В какие сроки оператор должен внести изменения в случае подтверждения работником неполных пд

В какие сроки оператор должен внести изменения в случае подтверждения работником неполных пд
Автор На чтение 46 мин Просмотров 24 Обновлено
Содержание

Любая компания обрабатывает персональные данные (далее также – «ПД») своих работников, клиентов и контрагентов. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «ФЗ № 152-ФЗ») называет такие компании операторами персональных данных (далее также – «операторы», «операторы «ПД», «ОПД»).

Закон о персональных данных накладывает на операторов много обязанностей при осуществлении обработки персональных данных, и количество только растет. Нередко их исполнение требует вложения денежных средств и привлечения специалистов.

В статье подробно рассмотрим обязанности, которые законодательство о персональных данных возлагает на бизнес, и ответственность операторов за их несоблюдение.

Обязанности операторов персональных данных

Обязанностям оператора посвящена отдельная глава 4 Закона о персональных данных, однако некоторые из них содержатся также и в других главах закона. Кроме того, они получают свое развитие в нормативных актах органов-регуляторов (Роскомнадзора, ФСТЭК РФ и ФСБ РФ).

В какие сроки оператор должен внести изменения в случае подтверждения работником неполных пд

Для удобства рассмотрения условно разделим обязательства на несколько групп.

  • обязанности при взаимодействии с Роскомнадзором;
  • обязанности по соблюдению принципов и условий обработки персональных данных;
  • обязанности по защите персональных данных;
  • обязанности при взаимодействии с субъектом персональных данных.

Ниже рассмотрим каждую из групп подробнее.

Обязанности ОПД при взаимодействии с Роскомнадзором

Начнем рассмотрение темы с данной группы, поскольку любая работа с персональными данными начинается с уведомления Роскомнадзора. Далее оператор в течение всей деятельности по обработке персональных данных обязан информировать контролирующий орган о наступлении определенных событий. Рассмотрим их подробнее.

1. Обязанность подавать уведомление об обработке персональных данных.

Оператор до начала обработки ПД обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ № 152-ФЗ). Исключение, если обработка осуществляется:

  • без использования средств автоматизации;
  • в ГИС, созданных для защиты безопасности государства и общественного порядка;
  • для обеспечения транспортной безопасности в случаях, предусмотренных законодательством.

Форма уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180 (далее по тексту – «Приказ № 180») [1] Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа на сайте Роскомнадзора. Для направления уведомления в электронном виде потребуется пройти аутентификацию на Портале государственных услуг, заполнить и направить размещенную на сайте Роскомнадзора форму.

В случае изменения сведений указанных в уведомлении, оператор обязан уведомить Роскомнадзор не позднее 15-го числа следующего месяца, а при прекращении обработки данных – в течение 10 рабочих дней с даты прекращения. Формы также предусмотрены Приказом № 180.

Изменения в обработке персональных данных с 01 марта 2023 года

2. Обязанность подать уведомление о трансграничной передаче персональных данных.

С 1 марта 2023 года на операторов возложили обязанность подавать в Роскомнадзор уведомление о своем намерении осуществлять трансграничную передачу персональных данных (часть 3 статьи 12 ФЗ № 152-ФЗ). Трансграничной признается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Это уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 Закона о персональных данных.

Оно, как и «общее» уведомление о начале обработки персональных данных, подается в виде документа на бумажном носителе или в форме электронного документа на сайте Роскомнадзора. Форма уведомления пока не утверждена. Перечень необходимых сведений приведен в части 4 статьи 12 ФЗ № 152-ФЗ, также можно воспользоваться рекомендуемым образцом, размещенном на сайте ведомства.

3. Обязанность сообщать информацию по запросу Роскомнадзора.

Оператор обязан по запросу Роскомнадзора необходимую информацию в течение 10 рабочих дней с даты его получения (часть 4 статьи 20 ФЗ № 152-ФЗ). Указанный срок может быть продлен по мотивированному уведомлению оператора, но не более чем на 5 рабочих дней.

4. Обязанность уведомлять об утечках персональных данных.

С 1 сентября 2022 года на оператора также возложена обязанность уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (часть 3.1 статьи 21 ФЗ № 152-ФЗ).

Согласно введенным нормам ОПД должен уведомить контролирующий орган:

  • в течение 24 часов – о произошедшем инциденте, о предполагаемых причинах и вреде, о принятых мерах по устранению последствий инцидента;
  • в течение 72 часов – о результатах внутреннего расследования инцидента, а также о лицах, действия которых стали причиной инцидента.

