрист «Право в сети»
