Новые правила о подтверждении персональных данных абонентов связи
- Главная →
- Журнал →
- Бизнес →
- Риски
В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.
Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.
Его слова подтверждаются громкими новостями из открытых источников.
Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».
С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Отчитаться
В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:
- Ф.И.О.;
- дата рождения;
- адрес регистрации и адрес проживания;
- паспортные данные, СНИЛС, ИНН;
- номер телефона;
- e-mail;
- адрес страницы в соцсетях;
- контакт в мессенджере.
То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД.
По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).
ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.
3 ст. 6 152-ФЗ).
ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).
Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.
По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.
С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).
С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.
- В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).
- Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
- Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
- Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
- Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
- Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
- ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
- Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).
Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.
Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.
В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).
Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Попробовать
За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).
С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).
Предприниматель по Закону от 01.05.
2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.
Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.
Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.
Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).
Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).
Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.
Как изменится закон о персональных данных с 1 сентября 2022 года
Поправки в Федеральный закон от 27.07.2006 № 152-ФЗ вносит Федеральный закон от 14.07.2022 № 266-ФЗ. Некоторые положения этого закона начнут работать уже с 1 сентября 2022 года, но есть изменения, которые вступят в силу только 1 марта 2023 года — они затрагивают вопросы трансграничной передачи данных и порядок предоставления сведений из ЕГРН.
Ранее Федеральный закон от 30.12.2020 № 519-ФЗ определил три важных принципа для согласия на обработку ПД:
- Молчание или бездействие не считаются согласием на обработку ПД.
- Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно.
- В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу данных неограниченному кругу лиц.
С учетом тех изменений, которые планируются к сентябрю, нужно провести аудит документов и внести соответствующие поправки. Также рекомендуем следить за новостями и разъяснениями Роскомнадзора.
Если ранее в Федеральном законе от 27.07.2006 № 152-ФЗ (далее — 152-ФЗ) не было положений, регламентирующих его действия по территории и кругу лиц, то в новой редакции они появятся.
Закон будет применяться к иностранных юридическим и физическим лицам, если обработка персональных данных (далее — ПД) осуществляется на основании договора с гражданином РФ или с его согласия.
Эксперты InfoWatch периодически делятся данными об утечках информации. Еще в отчетах за 2020 год они обращали внимание на то, что пандемия, оказывая сильное влияние на различные сферы жизни, действует и на формирование картины утечек.
2021 год запомнился развитием дистанционных каналов обслуживания, искусственного интеллекта и IT-сервисов. В этот период удаленная работа стала обычным явлением.
«На этом фоне еще быстрее меняется ландшафт угроз информационной безопасности, – отмечают эксперты InfoWatch. – Все это отражается и на структуре утечек информации ограниченного доступа.
Одним из главных факторов сокращения количества утечек в публичном пространстве стало повышение латентности (скрытности) инцидентов в компаниях».
Новая редакция закона обязывает оператора ПД обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА).
Цель такого новшества — заставить операторов информировать об инцидентах, которые повлекли неправомерную передачу ПД.
То есть новая редакция 152-ФЗ предполагает усиление ответственности операторов обработки ПД за утечку данных.
Если инцидент с утечкой данных произойдет, оператор будет обязан:
- уведомить о случившемся Роскомнадзор в течение 24 часов;
- провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов;
- представить сведения о лицах, действия которых стали причиной инцидента (при наличии).
Оператору придется быстрее реагировать на запросы субъектов ПД и Роскомнадзора.
Теперь он должен будет предоставить субъекту ПД сведения, касающиеся обработки его ПД, в течение не 30 рабочих дней, как ранее, а в течение 10 рабочих дней.
Однако этот срок может быть продлен на 5 рабочих дней, если оператор направит в адрес субъекта мотивированное уведомление, в котором укажет причины отсрочки.
Если субъект обращается с требованием прекратить обработку ПД, то оператор должен отреагировать на него в течение 10 дней, то есть прекратить обработку данных.
Также по запросу Роскомнадзора оператор ПД должен предоставить необходимую информацию в течение 10 рабочих дней. При мотивированном уведомлении такой ответ можно продлить на 5 дней.
