С 1 сентября 2022 года, после изменений в Федеральный закон № 152-ФЗ «О персональных данных», значительная часть организаций обязана регистрироваться в Роскомнадзоре. Это стало значимым поворотом для бизнеса, привыкшего к более свободной обработке данных без интернет-сбора. Стоит отметить, что это первые серьезные изменения в данном ФЗ с 2006 года.
В этой статье мы подробно рассмотрим нюансы защиты персональных данных по 152-ФЗ в 2024 году.
Документация по 152-ФЗ
Закон определяет обязательное наличие документов для организаций, среди которых:
- Согласие на обработку персональных данных (ПД), в том числе для несовершеннолетних, согласно ст. 9.
- Согласие на распространение и передачу ПД третьим лицам.
- Правила и политики обработки ПД, включая сроки хранения и порядок уничтожения данных.
- Приказы о назначении ответственного за обработку ПД и о допуске сотрудников к этим процессам.
- Политику конфиденциальности для посетителей сайта.
Для полноценной разработки документации по обработке ПД, кроме 152-ФЗ, важно учитывать и другие НПА:
- Постановления Правительства № 687 от 15.09.2008 и № 1119 от 01.11.2012.
- Приказы ФСБ № 378 от 10.07.2014, ФСТЭК № 21 от 18.02.2013
- Приказы Роскомнадзора № 180 и № 179 от 28.10.22, и № 94 от 30.05.17.
Эти изменения и требования законодательства предъявляют новые обязанности для бизнеса, требуя от организаций внимательного подхода к обработке персональных данных.
Усиление контроля за утечками персональных данных
По последним данным Роскомнадзора, в реестре операторов обработки персональных данных числится более 950 тысяч организаций. Это количество может показаться внушительным, но учитывая, что оператором персональных данных является любое лицо, работающее с данными граждан, и каждая компания имеет сотрудников, фактически каждое юридическое лицо должно быть зарегистрировано в качестве такового.
До сентября 2022 года существовали определенные исключения, позволявшие организациям обходить необходимость уведомления Роскомнадзора о работе с персональными данными. Это касалось данных, обрабатываемых в рамках трудовых отношений, по договорам с гражданами, данных членов общественных или религиозных организаций, данных, разрешенных к распространению субъектом, ограничивающихся ФИО, и данных, необходимых для оформления пропусков. Однако после ужесточения законодательства исключения были существенно сокращены. Теперь единственной лазейкой для избежания уведомления является обработка данных вручную, без автоматизированных систем.
С развитием цифровых технологий и появлением таких инструментов, как 1С: Бухгалтерия, Битрикс24, интернет-банкинг и системы электронного документооборота, практически невозможно найти компанию, работающую исключительно "по старинке" и не попадающую под требования к уведомлению.
Учитывая, что в реестре ЕГРЮЛ зарегистрировано более 3,2 миллиона активных юридических лиц, уведомление Роскомнадзора должно стать стандартной процедурой для большинства из них, сопоставимой с подачей отчетности в ФНС, Росстат или ФСС. Ведение реестра операторов Роскомнадзором с 2009 года включает в себя не только юридические лица, но и физических лиц, а также индивидуальных предпринимателей, что позволяет предположить, что до 80% компаний либо не осведомлены о новых нормах, либо предпочитают их игнорировать.
Как правильно уничтожать персональные данные
Определены случаи обязательного уничтожения ПД, включая неправомерную обработку данных и достижение целей их сбора. Подтверждение уничтожения данных должно оформляться актом, требования к которому прописаны в приказе № 179 от 28.10.2022.
Расширение обязанностей уведомления РКН
До сентября 2022 года некоторые операторы освобождались от обязанности уведомления Роскомнадзора о обработке ПД в определенных случаях. Теперь такие исключения существенно сокращены, и практически все организации, работающие с ПД, обязаны уведомлять РКН, исключение составляют случаи обработки данных вручную без использования автоматизированных систем.
Существенное количество компаний, более 80%, по-видимому, не осведомлено о нововведениях или игнорирует их. Учитывая общее количество зарегистрированных юридических лиц, подавляющему большинству необходимо регулярно уведомлять Роскомнадзор о своей деятельности по обработке ПД.
Упрощение процесса уведомления
Отправка уведомления в Роскомнадзор – задача, выполнимая для любого юридического лица, при наличии четкой цели и последовательных действий. Для этого можно воспользоваться как бумажной формой, так и электронным вариантом, подписанным цифровой подписью или через портал Госуслуг. Сам Роскомнадзор предлагает удобный онлайн-сервис для заполнения и подачи уведомлений, упрощая процесс до нескольких шагов.
Однако обязанности по уведомлению не ограничиваются одним лишь фактом обработки персональных данных. Закон предусматривает ряд других случаев, когда необходимо информировать надзорный орган, включая изменение данных в реестре, прекращение обработки данных, трансграничную передачу и случаи непреднамеренной передачи данных.
Существенным аспектом является необходимость уведомления при любых изменениях в обработке данных, будь то новые виды данных или новые категории субъектов. Подать такое уведомление следует не позднее 15 числа после месяца, в котором произошли изменения.
Важно подходить к процессу уведомления осознанно, избегая соблазна подать «универсальное» уведомление, охватывающее все возможные данные. Такой подход повышает не только объем необходимой документации, но и вероятность проведения проверок, особенно для организаций с комплексной структурой обработки данных.
Обратите внимание
Любые изменения в обработке данных, такие как новые категории персональных данных или новые субъекты, требуют уведомления Роскомнадзора. Закон обязывает направлять такие уведомления не позднее 15 числа следующего месяца после изменений.