Порядок взаимодействия контролирующего органа с оператором при учете инцидентов утвержден приказом Роскомнадзора от 14.11.2022 № 187 [2] .

ОПД, относящиеся к субъектам критической информационной инфраструктуры (предприятия оборонной промышленности, связи, транспорта, энергетики, здравоохранения, науки, банковского сектора, горнодобывающей, металлургической и химической промышленности) обязаны сообщать о компьютерных инцидентах через информационную систему ГосСОПКА (часть 12 статьи 19 ФЗ № 152-ФЗ). Остальные передают информацию путем направления уведомления через сайт Роскомнадзора.

За нарушение обязанностей при взаимодействии с Роскомнадзором операторов ПД привлекают к административной ответственности по статье 19.7 КоАП РФ «Непредставление сведений (информации)». Штраф на должностных лиц – от 300 до 500 рублей; на юридических лиц – от 3 000 до 5 000 рублей.

Проиллюстрируем на примерах из судебной практики. В одном из дел хозяйственное общество не представило на запрос Роскомнадзора уведомление об обработке персональных данных либо информационное письмо с указанием оснований, в соответствии с которыми оно вправе осуществлять обработку персональных данных без уведомления контрольного органа. Данное общество было признано виновным в совершении административного правонарушения по статье 19.7 КоАП РФ с наложением штрафа в размере 3 000 рублей [3] .

Отметим, что вышеуказанные обязанности распространяются и на иностранные компании, осуществляющие деятельность по обработке персональных данных на территории России. Так, в деле, дошедшем до Верховного Суда РФ, иностранная компания не представила по запросу Роскомнадзора информацию об используемых при обработке данных российских пользователей баз данных, о наличии на балансовом учете компании приобретенных серверных мощностей. Компания также была признана виновной в административном правонарушении, предусмотренном статьей 19.7 КоАП РФ с назначением штрафа 3 000 рублей. Оспорить решение по мотиву того, что иностранная компания направила в Роскомнадзор письмо, содержащее подход к безопасности пользовательских данных, не удалось [4] .

Обязанности по соблюдению принципов и условий обработки персональных данных

При работе с персональными данными оператор обязан соблюдать принципы и условия их обработки, предусмотренные Законом о персональных данных. Данное требование вытекает из положений статьи 6 ФЗ № 152-ФЗ. Рассмотрим основные из них:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

Так, по общему правилу на обработку персональных данных оператор ПД должен получить согласие субъекта ПД (часть 1 статьи 6 ФЗ № 152-ФЗ). Обработка без согласия допускается только в случаях, прямо предусмотренных нормами Закона о персональных данных. Например, не нужно получать согласие на обработку, если данные нужны для исполнения договора, где владелец данных является его стороной или выгодоприобретателем, или если сведения нужны для исполнения требований пенсионного, налогового, трудового законодательства. Обязанность предоставить доказательства получения согласия или наличия оснований обработки без согласия возлагается на Оператора.

2. При сборе персональных данных оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку субъекту персональных данных (часть 4 статьи 16 ФЗ № 152-ФЗ).

3. По общему правилу получать персональные данные необходимо у их владельца. Если персональные данные получены из сторонних источников, Оператор обязан предоставить субъекту персональных данных информацию о целях их обработки, предполагаемых пользователях и источнике получения данных (части 2,3 статьи 18 ФЗ № 152-ФЗ).

3. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (статья 7 ФЗ № 152-ФЗ). Иное может быть предусмотрено только федеральным законом. Например, если персональные данные предоставляются по запросу органов дознания, следствия и суда в соответствии с процессуальным законодательством, законодательством об оперативно-розыскных мероприятиях.

4. Оператор обязан обеспечить хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (часть 5 статьи 18 ФЗ № 152-ФЗ).

5. При обработке персональных данных должны быть обеспечены их точность достаточность и актуальность. Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных (часть 6 статьи 18 ФЗ № 152-ФЗ). Данные факты могут быть обнаружены оператором самостоятельно или в результате обращения субъекта персональных данных или запроса Роскомнадзора.

Обязанности оператора ПД в связи с выявлением фактов неправомерной обработки персональных данных или обработки неточных персональных данных подробно раскрываются в статье 21 ФЗ № 152-ФЗ.