Ответственность будет усилена по отношению к иностранным обработчикам. Обработчик ПД — это лицо, которое обрабатывает данные на основании поручения.
Если ранее обработчик нес ответственность по поручению только перед оператором и, следовательно, не отвечал перед субъектами ПД, то с 1 сентября 2022 года при поручении обработки ПД иностранному лицу обработчик будет ответственен не только перед оператором, который поручил ему обработку, но и перед субъектом ПД.
В новой редакции 152-ФЗ уточняется, что обработчик данных обязан соблюдать принципы, правила обработки, конфиденциальность данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.
В поручении оператор должен определить перечень ПД, перечень действий (операций) с данными, которые будут совершаться обработчиком, обязанность обработчика по соблюдению конфиденциальности.
Кроме того, в поручении устанавливается обязанность по запросу оператора в течение срока действия поручения предоставлять документы и информацию, подтверждающие принятие мер и соблюдение обязанности по обеспечению безопасности ПД при их обработке.
В поручении должна быть отражена обязанность обработчика уведомлять оператора об утечках ПД.
Согласно ст. 22 152-ФЗ, прежде чем приступить к обработке ПД, оператор должен уведомить Роскомнадзор о своем намерении. Для этого есть специальная анкета.
Ранее закон предусматривал несколько случаев, когда уведомление не требуется. В частности, если ПД включают только фамилии, имена и отчества; необходимы для однократного пропуска субъекта ПД на территорию, на которой находится оператор; обрабатываются в соответствии с трудовым законодательством и т.д.
Теперь перечень ситуаций, когда уведомление Роскомнадзора не требуется, радикально сокращен. Он включает только два пункта:
- ПД, включенные в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- ситуацию, когда оператор осуществляет деятельность по обработке данных исключительно без использования средств автоматизации.
Следует обратить внимание на появление новых признаков, которым должно соответствовать согласие субъекта ПД.
Ранее, как отмечается в ст. 9 152-ФЗ, такое согласие должно было быть конкретным, информированным и сознательным. С 1 сентября характеристики расширятся — согласие, помимо всего прочего, должно быть предметным и однозначным.
Теперь оператор должен в политике обработки ПД для каждой цели обработки указывать:
- категории и перечень обрабатываемых ПД;
- категории субъектов, данные которых обрабатываются;
- способы, сроки их обработки и хранения;
- порядок уничтожения ПД при достижении целей их обработки.
Для того, чтобы соответствовать этому требованию, придется провести аудит и определить цели, которые преследует компания при обработке ПД. А далее работать по каждой цели.
Кроме того, вносятся изменения и в правила публикации политики ПД. Она должна быть не просто размещена на сайте, а опубликована на страницах сайта, где осуществляется сбор данных.
Важно помнить, что политика обработки ПД не может содержать положения, которые ограничивают права субъектов ПД.
С 1 сентября вступает в силу запрет оператора отказывать гражданам в оказании услуг, в случае если они не желают предоставлять биометрию и это не является обязательным требованием.
Согласно ст. 11 152-ФЗ к биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, отпечатки пальцев).
Роскомнадзор и ГРЧЦ проверят данные об абонентах
В постановлении сказано, что представление операторами необходимой информации будет осуществляется с помощью автоматического взаимодействия систем операторов с информационным ресурсом Роскомнадзора, а организационные и технические меры по подключению систем операторов связи к информационному ресурсу осуществляет радиочастотная служба.
«При осуществлении мониторинга Роскомнадзор использует сведения, полученные в том числе из ЕСИА и базы данных перенесенных абонентских номеров, Единого государственного реестра юридических лиц и Единого государственного реестра индивидуальных предпринимателей, единого федерального информационного регистра, содержащего сведения о населении РФ, а также государственной информационной системы миграционного учета в части неучтенной в едином федеральном регистре населения информации об иностранцах», — сказано в постановлении. Как отмечают авторы документа, правила разработаны в рамках закона о связи. В нем говорится, что Роскомнадзор проводит мониторинг соблюдения операторами связи обязанности по проверке достоверности сведений об абонентах и сведений о пользователях услугами связи абонентов — юридических лиц либо индивидуальных предпринимателей, в том числе представленных лицами, действующими от имени операторов связи. Согласно документу, при осуществлении указанного мониторинга могут использоваться сведения, полученные из единой системы идентификации и аутентификации (ЕСИА), базы данных перенесенных абонентских номеров, иных определенных правительством РФ систем.
