С 1 сентября 2022 года 152-ФЗ изменился: как работать с персональными данными по новым правилам

Если вы разместили в интернете формы для обратной связи, регистрации на сайте, заказа товара, подписки на рассылку, авторизации через соцсети, значит вы — оператор персональных данных (ПД). 

Порядок работы с ПД регламентирован в 152-ФЗ. С 1 сентября вступили в силу поправки в этот закон.

Законодательные требования ужесточились. Новые правила гарантируют сохранность личной информации и расширяют полномочия госорганов, в первую очередь Роскомнадзора. У бизнеса стало больше обязанностей, игнорирование которых приведёт к весомым штрафам, вплоть до полумиллиона. 

Рассказываем о поправках в 152-ФЗ и как теперь работать с персональными данными. Ключевая информация в сжатом виде собрана в последнем разделе: переходите к нему, если ограничены во времени. 

Обновить согласия на обработку ПД, политику конфиденциальности и локальные акты

Что изменилось в законе. Закон утвердил принципы договора с субъектом персональных данных. Договор не должен: 

• содержать положения, которые ограничивают права и свободы. 

• устанавливать случаи обработки ПД несовершеннолетних, кроме некоторых случаев, например сбора данных образовательными организациями. 

• предусматривать заключение при бездействии лица. 

От пользователя требуется активное выражение согласия на сбор и обработку ПД. К примеру, он поставит галочку в чекбоксе, под которым размещена ссылка на текст согласия и политики конфиденциальности.

Вводится дополнительное требование к согласию: оно должно быть предметным и однозначным. 

Что нужно сделать бизнесу. Доработать тексты договоров с клиентами, согласий, политики обработки ПД и пользовательских соглашений в соответствии с новыми принципами.

Альбина Кудрявцева, юрист для онлайн-школ и онлайн-проектов Закрепите в согласии чёткую цель сбора персональных данных — это и есть предметность. Например, организация собирает данные и передаёт в банк для начисления зарплаты. Значит, в согласии нужно указать “перечисление заработной платы” в качестве цели и наименование банка. Однозначность подразумевает ясное и конкретное выражение согласия — без вариантов.

Для каждой цели сбора персональных данных пропишите в политике конфиденциальности: 

• категории персональных данных и их субъектов;

• способы, сроки обработки и хранения;

• порядок уничтожения ПД. 

Целями сбора может быть заключение договора, оказание услуг, рекламная кампания. 

Проверьте, чтобы политика конфиденциальности была опубликована на всех страницах сайта, на которых идёт сбор личной информации. 

Ответственность. За обработку ПД с нарушением требований к согласию юридическое лицо будет оштрафовано на сумму от 30 до 150 тысяч. За повторное нарушение штраф составит до полумиллиона. 

Несоблюдение правил опубликования политики конфиденциальности влечёт для организации штраф до 60 тысяч рублей. 

Обновлённый 152-ФЗ основан на принципе экстерриториальности. Он распространяется не только на отечественных операторов, но и на иностранных юридических и физлиц, если они обрабатывают личные данные россиян на основании договора или с их согласия.

Уведомлять Роскомнадзор о начале обработки, изменении или завершении обработки ПД

Что изменилось в законе. Все операторы персональных данных обязаны подать уведомление в Роскомнадзор и вступить в единый реестр операторов. Из этого правила есть исключения, причем с 1 сентября исключений стало меньше. Можно не уведомлять Роскомнадзор, если:

1. Данные обрабатываются в целях защиты безопасности государства и общественного порядка, а также транспортной безопасности.

2. Оператор обрабатывает данные исключительно без средств автоматизации. 

Также организации обязаны информировать Роскомнадзор о прекращении обработки ПД или об изменении ранее представленной информации. На выполнение требования закон отводит десять рабочих дней. 

