Все изменилось 1 сентября 2022 года: после внесения правок в закон № 152-ФЗ от 27.07.2006 «О персональных данных», которые обязали большую часть организаций встать на учет в Роскомнадзор.
В статье мы рассмотрим итоги первого года действия новой редакции закона и основные сложности, с которыми столкнется бизнес в 2024 году.
То, о чем никто не знает
На момент написания статьи, по данным Роскомнадзора, в реестре операторов, осуществляющих обработку персональных данных, зарегистрировано немногим более 900 тыс. операторов, что на первый взгляд много, но…
Оператором персональных данных является любое лицо, осуществляющее любые действия с персональными данными граждан, а так как сотрудники есть в каждой компании — это 100 % юридических лиц.
До сентября 2022 года от обязанности уведомлять уполномоченный орган освобождались операторы при обработке персональных данных:
в соответствии с трудовым законодательством;
полученных в связи с заключением договоров с гражданами;
относящихся к членам общественных или религиозных организаций;
разрешенных субъектом перс.данных для распространения;
ограничивающиеся ФИО;
необходимых для разового оформления пропусков.
Сейчас указанные поблажки исключены из закона, и единственное условие, позволяющее организации не уведомлять Роскомнадзор, — это обработка персональных данных без использования средств автоматизации, то есть на бумажном носителе, без использования компьютерной техники.
Будем откровенны, после появления таких сервисов как 1С: Бухгалтерия, Битрикс24, интернет-банкинг и электронный документооборот, найти компанию, работающую по старинке и имеющую право не подавать уведомление, довольно сложно.
Еще немного статистики. Сейчас в ЕГРЮЛ зарегистрировано более 3,2 млн. действующих юридических лиц, для большинства из которых уведомление Роскомнадзора должно стать такой же рутиной, как сдача отчетности в ФНС, Росстат или ФСС.
Принимая во внимание, что реестр Роскомнадзора ведется с 2009 года и содержит информацию не только о юридических, но и о физических лицах и индивидуальных предпринимателях, можно предположить, что не менее 80% компаний не знают или не хотят знать о новых правилах.
Уведомления Роскомнадзора при обработке персональных данных
На практике направление уведомления в уполномоченный орган не является невыполнимой задачей, и если поставить перед собой такую цель, то проблем возникнуть не должно.
Уведомление может быть направлено как в бумажном виде, так и в виде электронного документа, подписанного усиленной ЭЦП или средствами аутентификации ЕСИА (Госуслуги).
Сервис, представленный Роскомнадзором, позволяет заполнить форму уведомления прямо на портале, после чего можно распечатать, подписать его и нарочно подать в уполномоченный орган.
Уведомление об обработке персональных данных является не единственным, обязанность по направлению которого возникает у юридического лица. Законом предусмотрены иные уведомления:
об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных;
об осуществлении трансграничной передачи персональных данных;
о факте неправомерной или случайной передачи персональных данных.
Как видим, уведомлять Роскомнадзор придется о всех значимых фактах обработки перс.данных, и если трансграничной передачи или неправомерного распространения еще можно избежать, то с изменением сведений придется заморочиться.
Каждый раз, когда вы будете обрабатывать новые данные, например, пол, телефон, образование, работать с новыми субъектами персональных данных, например, соискатели или посетители сайта, придется уведомлять об указанном факте уполномоченный орган.
Уведомление об изменении необходимо подать не позднее 15 числа месяца, следующего за месяцем возникновения изменений.
Может возникнуть соблазн изначально подать максимально полное уведомление, которое будет содержать намерение обрабатывать все возможные персональные данные, однако здесь хотим предостеречь вас.
Во-первых, это потребует разработки большого количества локальных нормативных актов, о которых вы будете вспоминать только при проведении проверок.
Во-вторых, это сами проверки, вероятность которых может вырасти. При составлении графика проведения проверок в приоритетном порядке будут проверять компании с более сложной структурой обработки перс.данных.
Новые обязанности документооборота для юридических лиц
Поскольку большая часть юридических лиц обязана отчитаться перед Роскомнадзором, то и обязанностей по организации работы несомненно прибавится.
Для начала компания должна назначить сотрудника, ответственного за обработку персональных данных.
Должность не является формальной, сотрудник должен обладать достаточными знаниями и навыками, а также иметь реальную возможность осуществлять должностные обязанности.
В компании должна быть разработана локальная документация, регламентирующая работу с персональными данными. В ней детально расписываются все инструменты, используемые при работе с перс.данными, лица, имеющие доступ к информации о гражданах.
