Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно , который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Кто такие операторы персональных данных и чем они занимаются?

Для начала стоит разъяснить основные понятия. В Федеральном законе от 27.07.2006 № 152-ФЗ предлагается следующее определение понятию персональные данные: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Сама формулировка определения ясно говорит о том, что исчерпывающего списка, который бы четко регламентировал, какая информация будет считаться персональными данными, а какая нет, не существует. Иными словами, для идентификации гражданина в одной ситуации необходимо будет знать ФИО и контактный номер, а в другом случае может понадобиться его удостоверение и адрес регистрации.

На основании этого можно заключить, что оператором персональных данных будет являться государственный или муниципальный орган, юридическое или физическое лицо, которое занимается сбором, хранением и обработкой персональных данных. Более того, в Роскомнадзоре придерживаются позиции, что организация становится оператором персональных данных непосредственно в тот момент, когда начинает обрабатывать информацию. Поэтому не имеет значения подала ли организация уведомление, получила ли она официальных статус — в глазах ведомства компания стала оператором персональных данных в тот момент, как пользователь заполнил форму обратной связи на сайте.

Таким образом, в каждой сфере есть операторы персональных данных, потому что они используют и обрабатывают сведения, по которым можно идентифицировать гражданина: магазины, салоны красоты, государственный автоматизированные системы, медицинские учреждения и образовательные организации. И поэтому все они должны определенные правила, установленные законом закону № 152-ФЗ:

• разъяснять человеку, какие данные и для каких целей будут собраны;
• обнародовать документы, касающиеся обработки персональных данных;
• обеспечивать защиту персональных данных (в том числе уничтожать записи, если субъект ПД докажет, что сведения были получены незаконным путем или блокировать доступ к сведениям по запросу).

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

• основание и цель сбора персональных данных;
• наименование, контактные данные и адрес;
• информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
• виды данных для обработки и источники их получения;
• сроки обработки и хранения персональных данных;
• способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
• информация о передаче данных за пределы России.

Регистрация в реестре Роскомнадзора: цена вопроса

ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.

Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

При отправке уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять уведомление об обработке персональных данных в письме с распечатанным уведомлением или достаточно заполнить электронную форму на портале Роскомнадзора.

Особенности заполнения уведомления

Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.

Чтобы регистрация прошла успешно, в документе предстоит указать:

• территориальное управление РКН и тип оператора;
• наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
• фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
• сведения о филиалах (если имеются);
• ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
• правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
• цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
• категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
• принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
• условия окончания процесса обработки либо конкретные сроки;
• перечень совершаемых операций;
• способ обработки сведений;
• наличие или отсутствие трансграничной передачи ПДн;
• информация о центре обработки данных — указываются отдельно для каждой ИС;
• ответственное за организацию обработки персональных данных лицо и исполнитель.

Кто такие операторы персональных данных, и чем они занимаются

Персональные данные (ПД) — это личностные сведения, принадлежащие физическому лицу. Они могут быть прямыми и косвенными, а их объем (перечень) зависит от возраста человека. Например, у ребенка дошкольного возраста ПД совсем мало, а у пожилого человека, владеющего движимым и недвижимым имуществом — много. Вот перечень основных, общедоступных и специальных, персональных данных:

Оператор — это управляющий чем-либо. В случае использования личных сведений гражданина, оператором ПД становится любое должностное, юридическое или физическое лицо. Например, ГИБДД, ФССП, ИФНС, банки, ТСЖ, интернет-магазин, салон-парикмахерская, ваши родственники и друзья, но только в случае обработки информации или ее передачи третьим лицам (ч. 2 ст. 3 № 152-ФЗ «О персональных данных»).

Однако писать заявление в реестр операторов персональных данных и становиться его резидентом из-за передачи номера телефона или адреса электронной почты своего друга знакомому не стоит. База существует для тех, кто ведет обработку, автоматизацию, распространение, блокирование и уничтожение личных сведений граждан.

Когда не нужно получать согласие на обработку персональных данных

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

• осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
• осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
• осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
• необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
• необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
• осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
• осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Кто такие операторы персональных данных, и чем они занимаются

Персональные данные (ПД) — это личностные сведения, принадлежащие физическому лицу. Они могут быть прямыми и косвенными, а их объем (перечень) зависит от возраста человека. Например, у ребенка дошкольного возраста ПД совсем мало, а у пожилого человека, владеющего движимым и недвижимым имуществом — много. Вот перечень основных, общедоступных и специальных, персональных данных:

Оператор — это управляющий чем-либо. В случае использования личных сведений гражданина, оператором ПД становится любое должностное, юридическое или физическое лицо. Например, ГИБДД, ФССП, ИФНС, банки, ТСЖ, интернет-магазин, салон-парикмахерская, ваши родственники и друзья, но только в случае обработки информации или ее передачи третьим лицам (ч. 2 ст. 3 № 152-ФЗ «О персональных данных»).

Однако писать заявление в реестр операторов персональных данных и становиться его резидентом из-за передачи номера телефона или адреса электронной почты своего друга знакомому не стоит. База существует для тех, кто ведет обработку, автоматизацию, распространение, блокирование и уничтожение личных сведений граждан.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

Объявляю вас оператором персональных данных

Согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица. Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются. Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.

Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.

Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных. Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.

В методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 РКН рекомендует указывать в уведомление об обработке персональных данных виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.

Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:

«работники, состоящие в трудовых отношениях с оператором»

«физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с оператором»

Если в уведомлении, направляемом в Роскомнадзор, произошли изменения, оператору персональных данных необходимо направить информационное письмо в течение 10 рабочих дней с момента возникновения поправок.

Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.

Если установится факт размещения в реестр операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений в уведомление об обработке персональных данных. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса.

Далее мы рассмотрим образец письма в Роскомнадзор, где заполнять необходимо только те поля, в которые вносятся изменения. Поля, отмеченные *, обязательны для заполнения.

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

• организующие и (или) осуществляющие обработку ПД;
• определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

• ФИО
• дата рождения
• адрес
• телефон
• электронный адрес
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Какие сведения указываются в уведомлении?

В уведомлении указываются следующие сведения:

• наименование (фамилия, имя, отчество), адрес оператора;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки;
• перечень действий с персональными данными, описание используемых способов обработки персональных данных;
• описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
• фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
• дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных;
• сведения о месте нахождения базы данных;
• сведения об обеспечении безопасности персональных данных.

Реестр операторов персональных данных Роскомнадзора

Из статьи можно узнать, что такое реестр операторов персональных данных Роскомнадзора, как новых операторов включают в этот реестр, где посмотреть данные и что учесть.

Реестр операторов персональных данных Роскомнадзора – это список организаций, которые осуществляют обработку сведений о физических лицах. Закон относит к такой информации сведения о физическом лице, в том числе:

• фамилия, имя, отчество;
• год, месяц, дата рождения;
• место рождения;
• адрес;
• семейное положение;
• социальное положение;
• имущественное положение;
• образование, профессия, доходы;
• другая информация (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, п. 2.5 приказа Роскомнадзора от 30.05.2017 № 94).

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Похожие записи:

• Наследники — в очередь: как разделить недвижимость без завещания
• Утилизация эльдорадо 2022 условия сроки акции
• Получение сертификата на жилье по программе в зоне ЧАЭС