Обработка персональных данных
С 1 сентября 2022 вступает в силу закон, который ужесточает правила обработки персональных данных (Федеральный закон от 14.07.2022 № 266-ФЗ).
Что относится к персональным данным
Персональные данные — это любая информация, которая относится к конкретному человеку (субъекту персональных данных).
К персональным данным относятся - фамилия, имя, отчество, мобильный телефон, email, адрес проживания, фотография, паспортные данные, другие сведения, позволяющие идентифицировать человека.
Биометрические персданные — это данные о биологических и физиологических особенностях организма: фотография, видеоизображение человека, отпечатки пальцев, скан радужной оболочки глаза, ДНК-тесты, запись голоса.
Кто может обрабатывать персональные данные
Обработка персональных данных – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных.
Любой работодатель - оператор персональных данных.
Также операторами являются интернет-магазины, онлайн-школы и т.п.
Кто должен регистрироваться в Роскомнадзоре
Отчитываться в Роскомнадзор должны ООО и ИП, обрабатывающие личные данные, которые принадлежат:
— работникам;
— контрагентам, когда их персданные нужны для исполнения договора;
— лицам, которые разрешили передавать персданные третьим лицам;
— лицу, которое нужно однократно пропустить на территорию компании;
— лицу, которое предоставляет о себе данные только о фамилии, имени и отчестве.
Если компания осуществляет сбор персданных без применения средств автоматизации, записывая их, скажем, в бумажный журнал, книгу или тетрадь, то уведомлять Роскомнадзор не нужно (п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Если же персданные планируется заносить в компьютер, планшет или смартфон, то читаем дальше.
Регистрация на сайте Роскомнадзора
1. Для начала проверьте, есть ли ваша компания в реестре операторов персональных данных на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/operators-list/
Для этого достаточно ввести в поисковой строке название или ОГРН компании.
Если организация уже включена в реестр операторов, она должна не позднее 15.09.2022 уведомить Роскомнадзор о новой цели обработки персональных данных «Обработка в рамках трудовых отношений».
2. Если компании в реестре нет, подайте уведомление о начале обработке персданных (приказ Роскомнадзора от 30.05.2017 № 94, ч. 3 ст. 22 Закона № 152-ФЗ) https://pd.rkn.gov.ru/operators-registry/notification/form/
Представить такое уведомление можно как на бумаге лично или по почте, так и в электронном виде на сайте РКН или госуслуги.
3. Через 30 дней проверьте, включили ли вас в реестр https://pd.rkn.gov.ru/operators-registry/notification_check/
4. За непредставление или несвоевременное представление уведомления установлен штраф в размере:
- от 3 000 руб. до 5 000 руб. – для организаций;
- от 300 руб. до 500 руб. - для должностных лиц (ст. 19.7 КоАП).
5. Работники Роскомнадзора оказались не готовы к такому наплыву операторов. Сайт висит, отправить уведомление удается не всем.
Моим коллегам удалось дозвониться до некоторых местных отделений РКН. Ответы разнятся от "До 1 сентября, потом штрафы" до "Пока ничего не высылайте, мы ждем инструкции из Москвы"
На сайте Роскомнадзора, наконец, прояснили ситуацию со сроками регистрации.
Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.
Изменения сведений, указанных при регистрации
Если сведения, указанные в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор в течение 10 рабочих дней с момента изменения сведений или прекращения обработки данных.
Сообщаем через информационное письмо.
Проверки Роскомнадзора
Контролеры из Роскомнадзора могут проверять правильность составления документов, определяющих политику компании по обработке персданных (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ).
Раньше обязательных требований к оформлению таких документов не было, только рекомендации.
Теперь в законе сказано, что для каждой цели обработки в документе нужно определить категории и перечень субъектов персональных данных, а также способы, сроки обработки и хранения данных, порядок уничтожения.
Все эти правила компания может оформить в виде одного документа или разбить их на отдельные локальные акты.
Документы для проверки - Политика защиты и обработки персональных данных и Приказ об утверждении Политики защиты и обработки персональных данных
Утечка персональных данных
Компания обязана сообщать об утечке персданных в Роскомнадзор сразу же, как только это обнаружит (ч. 3.1 ст. 21 Закона № 152-ФЗ).
Затем в течение 24 часов нужно сообщить о возможных причинах и вреде, причиненном нарушением, и отчитаться о принятых мерах.
Результаты внутреннего расследования и данные обо всех обнаруженных виновниках инцидента надо будет представить в Роскомнадзор в течение 72 часов.
Отзыв физлицом своих персональных данных
Физическое лицо может запросить какие персданные находятся в распоряжении компании.
Ответ должен быть предоставлен в течение 10 рабочих дней (ч. 3 и 7 ст. 14 Закона № 152-ФЗ).
Компания должна прекратить обработку персданных в течение 10 рабочих дней с момента, когда этого потребует физлицо (ст. 5.1 Закона № 152-ФЗ).
Если этого не сделать, компанию могут оштрафовать на сумму от 300 000 руб. до 500 000 руб. (п. 5 ст. 13.11 КоАП).
Подпишись на рассылку "Ваш налоговый консультант" и получи подарок и доступ к закрытым разделам сайта.
ПОДПИСАТЬСЯ
Читайте меня в ВКонтакте, в Telegram , в TenChat или на Яндекс.дзен