Кроме того, оператор мобильной связи обязан предоставить в Роскомнадзор, в том числе по его запросу, в электронной форме информацию о способах подтверждения сведений об абонентах и сведений о пользователях услугами связи абонентов и результатах проведенных проверок достоверности таких сведений. Также необходимо предоставлять сведения об абонентах и пользователях услугами связи абонентов. Кроме того, сотовые операторы должны будут раскрывать информацию о статусе функционирования идентификационных модулей, используемых абонентами и пользователями услугами связи абонентов и об объеме и периоде оказания услуг связи абонентам и пользователям услугами связи абонентов. Информация от оператора связи передается частично в зашифрованном виде, частично в виде хеш-кода, вычисляемого в соответствии с межгосударственным стандартом. Постановление вступило в силу и действует шесть лет.
Пресс-служба Минцифры сообщила, что постановление определяет порядок передачи операторами мобильной связи информации для мониторинга достоверности сведений об абонентах. «Такой мониторинг будет осуществляться Роскомнадзором.
Акт направлен на борьбу с мошенничеством и иными правонарушениями, осуществляемыми с использованием «серых» сим-карт, оформленных без заключения абонентского договора.
Его принятие позволит значительно сократить риски использования мобильной связи в противоправных целях», — сказал представитель Минцифры.
Пресс-служба Tele2 сообщила, что вместе с другими игроками рынка участвовала в обсуждении проекта новых правил. Оператор считает необходимым доработать их, так как система единой проверки сведений предполагает неоправданно избыточное регулирование.
«Она выходит за рамки ФЗ «О связи», где говорится о мониторинге выполнения операторами обязанностей по проверке достоверности сведений абонентов, но не о проверке на актуальность ранее внесенных данных — например, при смене фамилии после вступления в брак или замены паспорта. В условиях ограниченного импорта и роста цен неопределенным остается вопрос финансирования.
Важно, чтобы исполнение новых правил не повлекло дополнительных затрат со стороны операторов», — отмечает представитель пресс-службы Tele2.
Генеральный директор Ассоциации операторов телефонной связи Сергей Ефимов считает, что в таком виде публиковать документы недопустимо. «Формат данных, по которому операторы будут предоставлять информацию, не должен быть предметом публичности. Видимо, при публикации кто-то увлекся и перепутал.
Публикация таких сведений напрямую помогает нарушать закон «О персональных данных». Неясны цели, зачем РКН нужны персональные данные абонентов. Ведь РКН не ведет ни оперативно-разыскную — это ФСБ, СК — деятельность, ни оперативно-разыскную, которую ведет МВД», — объясняет гендиректор ассоциации.
По его словам, расширение круга лиц, имеющих доступ к операторским данным, приведет к утечкам персональных данных, и невозможно будет установить источник такой утечки, обвинят оператора. «Это еще расходы операторов, централизация сведений об абонентах, что вредно с точки зрения их сохранности и пресечения утечек.
Считаем, что исполнение таких «государственных нужд» должно финансироваться из госбюджета, а не из средств операторов. Это наша ассоциация требовала в период обсуждения проекта НПА на портале regulation. Скорее всего, никто не вникал и никто не читал, увы.
При введении такого документа нужно освободить операторов от штрафов за разглашение персональных данных, так как правительство в этом случае должно нести солидарную ответственность», — считает Сергей Ефимов.
Пресс-служба ПАО «МегаФон» сообщила, что эксперты компании принимали участие в подготовке правил и их предложения учтены в документе.