Что нужно сделать бизнесу. Если вы собираетесь обрабатывать персональные данные, отправьте уведомление в территориальный орган Роскомнадзора. Удобнее всего сделать это через официальный портал. Можно сформировать бумажный документ и отправить по почте, либо направить онлайн с помощью электронной подписи или Госуслуг. 

Не забывайте в 10-дневный срок сообщать госоргану об изменениях в ПД или о прекращении их обработки. Все необходимые формы уведомлений есть в Приложениях к Приказу Роскомнадзора от 30.05.2017 № 94.  

Ответственность. За непредставление сведений госорганам предусмотрен штраф: для должностных лиц — от 300 до 500 руб., для организаций — от 3 тысяч до 5 тысяч руб. 

Уведомлять госорганы об утечке ПД

Что изменилось в законе. Поправки в 152-ФЗ приняты для большей сохранности личной информации россиян. И это оправдано: утечки персональных данных стали обычным явлением.

Милош Вагнер, замглавы Роскомнадзора С начала 2022 года произошло уже более 40 крупных утечек баз данных, в результате которых скомпрометировано свыше 300 млн записей.

В сеть попали личные данные пользователей Озона, Почты России, СДЭК, а Яндекс Еду уже дважды штрафовали за это. 

Утечка ПД в законе поименована как инцидент. Если инцидент случился, необходимо: 

1. В течение 24 часов сообщить в Роскомнадзор: объяснить причины неправомерной или случайной передачи персональных данных, потенциальный вред и какие меры приняты.

2. Расследовать инцидент в течение 72 часов и отчитаться о результатах. 

Что нужно сделать бизнесу. Проработать процедуру: кто из сотрудников отвечает за уведомление службы, кто — за расследование. Формы уведомлений есть на сайте Роскомнадзора — воспользуйтесь ими. 

Также организации должны передавать информацию об инцидентах в Госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Регламента взаимодействия с ними пока нет: в скором времени его разработает ФСБ. 

Ответственность. За непредставление сведений должностное лицо будет оштрафовано на 500 руб., компания — на 5 тысяч. 

Обновить положения, касающиеся получения биометрических ПД 

Что изменилось в законе. Предоставление биометрии не является обязательным условием для заключения договора. Исключения связаны лишь с осуществлением правосудия и исполнением судебных актов. В остальных случаях оператор не имеет права отказать пользователю в обслуживании, если тот не хочет сдавать, например, отпечаток пальца.  

Что нужно сделать бизнесу. В текст договора с клиентами добавить пункт «Предоставление биометрических персональных данных не является обязательным. Отказ в их предоставлении не влечет отказа оператора в обслуживании». 

Ответственность. Наказание за обработку ПД, не предусмотренную законодательством,  закреплено в ст. 13.11 КоАП. Должностное лицо оштрафуют на сумму от 10 до 20 тысяч, а компанию — на сумму от 60 до 100 тысяч рублей. 

Биометрическая идентификация, наравне с открытым банкингом и искусственным интеллектом, помогает снижать издержки и повышать эффективность финуслуг. Но только, если действовать в рамках закона. Прочтите, как выдержать баланс между внедрением технологий и требованиями госорганов. 

Быстрее отвечать на запросы субъектов

Что изменилось в законе. Пользователи имеют право запрашивать у оператора разную информацию: для каких целей собирают их данные, у кого есть к ним доступ, где находится оператор и т.д. Раньше компания должна была отвечать на обращения в течение месяца, теперь — в течение десяти рабочих дней. Срок может быть продлен на пять дней. 

Что нужно сделать бизнесу. Закрепить во внутренних документах, что срок реагирования на запросы пользователей составляет десять дней, и проинформировать об этом сотрудников. 

В аналогичный срок оператор обязан прекратить обработку данных по требованию пользователя. 

Ответственность. Если компания проигнорирует запрос пользователя или затянет сроки, ее оштрафуют на сумму от 40 до 80 тысяч. Для должностных лиц штраф составит до 12 тысяч, для ИП — до 30 тысяч. 

