8 главных изменений в работе с персональными данными с 1 сентября

Это значит, что почти каждому бизнесу придется уведомлять Роскомнадзор и просить о включении в специальный реестр. А еще придётся сообщать об утечках, получать больше согласий от клиентов, пересмотреть политику обработки данных и договоры с гражданами. Короче: опять стало сложнее. Давайте разбираться. 

О чём вообще речь

Помогли разобраться эксперты Эвотора

Что такое персональные данные. Закон «О персональных данных» не говорит конкретно, какая информация о гражданах считается персональной. Это любые данные, которые прямо или косвенно относятся к конкретному человеку. То есть что угодно: 

• фамилия и имя; 
• номер телефона;
• адрес;
• электронная почта;
• страница Вконтакте;
• серия и номер паспорта;
• данные медкарточки;
• группа крови;
• фотография. 

Человек, информация о котором попадает к предпринимателям, называется субъектом персональных данных (далее — ПДн). Закон защищает его права: бизнес отвечает за сохранность любой информации о своих клиентах. 

Что такое обработка ПДн. Это любые действия с личной информацией о гражданах, включая сбор, запись, хранение, передачу и даже удаление. Сам факт, что данные к вам уже попали — это обработка. 

Кто обрабатывает ПДн. Личная информация о людях может попасть к кому угодно. Если это связано с работой, а не с семейными или личными делами, вы становитесь оператором персональных данных. Оператором может быть как крупный маркетплейс, так и самозанятый дизайнер на удалёнке. 

Ещё данные могут обрабатывать специальные обработчики. Это такие компании, которым оператор ПДн доверяет информацию на хранение и обработку. На это надо получать согласие граждан (п. 3 ст. 6 закона «О ПДн»). 

Раньше правила обработки ПДн действовали только для российских компаний и физлиц. По новым правилам операторами становятся также иностранные организации и физлица. 

Как стать оператором ПДн. Просто так обрабатывать личную информацию клиентов нельзя. Есть специальный реестр операторов ПДн. Обрабатывать персданные могут только организации, которые туда включены. Чтобы все было по закону, сначала надо попасть в этот реестр, и только потом собирать персональные данные. Для этого подают уведомление в Роскомнадзор. 

С вступлением в силу нового закона порядок работы с ПДн для бизнеса сильно изменился: появились новые правила, а старые стали жестче. Мы выделили 8 изменений, которые добавляют предпринимателям больше всего сложностей.

Изменение № 1: уведомлять Роскомнадзор нужно почти всем

Как было раньше. В п. 2 ст. 22 закона «О ПДн»  есть перечень случаев, при которых можно обрабатывать личные данные людей и не сообщать об этом Роскомнадзору. Раньше таких случаев было 9. Например, когда обрабатывали ПДн сотрудников по трудовому договору, только ФИО или информацию, которая нужна для выдачи разового пропуска на предприятие. 

Как сейчас. Количество исключений сократили до 3. Не нужно сообщать Роскомнадзору, если обрабатываете ПДн:

• Без средств автоматизации. Допустим, ведете базу клиентов в блокноте, а не на компьютере.
• Из информационных баз, созданных для защиты госбезопасности.
• В связи с требованиями законодательства о транспортной безопасности. 

Что это значит. Операторами ПДн стали все компании, которые заключают с физлицами договоры, включая трудовые, и ведут базы на компьютере. Например, теперь все компании, у кого есть хотя бы один сотрудник — операторы ПДн. Если это про вас, надо уведомить Роскомнадзор, вот анкета. Пока действует рекомендуемая форма, но скоро обещают утвердить общее для всех уведомление.  

Изменение № 2: согласие на обработку ПДн должно быть предметным и однозначным

Как было раньше. Обрабатывать ПДн предприниматели могут только с согласия субъектов данных — клиентов и сотрудников (п. 1 ст. 9 закона «О ПДн»). Раньше у такого согласия было всего 3 критерия: конкретность, информированность и сознательность. 

Как сейчас. К текущим 3 критериям добавили еще 2: предметность и однозначность. Что они означают и чем отличаются от первых трех, никто не объяснил. Разъяснений Роскомнадзора тоже нет. 

Что это значит. Лучше пересмотреть шаблоны согласий на обработку ПДн для клиентов и сотрудников. Цели получения личных данных надо сформулировать так, чтобы они были предметными и однозначными — хотя бы так, как вы это понимаете. 

Изменение № 3: появилась структура локальных актов об обработке ПДн

Как было раньше. В пп. 2 п. 1 ст. 18.1 закона «О ПДн» написано, что каждый оператор данных должен издавать внутренние документы по вопросам обработки ПДн. Обычно это положение, политика конфиденциальности. Раньше достаточно было составить такое положение, ничего конкретного о его содержании не говорилось. 

Как сейчас. В закон добавили требования к структуре таких положений. Теперь там надо указывать: 

• какие категории ПДн планируется обрабатывать; 
• чьи данные попадут оператору;
• как будут обрабатываться данные и как долго это будет происходить;
• как будут уничтожаться данные. 

Что это значит. Надо пересмотреть внутренние документы о ПДн и утвердить новые положения, если в структуре старых нет нужной информации. 

Изменение № 4: сократились сроки реагирования на запросы

Как было раньше. Если Роскомнадзор или субъект ПДн пишет компании запрос с просьбой предоставить какие-то сведения, которые касаются обработки личных данных, на ответ давалось 30 дней. 

Как сейчас. Время на ответ сократили до 10 дней с возможностью продления этого срока еще на 5 дней, если нужно время на сбор данных. Такой же срок установлен и для запросов о прекращении обработки ПДн. Если человек просит удалить его из базы, это нужно сделать тоже за 10 дней. 

