• Телеграмм
  • Одноклассники
  • В Контакте
  • twitter
  • whatsapp
  • #
  • #
Записаться на прием
  • #
    95% Успешных дел
  • #
    Разумные цены
  • #
    Комплексный подход
  • #
    20 лет опыта

ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СОВРЕМЕННЫХ РЕАЛИЯХ: ЧТО НУЖНО ЗНАТЬ РУКОВОДИТЕЛЮ

ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СОВРЕМЕННЫХ РЕАЛИЯХ: ЧТО НУЖНО ЗНАТЬ РУКОВОДИТЕЛЮ

Вопрос регулирования процесса обработки персональных данных актуален для любой организации, которая продает товары, выполняет работы, оказывает услуги. В первую очередь это связано с тем, что обработке подлежат персональные данные работников, в частности, предоставляемые при заключении трудовых договоров. Помимо этого, обработке подлежат данные посетителей веб-сайтов организаций, которые оставляют персональные сведения о себе на сайте, в том числе в форме для обратного звонка.

Нарушение законодательных положений может привести к наступлению ответственности. С 1 сентября 2022 года в силу вступили положения, изменяющие и дополняющие законодательство о персональных данных. Поэтому ниже мы рассмотрим то, что нужно учитывать руководителю организации при соблюдении законодательства о персональных данных, чтобы не платить штрафы.

Что такое персональные данные?

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному/определяемому физическому лицу (субъекту персональных данных).

Основные тезисы законодательства о персональных данных:

  1. Оператором персональных данных является, в том числе, юридическое или физическое лицо,  самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  2. Обработка персональных данных должна осуществляться с согласия субъекта персональных данных, за исключением случаев, прямо установленных законами. При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Что изменилось с 1 сентября 2022 года в законодательстве о персональных данных?

  1. Сокращены случаи обработки персональных данных без уведомления, т.е. возникла необходимость уведомления Роскомнадзора об обработке персональных данных в тех ситуациях, когда ранее это не требовалось.

С 1 сентября 2022 года из закона исключено большинство случаев обработки персональных данных без уведомления уполномоченного органа – Роскомнадзора. Иными словами, теперь в случае, если оператор персональных данных намеревается обрабатывать или обрабатывает персональные данные, в частности:

– в соответствии с трудовым законодательством;

– и/или в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

– и/или включающих в себя только фамилии, имена, отчества субъектов, и/или др., оно обязано уведомить уполномоченный орган.

На настоящий момент предусмотрено всего 3 случая, когда оператор может осуществлять обработку персональных данных без уведомления:

  • обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обработка персональных данных без использования средств автоматизации;
  • обработка персональных данных в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Уполномоченный орган в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов.

  1. Конкретизированы требования о содержании локальных актов организации в области обработки персональных данных.

Закон указывает, что такие акты должны содержать ряд положений, в том числе:

– категории и перечни обрабатываемых данных;

– категории субъектов персональных данных;

– способы и сроки обработки, хранения этих данных;

– порядок их уничтожения.

Эти положения нужно установить для каждой цели обработки персональных данных.

  1. Расширены требования к согласию на обработку персональных данных.

В число требований к такому согласию было включено то, что оно должно быть предметным и однозначным. Если получение согласия обязательно, организация должна разъяснить лицу последствия не только отказа в предоставлении данных, но и отказа дать согласие на их обработку.

Важно: если в организации для обеспечения пропускного режима и удостоверения личности работника используется его фотография, такие данные являются биометрическими, а значит, работник должен дать согласие на их обработку.

Нововведения также коснулись вопросов:

а) компрометации персональных данных (зафиксированы обязанности оператора персональных данных, а также сроки проведения расследования в случае компрометации персональных данных);

б) поручения обработки персональных данных другому лицу;

в) порядка прекращения обработки персональных данных по требованию физического лица (в срок, не превышающий 10 рабочих дней, оператор персональных данных обязан прекратить обработку персональных данных или обеспечить прекращение обработки; при этом такой срок может быть продлен не более, чем на 5 рабочих дней);

г) обработки персональных данных потребителей;

д) требований к договору, для исполнения которого нужны персональные данные, и др.

Обращаем отдельное внимание на то, что в случае, если оператор персональных данных (организация) собирает персональные данные граждан через сайт, необходимо проверить, опубликованы ли на сайте политика конфиденциальности и сведения о реализуемых компанией требованиях к их защите, и если да, то где именно. Такая информация должна быть опубликована, в том числе, на страницах сайта, где непосредственно идет сбор персональных данных (например, на страницах с формами, которые заполняют пользователи). Так, например, если на сайте организации есть форма «Заказать обратный звонок», в которой необходимо оставить персональных данные, то под этой формой рекомендуем разместить текст следующего содержания: «Нажимая на кнопку «Отправить», Вы даете согласие на обработку своих персональных данных»,  а ниже – гиперссылку на текст политики конфиденциальности.

Подводя итог краткой справки по законодательству о персональных данных и внесенных в него изменений, рекомендуем проанализировать локальные акты в области обработки персональных данных на предмет соответствия действующему законодательству, дополнив их при необходимости новыми положениями, а также уделить внимание сайту организации, если посредством него обрабатываются персональные данные.

Напоминаем, что в зависимости от уровня угроз безопасности персональных данных необходимо обеспечивать определенный уровень защищенности, а за нарушение законодательства в области персональных данных предусмотрена административная ответственность по ст. 13.11 КоАП РФ в виде штрафа.

  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
Договор публичной оферты с приложением
Наш сайт использует cookie (файлы с данными о прошлых посещениях сайта), а также метрические программы Яндекс.Метрика, Яндекс.Вебмастер, для персонализации сервисов и удобства пользователей. Продолжая использовать наш сайт, вы даете согласие на обработку, в т.ч. с помощью метрических программ Яндекс.Метрика, Яндекс.Вебмастер, ваших пользовательских данных