Законодательство предусматривает несколько типов уведомлений, включая изменения данных, прекращение обработки, трансграничную передачу и случаи неправомерной передачи данных.
Новые обязанности документооборота для юридических лиц
В свете обновленных требований Роскомнадзора, юридические лица сталкиваются с расширенным комплексом задач, связанных с документооборотом и обработкой персональных данных. Это предполагает первоочередное назначение сотрудника, отвечающего за эти процессы. Роль данного сотрудника далеко выходит за рамки формальности, требуя глубоких знаний и практических навыков для эффективного исполнения своих обязанностей.
Ключевым аспектом является разработка внутренних документов, четко регламентирующих взаимодействие с персональными данными. Эти документы должны охватывать весь спектр используемых инструментов и определить круг лиц, имеющих доступ к конфиденциальной информации. Важно, чтобы подход к составлению документации был индивидуализирован для различных категорий данных, с детализацией всех применяемых мер защиты.
Выбор методов защиты данных должен базироваться на тщательном анализе требуемого уровня безопасности, что включает в себя не только технические средства, но и организационные меры. В зависимости от уровня защиты, требования могут варьироваться от базового обеспечения физической безопасности до создания специализированных подразделений, занимающихся исключительно вопросами цифровой безопасности.
Не менее важной является регулярная проверка соответствия деятельности компании установленным требованиям. Это не только требование закона, но и необходимость для предотвращения возможных угроз безопасности данных. Аудит может осуществляться как внутренними силами компании, так и при помощи внешних специалистов.
Нарушение установленных процедур несет за собой серьезные риски, включая административную ответственность и крупные штрафы, что делает соблюдение требований к обработке данных не только вопросом законопослушания, но и элементом стратегического риска для бизнеса.
Трансграничная передача персональных данных
Перед отправкой данных за границу, оператор должен собрать необходимые документы от зарубежного партнера и отправить их в Роскомнадзор вместе с соответствующим уведомлением. Роскомнадзор в свою очередь имеет до 10 рабочих дней на рассмотрение уведомления и принятие решения о возможности или невозможности такой передачи.
Не во всех случаях требуется получение предварительного одобрения. Существует список из 90 стран, признанных обеспечивающими адекватный уровень защиты данных, передача в которые упрощается, хотя и требует уведомления Роскомнадзора без необходимости предоставления дополнительных документов.
В случае, если по результатам проверки Роскомнадзор решит ограничить или запретить передачу данных, компания должна будет обеспечить их удаление у получателя. Это подчеркивает важность тщательной подготовки к процессу трансграничной передачи и взаимодействия с Роскомнадзором для соблюдения всех необходимых процедур и требований.
От теории к практике: как применять новые правила?
Реализация требований в вопросе трансграничной передачи персональных данных выявляет ряд неопределенностей и сложностей. Нормативные требования, хотя и определены четко, на практике вызывают вопросы в своей реализации. Особенно это касается случаев, когда данные передаются в страны, участвующие в Конвенции Совета Европы, с которыми у России сложились напряженные отношения. Задача обеспечения удаления данных при получении запрета от Роскомнадзора кажется особенно проблематичной в этих условиях.
К тому же список стран, признанных обеспечивающими достаточный уровень защиты персональных данных, исключает многие государства, с которыми российские компании активно ведут дела. Отсутствие в нем таких стран, как США и большинство стран Ближнего Востока, усложняет сотрудничество и требует значительных усилий для соблюдения законодательства, увеличивая риск административной ответственности.
Спустя год после изменений в закон о персональных данных, остаются вопросы к его применению, делая требования законодательства тяжелыми для исполнения многими юридическими лицами. Это может привести к широкомасштабным проверкам и санкциям со стороны Роскомнадзора, с потенциальными штрафами до 18 миллионов рублей.
Вероятно, законопроект был принят спешно, и следует ожидать дальнейших корректировок и уточнений. В текущих условиях рекомендуется максимально использовать мораторий на плановые проверки для подготовки и адаптации компании к требованиям законодательства, чтобы минимизировать риски при возможном взаимодействии с Роскомнадзором.
Чем грозит невыполнение новых требований
В случае нарушения требований по работе с персональными данными (ПД) компании сталкиваются с серьезными рисками и последствиями. В 2023 году, несмотря на действующий мораторий на плановые проверки, Роскомнадзор сохраняет право на проведение внеплановых инспекций в случае утечек ПД или других нарушений, идентифицированных руководством органа.
Ответственность за нарушения, связанные с обработкой ПД, четко регламентирована Кодексом об административных правонарушениях (КоАП)
- Невыполнение требований по уничтожению ПД может привести к штрафам до 40 тысяч рублей для индивидуальных предпринимателей, до 20 тысяч для должностных лиц и до 90 тысяч рублей для юридических лиц.
- Обработка данных без согласия субъекта, требующегося по закону в письменной форме, влечет за собой штрафы до 40 тысяч рублей для ответственного лица, до 150 тысяч рублей для компаний и до 300 тысяч рублей для ИП при повторном нарушении.
- Особо серьезным нарушением считается несоблюдение требований к хранению ПД российских граждан на территории РФ. В таких случаях на должностных лиц могут наложить штрафы до 200 тысяч рублей, на ИП – до 40 тысяч, а на юридические лица – до 6 млн рублей. Повторное нарушение предусматривает еще более строгие санкции.
Таким образом, соблюдение нормативных требований в области обработки персональных данных является не только вопросом юридической ответственности, но и важным аспектом репутации и доверия в бизнесе. Нарушения могут повлечь за собой не только финансовые потери, но и утрату доверия со стороны клиентов и партнеров, а также негативное восприятие со стороны общественности и регулирующих органов.