Что это значит. Реагировать на запросы органов и граждан придется быстрее. В документах ничего менять не нужно. 

Изменение № 5: появились новые требования к поручению на обработку ПДн

Как было раньше. Если компания поручает хранение и работу с ПДн внешнему обработчику, она выдает письменное поручение. Раньше в таком поручении надо было уточнить, что будет происходить с ПДн и с какой целью они обрабатываются. А еще уточнить обязанности обработчика соблюдать конфиденциальность, безопасность и обеспечивать защиту информации (п. 3 ст. 6 закона «О ПДн»). 

Как сейчас. Перечень требований расширили. Теперь в поручении ещё надо указать: 

• какие конкретно ПДн передают обработчику;
• что обработчик обязан использовать базы данных на территории РФ;
• что обработчик обязан отчитываться перед оператором о соблюдении законодательства о ПДн по запросу;
• что обработчик обязан сообщить оператору об утечке ПДн, если она произойдет.

Что это значит. Если после первого сентября вы поручаете обработку ПДн клиентов и сотрудников другой компании, добавьте в поручение новые пункты. 

Изменение № 6: запретили отказывать в продаже, если потребитель не предоставил ПДн

Как было раньше. Для оформления заказа продавец мог попросить у клиента емейлы, номер телефона и даже адреса. Без них мог отказать в продаже — мол, данные нужны для заключения сделки. 

Как сейчас. Больше так делать нельзя, необоснованный отказ в продаже стал незаконным. В законе уточнили всего два случая, когда за отказ в предоставлении ПДн можно не продавать товар: 

1. Когда ПДн нужны по закону. Например, если человек покупает дорогие ювелирные украшения или сим-карту. 
2. Когда ПДн нужны для исполнения договора. Например, для доставки товара продавцу нужен адрес, а для отправки электронных билетов — емейл.

Если таких причин нет, а человек отказался дать личные данные, отказывать в продаже нельзя. Такое же правило ввели в «Закон о защите прав потребителей», а еще добавили специальный штраф — до 50 тысяч ₽. 

Что это значит. Если вы собираете ПДн, которые не попадают в исключения, лучше перестроить работу с покупателями так, чтобы без нужных персональных данных выполнить договор было невозможно. Тогда вопросов не будет.

Изменение № 7: заставили отчитываться за утечки ПДн

Как было раньше. Если происходила утечка данных, никаких обязанностей по закону у оператора не было. 

Как сейчас. Теперь компании заставили сообщать, если кто-то украл персональные данные (п. 3.1 ст. 21 закона «О ПДн»). Надо в течение первых суток уведомить Роскомнадзор:

• об утечке;
• о причинах и вреде, который может быть причинен субъектам ПДн;
• как будут устранять последствия утечки;
• с кем из компании Роскомнадзор может контактировать по вопросу. 

На расследование причин и поиск виновных дают трое суток. О результатах надо тоже надо сообщить в Роскомнадзор, на сайте есть специальная форма. 

Ещё все операторы должны подключиться к государственной системе обнаружения компьютерных атак — ГосСОПКА. Туда же надо будет сообщать об утечках и происшествиях, которые их повлекли. Как это будет происходить, пока неясно — в ФСБ обещают утвердить правила. 

Что это значит. Придется сообщать об инцидентах в Роскомнадзор и подключаться к ГосСОПКА. Не критично, но ответственность операторов и контроль со стороны государства растёт. 

Изменение № 8: ввели условия, которые нельзя включать в договор с субъектом ПДн

Как было раньше. В ст. 6 закона «О ПДн» есть список случаев, когда возможна обработка личной информации. Один из них — когда ПДн нужны для исполнения договора. Каких-то специальных условий, которые нельзя включать в такой договор, раньше не было. 

Как сейчас. Теперь такие условия появились. В любой договор с субъектом ПДн нельзя включать: 

• условия, которые ограничивают его права;
• условия, которые дают возможность обрабатывать ПДн несовершеннолетних;
• условие, которое подразумевает, что бездействие человека — это согласие на заключение договора. 

Что это значит. Надо перепроверить типовые договоры и убрать новые запреты, если они вдруг там есть. 

Что будет, если нарушить новые правила

В ст. 13.11 КоАП есть несколько штрафов для операторов ПДн, за разные нарушения разная ответственность. 

Что ещё вступит в силу 1 марта 2023 года

Часть из нововведений в законе № 266-ФЗ заработает только с весны 2023 года. Основных момента всего два.

1. Будут введены правила о трансграничной передаче ПДн. Ожидается, что Роскомнадзор составит перечень иностранных государств, в которые будет надежно передавать личную информацию граждан. Операторов обяжут уведомлять о передаче ПДн за границу ещё до такой передачи. А если будет какая-то угроза данным, Роскомнадзор сможет запретить их отправку. 
2. Реестр недвижимости закроют. В ЕГРН хранятся данные о собственниках недвижимости. С 1 марта, если такой собственник заранее не даст разрешения на передачу данных кому-то со стороны, Росреестр не будет выдавать выписки третьим лицам. Исключение — нотариусы и госорганы. 

Подытожим

1. Работу бизнеса с персональными данными усложнили. Теперь почти все, кто заключают какие-либо договоры с гражданами, должны сначала сообщить об это в Роскомнадзор. 
2. Чтобы выполнить новые требования, предпринимателям нужно пересмотреть локальные акты об обработке ПДн, содержание договоров и поручений. Иначе можно попасть на штраф. 
3. В марте 2023 года вступит в силу новая порция изменений в закон «О ПДн». Она коснется предпринимателей, которые передают личную информацию граждан за границу.   

https://zhiza.evotor.ru/8-glavnyx-izmenenij-v-rabote-s-personalnymi-dannymi-s-1-sentyabrya/