Новые правила по сбору и обработке персональных данных с 1 сентября 2022 — Контур.Бухгалтерия
Легко считайте зарплату, НДФЛ, взносы, заводите кадровые документы. Контур.Бухгалтерия сама сделает расчеты, подготовит платежки и создаст отчеты.
https://www.youtube.com/watch?v=MqRyoRtAqAk\u0026pp=ygV70J3QvtCy0YvQtSDQv9GA0LDQstC40LvQsCDQviDQv9C-0LTRgtCy0LXRgNC20LTQtdC90LjQuCDQv9C10YDRgdC-0L3QsNC70YzQvdGL0YUg0LTQsNC90L3Ri9GFINCw0LHQvtC90LXQvdGC0L7QsiDRgdCy0Y_Qt9C4
Попробовать бесплатно
В последние годы личные данные граждан попадают в руки мошенников все чаще. Государство решило бороться с утечками: тщательнее следить за тем, как персональные данные обрабатываются и защищаются. Новые правила по работе с данными утверждены Федеральным законом от 14.07.2022 г. № 266-ФЗ.
За нормами и их соблюдением будет следить ФСБ с помощью системы по профилактике кибератак на российские информационные ресурсы ГосСОПКА (п. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ).
При утечках персданных лица и органы, которые занимаются обработкой данных, должны сообщать в ГосСОПКА о событии в течение 24 часов, а затем в течение 72 часов представлять отчет о причинах и связанных лицах.
Все, кто собирает и обрабатывает персональные данные граждан, относятся к операторам персональных данных. Это могут быть муниципальные и государственные органы, юридические и физические лица. Роскомнадзор на своем сайте ведет особый реестр операторов персданных: он открытый, кто угодно может в него заглянуть и найти любого участника реестра.
Закон «О персональных данных» действует в РФ с 2006 года, с момента принятия в него несколько раз вносили изменения и дополнения. Последние изменения внесены Федеральным законом от 14.07.
2022 №266-ФЗ и вступили в силу с 1 сентября 2022.
С этого момента работодателям нужно более строго работать с персданными, а многим еще и придется подать уведомление в Роскомнадзор для включения в реестр операторов.
С 1 сентября из закона исключили шесть ситуаций, когда операторы могли не сообщать Роскомнадзору о начале обработки данных(ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь в реестре операторов должны числиться все компании и ИП, которые обрабатывают персданные таких лиц:
- сотрудники на трудовых договорах;
- подрядчики на договорах ГПХ;
- клиенты компании, которые сообщают свои личные данные для заключения договора или обработки заказа;
- посетители, которым выписывают разовый пропуск для прохода на территорию компании;
- другие лица, сообщающие компании свои имя, отчество и фамилию.
Есть случаи, когда даже при работе с перечисленными данными можно не уведомлять об этом Роскомнадзор, но их мало:
- если обрабатываемые персданные находятся в государственных защищенных информсистемах;
- если данные собирают и обрабатывают не с помощью компьютеров и программ, а вручную — например, в бумажной тетради;
- если данные обрабатывают с целью безопасной работы транспорта.
Отчеты за сотрудников, по бухгалтерскому и налоговому учету, в Росстат. Онлайн-бухгалетрия сама заполнит отчетность по данным учета.
Попробовать бесплатно
Первое, что стоит сделать, — зайти на сайт Роскомнадзора в раздел «Реестр операторов» и поискать свою компанию по названию, ИНН или ОГРН. Если вы в реестре — все хорошо, можно пока ничего не отправлять в ведомство.
Если вы не нашли себя в реестре, нужно уведомить Роскомнадзор о начале работы с персданными. К слову о начале работы.
Большинство из тех, кто будет подавать уведомление после 1 сентября 2022, уже давно обрабатывает персданные. В уведомлении нужно будет указать дату начала обработки данных.
Роскомнадзор разъяснил, что этой датой нужно считать день регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).
Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94, а в тексте этого документа прописан и порядок заполнения формы. Список сведений, которые вписывают в поля уведомления, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
Роскомнадзор планирует утвердить новую форму уведомления, через которое можно будет более полно передать сведения. В ведомстве сообщили, что до этого момента операторы могут заполнить текущую форму. А еще обозначили, что 1 сентября 2022 не является крайним сроком подачи уведомления и предельный срок для этого действия пока не определен (Информация Роскомнадзора от 01.09.2022).