При этом документы желательно составлять для каждой категории перс.данных отдельно. В документах должны быть прописаны правовые, технические и организационные меры по защите персональных данных, которые реализуются компанией. И здесь кроется главная сложность.
Онлайн-сервис для комплексного юридического сопровождения деятельности компаний от создания до ликвидации
Доступный консалтинг от команды экспертов в удобном онлайн-формате для компании с любой организационно-правовой формой и любым уровнем сложности задач
Для выбора средств обеспечения защиты персональных данных при работе с информационными системами нужно определить требуемый уровень защиты.
Если на 4 уровне требования будут ограничиваться обеспечением безопасности помещений, использованием средств защиты информации и определением перечня лиц, имеющих доступ к перс.данным, то на 1 уровне потребуется создание структурного подразделения, ответственного за обеспечение безопасности персональных данных.
Любая ошибка при организации защиты может стать основанием для привлечения к административной ответственности в виде значительных штрафов как самой компании, так и должностных лиц, отвечающих за обработку персональных данных.
Соблюдение требований к обработке персональных данных должно проходить регулярные проверки и не только со стороны Роскомнадзора.
Закон требует от компании проводить регулярные проверки или аудит соответствия обработки перс.данных требованиям закона, который может проводиться как своими силами, так и с привлечением сторонних организаций.
Проблематика трансграничной передачи персональных данных
На фоне массового выезда российских граждан за пределы страны после начала СВО и действий недружественных стран по введению санкций в отношении этих самых граждан, принято решение ужесточить порядок передачи персональных данных в иностранные государства.
Если раньше степень защиты информации о гражданине на территории другой страны оператор определял самостоятельно, то теперь эта обязанность передана Роскомнадзору.
До начала трансграничной передачи персональных данных оператор обязан получить от принимающей стороны пакет документов и направить его с соответствующим уведомлением в Роскомнадзор.
Уполномоченный орган рассматривает уведомление в течение 10 рабочих дней и может принять решение о запрете или ограничении передачи персональных данных.
Соблюдение приведенного правила обязательно не во всех случаях. Существует перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в который вошли 90 стран, передача сведений на территорию которых не требует предварительного одобрения.
При работе с ними уведомление о трансграничной передаче направить все же придется, однако это не потребует представления дополнительных документов.
Однако если Роскомнадзор по итогу проверки придет к выводу о необходимости ограничить или запретить передачу персональных данных, придется обеспечить удаление информации её адресатом.
А теперь к практике.
Несмотря на четкие формулировки норм, как они должны реализовываться на практике — непонятно.
Например, передавая данные в страну, являющуюся стороной специальной Конвенции Совета Европы, при последующем запрете передачи данных Роскомнадзором законодатель требует обеспечить их удаление в том числе органами власти иностранного государства.
С учетом того, что к числу стран, ратифицировавших Конвенцию, относятся такие недружественные государства как Украина, Республика Польша, прибалтийские республики и др., каким образом наши компании должны исполнять требования закона остается неясным. Особенно странно такие поправки смотрятся на фоне приостановки Россией членства в Совете Европы.
Еще один немаловажный нюанс в том, что в перечень одобренных стран не вошло большое количество государств, с которыми связана значительная часть российского бизнеса.
В нем вы не найдете Соединенные Штаты Америки и большинство стран Ближнего Востока, которые последние годы активно осваиваются отечественными компаниями.
Прежде чем работать с ними в части передачи персональных данных, придется собрать значительный объем документов и дождаться ответа уполномоченного органа, что не всегда возможно. В итоге зачастую придется организовывать работу с учетом допустимого риска быть привлеченным к административной ответственности.
Несмотря на год, прошедший с момента внесения правок в закон № 152-ФЗ от 27.07.2006 «О персональных данных», ясности о том, как они должны исполняться, не прибавилось.
Очевидно, что для многих юридических лиц требования законодателя являются неподъемными, и усиление контроля со стороны уполномоченного органа приведет к массовому административному преследованию операторов персональных данных, а это, на минуточку, штрафы до 18 миллионов рублей.
Полагаем, что законопроект принимался в спешке, и стоит ожидать новых правок и разъяснений. Пока же стоит воспользоваться периодом, на который введен мораторий на проведение плановых проверок государственными органами, и насколько это возможно подготовить свою компанию к визиту Роскомнадзора.
Если у вас уже сейчас есть вопросы по работе с персональными данным и вы хотите заранее обезопасить свою компанию, то переходите на сайт компании «Консалтинг онлайн» и оставляйте заявку через кнопку «Бесплатная консультация».
Ваш запрос будет удовлетворен в кратчайшие сроки!
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KUX9G