По-новому составлять поручение обработчику ПД

Что изменилось в законе. Оператор может поручить обработку данных третьему лицу — обработчику. К примеру, оператором является фирма-работодатель, а обработчиком — кадровое агентство. Обработчик обязан соблюдать секретность работы с информацией. Закон конкретизировал, что нужно включить в текст поручения. 

Что нужно сделать бизнесу. Если передаёте персональные данные на обработку третьим лицам, в тексте поручения пропишите:

• перечень ПД;

• перечень операций с ними;

• цели обработки;

• обязанность соблюдать конфиденциальность;

• обязанность по запросу оператора отчитаться о мерах, принятых для сохранения секретности;

• обязанность использовать для записи и хранения ПД российские базы;

• требования к защите обрабатываемых ПД. 

Зарубежная компания-обработчик отвечает перед субъектами персональных данных наравне с оператором. 

Изменения в 152-ФЗ с 1 марта 2023 года 

С 1 марта 2023 года начнут действовать дополнительные правила работы с персональными данными. 

Правило о трансграничной передаче ПД. Под трансграничной подразумевается передача данных через границу иностранным операторам. 

Роскомнадзор утвердит список стран, которые обеспечивают адекватную защиту прав субъектов персональных данных. Прежде всего, это страны Конвенции Совета Европы о защите физлиц при автоматизированной обработке данных: Болгария, Польша, Литва, Словения, Турция, Украина, Великобритания и т.д. 

До начала трансграничной передачи российская компания обязана уведомить Роскомнадзор. Служба примет решение: разрешить или запретить передачу данных иностранному оператору. Подать уведомление можно через специальный портал. Нужно успеть до 1 марта 2023 года. 

Специальная процедура оценки вреда. Ст. 18.1 ФЗ «О персональных данных» перечисляет меры, направленные на сохранность ПД. Среди них есть пункт «оценка вреда, который может наступить в случае нарушения 152-ФЗ». До сих пор регламента проведения оценки не было. К 1 марта 2023 года Роскомнадзор должен разработать такой регламент. Соответственно, операторы обязаны будут действовать по утверждённой процедуре. 

Об обновлении 152-ФЗ коротко

1. Персональные данные — это любая информация, которая идентифицирует человека: ФИО, дата рождения, номер телефона, адрес почты. Если компания собирает персональные данные клиентов и пользователей, то считается их оператором и обязана соблюдать 152-ФЗ. 

2. Поправки в 152-ФЗ должны минимизировать утечки личной информации. Если утечка всё же произошла, в течение суток необходимо оповестить Роскомнадзор. А в течение трёх — расследовать инцидент и отчитаться о результатах. В скором времени ФСБ разработает порядок взаимодействия с ГосСОПКой: её тоже надо будет информировать об инцидентах. 

3. До начала обработки ПД отправьте уведомление в Роскомнадзор. Их же следует поставить в известность, если произошли изменения в персональных данных, либо вы прекратили их обрабатывать. Все формы уведомлений есть в Приказе, срок — десять рабочих дней. 

4. Обновите согласия на обработку персональных данных, политику конфиденциальности и все локальные акты в этой сфере. Уберите положения, которые ограничивают права пользователей, пропишите цели сбора ПД. 

5. На запросы пользователей отвечайте в течение десяти дней. В этот же срок прекратите обрабатывать личную информацию, если человек на этом настаивает. 

6. Не отказывайте клиенту в обслуживании, ссылаясь на его отказ сдать биометрию: это нарушение 152-ФЗ. 

7. До 1 марта 2023 года организация, которая передаёт ПД через границу, обязана получать одобрение Роскомнадзора. Подать уведомление можно через официальный портал. Если служба не даст разрешения, трансграничную передачу персональных данных придётся прекратить, а ранее переданные сведения — уничтожить.