Из этого можно сделать вывод, что операторов, которые не подали уведомление до 1 сентября 2022, штрафовать не будут. Но все же мы рекомендуем не откладывать эту задачу и уведомить территориальное отделение Роскомнадзора по текущей форме. Для этого есть три способа:
- отправить бумажную заполненную и заверенную форму заказным письмом;
- заполнить форму на сайте Роскомнадзора и заверить квалифицированной электронной подписью;
- заполнить форму в подтвержденном аккаунте на Портале Госуслуг, который связан с организацией, и тоже заверить КЭП.
В новой форме уведомления появятся поля для передачи данных, которые невозможно передать по текущей форме. Это значит, что после утверждения новой формы, вероятно, придется воспользоваться ею, чтобы внести изменения в ранее переданные сведения.
Новые поля в будущей форме касаются категорий собираемых персданных, категорий лиц и их данных для каждой цели обработки сведений, самих целей сбора и правовых оснований для сбора.
Мы рассчитываем, что после появления нового бланка уведомления ведомство даст новые разъяснения.
Уведомление отправляют только один раз. В нем не нужно перечислять лиц, у которых вы собираете персданные, так что не придется подавать дополнительные уведомления при найме новых сотрудников или работе с новыми клиентами.
Но если в работе оператора с персданными происходят существенные изменения, придется сообщить об этом Роскомнадзору:
- если изменится состав персданных, которые вы собираете: например, вы узнаете о семейном положении работников, — сообщите об этом информационным письмом о внесении изменений в сведения (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94);
- если сменится работник, отвечающий за обработку персданных — его ФИО передайте по форме уведомления, которое будет актуальным на этот момент;
- если вы прекращаете собирать и обрабатывать персданные, обычно это связано с реорганизацией или ликвидацией предприятия — сообщите об этом в заявлении о прекращении обработки данных (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94).
А еще оператор обязан отвечать на запросы Роскомнадзора и работников по поводу обработки персданных. Ответить на запрос или сообщить об изменениях в работе с персданными теперь нужно не в течение 30, а только в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Авторасчет зарплаты, НДФЛ и взносов в несколько кликов. Отпускные, пособия, удержания. Платежки и отчеты онлайн.
https://www.youtube.com/watch?v=MqRyoRtAqAk\u0026pp=YAHIAQE%3D
Попробовать бесплатно
Собирать и обрабатывать персданные можно только для определенной цели, и перечень таких целей ограничен (ст. 86 ТК РФ):
- для выполнения законов: например, для оформления трудового договора или отправки персданных работника в отчете для контролирующих органов;
- для помощи сотрудникам в обучении, повышении квалификации и карьерном росте;
- для личной безопасности работников;
- для контроля за качеством и объемом выполняемой работы;
- для сбережения имущества компании.
Если сведения служат этим целям, работодатель может их запрашивать. В противном случае — нет, даже если сотрудник согласен их предоставить.
А еще не запрашивайте сведения из особых категорий: о национальности, расовой принадлежности, политических пристрастиях, религиозном исповедании, философских предпочтениях, личной жизни и здоровье.
Сведения о членстве сотрудников в профсоюзе или общественных организациях тоже не обрабатывайте.
Изменились нормы работы с биометрическими данными: теперь сотрудник может отказаться передать биометрию — скажем, фото на пропуск. Работодатель не вправе требовать такие данные и не должен отказывать оформлять пропуск и другие документы, в которых требуется фото.
Соберите у сотрудников согласия на обработку персданных, укажите в согласии цель сбора данных: она должна быть сформулирована ясно и просто, без разночтений.
Убедитесь, что в текущих согласиях нет моментов, которые противоречат ст. 86 ТК РФ.
Если передаете персданные для обработки, защиты и хранения другой организации, это тоже должно быть отражено в согласии как передача данных третьим лицам.
Если вы оформляете пропуска для посетителей компании, это тоже обработка персональных данных. Но если пропускной режим организует сама компания, то согласия на обработку не нужно, так разъяснил Роскомнадзор. Главное, чтобы у компании был оформлен документ о правилах посещения организации и чтобы посетителя с ним ознакомили.
В законе нет четкого перечня документов, которые диктовали бы порядок обработки персданных сотрудников, клиентов и посетителей. Но обязательный минимум таких документов для работодателя назван (ст. 86 ТК РФ, 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Расскажем о всех возможных документах для регламентации обработки персданных в компании.
Контур.Бухгалтерия рассчитает суммы на основе данных учета, подготовит платежки и отчеты, напомнит об уплате и отправке.
Попробовать бесплатно
Положение о персональных данных
Один из обязательных локальных актов организации — документ с правилами, по которым ведется обработка персданных. Это может быть положение о работе с персональными данными работников.
В документе определите цели обработки данных, а для каждой цели назначьте:
- категории и перечень персданных;
- категории лиц, у которых собираете данные;
- методы и сроки обработки и хранения сведений;
- порядок уничтожения данных, когда они больше не нужны.
Убедитесь, что в положении нет пунктов, которые ущемляют права работников или вменяют им обязанности, которые в законе не прописаны. Скажем, вы не можете обязать сотрудника предоставить паспорт в течение 5 дней после смены фамилии.
Составьте положение, утвердите его приказом директора. Если в компании есть профсоюз, документ принимают с учетом его мнения (ст. 372 ТК РФ).
Политика обработки персональных данных
Если вы обрабатываете персданные на сайте организации, скажем, когда клиенты оформляют заказы, придется принять еще один документ — политику защиты и обработки персональных данных. Этот документ нужно будет разместить на сайте, так как организация обязана сообщить гражданам, что она делает для защиты их данных (п. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
Роскомнадзор установил требования к такому документу (рекомендация от 27.07.2017). В политику обработки включают такие пункты:
- основные понятия документа;
- цели обработки данных;
- правовые основания обработки;
- категории данных и категории субъектов (лиц);
- способы, сроки и условия обработки;
- права и обязанности субъектов персданных и пр.
Положение о защите данных
Для защиты данных нужна надежная система, чтобы не допустить их разглашения. Нужно описать меры защиты: что вы делаете, чтобы предотвратить, обнаружить и устранить нарушения закона о персданных. Это можно сделать в отдельном локальном акте или включить правила в любое другое положение компании.
Пропишите, какие антивирусные программы вы устанавливаете, назначьте ответственных за защиту данных. Утвердите положение приказом директора и ознакомьте с ним работников под роспись. Если в компании есть профсоюз — он участвует в обсуждении положения.
Автоматизируйте работу с сотрудниками, сдавайте отчеты и ведите учет в Контур.Бухгалтерии без авралов и рутины.
Попробовать бесплатно
Приказ о назначении ответственного
В каждой компании должен быть сотрудник, который отвечает за обработку персданных. Он может быть только один.
Нельзя назначить ответственным за данные работников одного специалиста, а за данные клиентов другого. Это запрещает Роскомнадзор и штрафует за нарушения.
К тому же нужно передать ведомству ФИО ответственного лица для реестра операторов, и внести двух специалистов в одно поле не получится.
Ответственного сотрудника назначает приказом руководитель — обычно из числа работников кадровой службы. В приказе прописывают обязанности ответственного лица:
- вести внутренний контроль того, как компания и работники соблюдают закон о персданных и выполняют требования по их защите;
- знакомить работников с положениями закона о персданных, внутренних документов компании по обработке данных и их защите;
- обеспечить прием и обработку запросов от субъектов персданных — работников, клиентов, посетителей — контролировать прием и обработку таких запросов.
После издания приказа ответственный сотрудник расписывается в нем.
Обязательство о неразглашении персданных
Чтобы защищать данные сотрудников или клиентов, нужно установить обязательство об их неразглашении. Такие обязательства нужно оформить с работниками, которые имеют доступ к данным. Можно закрепить условие о неразглашении персданных в допсоглашении к трудовому договору.
Важный нюанс: ответственность за разглашение данных для сотрудника наступает, если сведения он получил при исполнении трудовых обязанностей, а не в другой ситуации (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).
Регламент допуска
Закрепите список работников, которые обрабатывают персданные или имеют к ним доступ. Обычно это бухгалтер, кадровик, секретарь компании. Каждому сотруднику должны быть доступны только те данные, которые нужны для выполнения его трудовой функции (ст. 88 ТК).
В законе не прописан порядок допуска к персданным, так что придется установить его самостоятельно и закрепить в локальном акте компании, например в Регламенте допуска работников к обработке персональных данных.
Кроме самого регламента издайте приказ, в котором пропишите ФИО и должности сотрудников вместе с закрепленными за ними данными для обработки (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687).
Ведите учет в удобной онлайн-бухгалтерии: учет, расчет зарплаты и пособий, отправка отчетности в ФНС, СФР, Росстат.
Попробовать
Документы внутреннего контроля
Чтобы более полно защитить компанию, оформите документы внутреннего контроля за обработкой персданных: это правила внутреннего контроля и аудита, протоколы, материалы для проверочных мероприятий. Такие документы могут запросить инспекторы при проверке.
Что изменилось в работе с персональными данными с 1 сентября 2022?
С 1 сентября 2022 закон «О персональных данных» стал строже: из него исключили шесть случаев, когда работодатель не должен был уведомлять Роскомнадзор о начале обработки персданных. Теперь большинству работодателей нужно это делать.
Какое уведомление нужно отправить в Роскомнадзор в связи с персональными данными с 1 сентября 2022?
Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94. Скоро ведомство утвердит новую форму, с помощью которой можно будет передать более детальную информацию.
Будет ли штраф за опоздание с отправкой уведомления в реестр Роскомнадзора?
Роскомнадзор сообщил, что предельная дата для отправки уведомления не определен, и 1 сентября 2022 — это не крайний срок. Вероятно, штрафовать за отправку уведомлений в более поздние сроки не будут. Но лучше уведомить Роскомнадзор в ближайшее время по текущей форме.
Какие изменения появились в законе 152-ФЗ «О персональных данных»?
С 1 сентября закон 152-ФЗ стал строже, чтобы защитить от утечки данные граждан. Теперь почти все работодатели должны сообщать Роскомнадзору о начале обработки персданных в организации и сотрудничать с системой ФСБ по предотвращению кибератак на российские информресурсы ГосСОПКА.
Что такое реестр операторов персональных данных Роскомнадзора?
Реестр операторов персданных — это список всех работодателей, других лиц и органов, которые собирают и обрабатывают персональные данные граждан. Чтобы попасть в этот список, компания или ИП должны отправить в ведомство уведомление о начале сбора персданных. Начало этой деятельности — день регистрации организации или ИП.
Когда отправить в Роскомнадзор уведомление об обработке персональных данных?
Роскомнадзор сообщил на своем сайте, что 1 сентября 2022 не является крайним сроком для отправки уведомления, а предельный срок для его подачи не определен. Но рекомендуется уведомить Роскомнадзор в ближайшее время.
Легко считайте зарплату, НДФЛ, взносы, заводите кадровые документы. Контур.Бухгалтерия сама сделает расчеты, подготовит платежки и создаст отчеты.
https://www.youtube.com/watch?v=MqRyoRtAqAk\u0026pp=ygV70J3QvtCy0YvQtSDQv9GA0LDQstC40LvQsCDQviDQv9C-0LTRgtCy0LXRgNC20LTQtdC90LjQuCDQv9C10YDRgdC-0L3QsNC70YzQvdGL0YUg0LTQsNC90L3Ri9GFINCw0LHQvtC90LXQvdGC0L7QsiDRgdCy0Y_Qt9C4
Попробовать бесплатно
Правительство утвердило правила предоставления операторами данных для контроля соблюдения достоверной идентификации абонентов
Подписано и опубликовано постановление правительства РФ от 22.07.
2022 № 1313 «Об утверждении Правил представления операторами подвижной радиотелефонной связи информации, необходимой для осуществления мониторинга соблюдения операторами связи обязанности по проверке достоверности сведений об абонентах и сведений о пользователях услугами связи абонентов – юридических лиц либо индивидуальных предпринимателей».
Документ разработан во исполнение закона о связи, в котором сказано, что Роскомнадзор проводит мониторинг соблюдения операторами связи обязанности по проверке достоверности сведений об абонентах и сведений о пользователях услугами связи абонентов – юридических лиц либо индивидуальных предпринимателей, в том числе представленных лицами, действующими от имени операторов связи. При осуществлении указанного мониторинга могут использоваться сведения, полученные из единой системы идентификации и аутентификации (ЕСИА), базы данных перенесённых абонентских номеров, иных определённых правительством РФ систем.
Согласно закону оператор мобильной связи обязан предоставить в Роскомнадзор, в том числе по его запросу, в электронной форме в сроки, порядке, составе и формате, которые установлены правительством РФ, следующую информацию:
- о способах подтверждения сведений об абонентах и сведений о пользователях услугами связи абонентов – юридических лиц либо индивидуальных предпринимателей и результатах проведённых проверок достоверности таких сведений;
- сведения об абонентах и сведения о пользователях услугами связи абонентов – юридических лиц либо индивидуальных предпринимателей;
- о статусе функционирования идентификационных модулей, используемых абонентами и пользователями услугами связи абонентов – юридических лиц либо индивидуальных предпринимателей;
- об объёме и периоде оказания услуг связи абонентам и пользователям услугами связи абонентов – юридических лиц либо индивидуальных предпринимателей.
- Согласно опубликованному во вторник постановлению представление операторами необходимой информации осуществляется посредством автоматического взаимодействия систем операторов с информационным ресурсом Роскомнадзора.
- Организационные и технические меры по подключению систем операторов связи к информационному ресурсу осуществляет радиочастотная служба.
- Сведения об абонентах должны включать:
- фамилию, имя, отчество (при наличии), дату рождения, реквизиты документа, удостоверяющего личность (наименование, серия и номер, дата выдачи), – для абонента — физического лица;
- наименование организации, основной государственный регистрационный номер, идентификационный номер налогоплательщика – для абонента — юридического лица;
- фамилию, имя, отчество (при наличии), реквизиты документа, удостоверяющего личность (наименование, серия и номер, дата выдачи), основной государственный регистрационный номер – для абонента — индивидуального предпринимателя;
- фамилию, имя, отчество (при наличии), реквизиты документа, удостоверяющего личность (наименование, серия и номер, дата выдачи) пользователя услугами связи абонента – юридического лица либо индивидуального предпринимателя.
- Количество запросов в сутки, направляемых Роскомнадзором, в зависимости от выделенного Минцифры оператору подвижной радиотелефонной связи ресурса нумерации на дату направления запроса не должно превышать 0,05% суммарно от общего количества выделенных оператору связи номеров.
- Оператор предоставляет информацию в неизменном виде без дополнительной обработки в течение одного рабочего дня со дня получения запроса, эти данные готовятся «посредством использования информационного ресурса».
- При осуществлении мониторинга Роскомнадзор использует сведения, полученные в том числе из ЕСИА и базы данных перенесённых абонентских номеров, Единого государственного реестра юридических лиц и Единого государственного реестра индивидуальных предпринимателей, единого федерального информационного регистра, содержащего сведения о населении Российской Федерации, а также государственной информационной системы миграционного учёта в части неучтённой в едином федеральном регистре населения информации об иностранцах, сказано в постановлении.
- Информация от оператора связи передаётся частично в зашифрованном виде, частично в виде хэш-кода, вычисляемого в соответствии с межгосударственным стандартом.
- Постановление вступило в силу и действует шесть лет.
С 1 июня 2021 года вступил в силу закон, который запрещает юридическим лицам и индивидуальным предпринимателям предоставлять своим работникам и другим физлицам корпоративную мобильную связь без внесения сведений о них в ЕСИА. Оператор должен прекратить обслуживать абонента, если не будет подтверждена его личность.