В частности, оператор ПД обязан:

  • осуществить блокирование неправомерно обрабатываемых персональных данных на период проведения проверки соответствующих обстоятельств. Если обработка поручена третьему лицу – предпринять меры по обеспечению блокирования;
  • при подтверждении неправомерности обработки прекратить ее (обеспечить прекращение) – в течение 3 рабочих дней. В случае, если обеспечить правомерность обработки персональных данных невозможно, уничтожить такие персональные данные, – в течение 10 рабочих дней и о принятых мерах необходимо уведомить субъекта ПД / Роскомнадзор;
  • уточнить (принять меры к уточнению третьим лицом) персональные данные в случае выявления факта неточности – в течение 7 рабочих дней со дня получения подтверждающих сведений;
  • прекратить обработку персональных данных при получении отзыва согласия на обработку – в течение 30 дней, а также при получении требования от субъекта ПД о прекращении обработки – в течение 10 рабочих дней, за исключением случаев, когда законом или договором предусмотрено продолжение обработки без согласия субъекта;
  • уничтожить персональные данные (обеспечить уничтожение) в случае достижения цели обработки персональных данных – в течение 30 дней, за исключением случаев, когда законом или договором предусмотрено продолжение обработки без согласия субъекта.

КоАП РФ содержит несколько составов административных правонарушений за невыполнение обязанностей при обработке персональных данных:

  • часть 1 статьи 13.11 КоАП РФ «Обработка персональных данных вне предусмотренных законом случаях, либо несовместимых с целями сбора персональных данных» – штраф на должностных лиц – от 10 000 до 20 000 рублей; на юридических лиц – от 60 000 тысяч до 100 000 рублей [5] ;
  • часть 2 статьи 13.11 КоАП РФ «Обработка персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию» – штраф на должностных лиц – от 20 000 до 40 000 рублей; на юридических лиц – от 30 000 до 150 000 рублей;
  • ч. 8 ст. 13.11 КоАП РФ «Невыполнение оператором при сборе персональных данных, обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации» – штраф на должностных лиц – от 500 000 до 800 000 рублей; на юридических лиц – от 6 000 000 до 18 000 000 рублей.

Так, в одном из дел Роскомнадзором было установлено, что иностранная организации осуществляет сбор персональных данных граждан Российской Федерации (при регистрации предоставлялись имя, фамилия, номер телефона, адрес электронной почты), с использованием иностранного сервиса «Speedtest». В результате иностранная организации была признана судом виновной в совершении административного правонарушения, предусмотренного частью 6 статьей 13.11 КоАП РФ, назначен штраф в размере 1 000 000 рублей [6] .

Разъяснения Роскомнадзора по порядку защиты персональных данных

Персональные данные — это любая информация, относящаяся к человеку. К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты.

Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО). Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству. Также государственный номер автомобиля не является ПД, так как относится к транспортному средству.

Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.

Обработка персональных данных

Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ, . Часто в правовых основаниях обработки забывают указать Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры. ФЗ «О персональных данных» не является правовым основанием!

Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.

Для обработки персональных данных необходимо получить согласие субъекта ПД. В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.

Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета).

При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать.

Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД.

При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД.

После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.

Обязанности оператора

Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН.

Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.

Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).

Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала.

Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.
Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр. ___, в том числе базы данных сайта и информационной системы персональных данных оператора. Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).

При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД.

После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней.

Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции.

Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ.
Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.

Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)

  • Ч. 1 ст. 13.11 КоАП: включение избыточного объема данных, неправомерное размещение изображения гражданина на сайте, неправомерная обработка работодателем ПД близких родственников, неправомерная обработка ПД в целях продвижения товаров, работ, услуг;
  • Ч. 2 ст. 13.11 КоАП: публикация статьи в интернете, которая содержит инфо в большом объеме со специальной категорией ПД без согласия гражданина, письменная форма согласия не соответствовала ч. 4 ст. 9 ФЗ;
  • Ч. 3 ст. 13.11 КоАП: нет политики обработки ПД на сайте;
  • Ч. 4 ст. 13.11 КоАП: нереализация права субъекта на получение информации, которая относится к обработке его ПД;
  • Ч. 5 ст. 13.11 КоАП: нарушение сроков по уточнению, блокированию, уничтожению ПД;
  • Ч. 6 ст. 13.11 КоАП: невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность материальных носителей (например, неправильная утилизация медицинских амбулаторных карт).
  1. Отсутствие уполномоченного представителя оператора;
  2. Отсутствие документа, подтверждающего полномочия сотрудников на представление интересов оператора и взаимодействие с проверяющими лицами (доверенность, приказ);
  3. Назначение в качестве уполномоченных представителей оператора лиц, не обладающих достаточными профессиональными знаниями;
  4. Отказ в предоставлении запрашиваемой информации и документации;
  5. Отказ в предоставлении доступа в помещения оператора, где осуществляется обработка ПД;
  6. Отказ в предоставлении доступа к оборудованию оператора;
  7. Неумышленное затягивание сроков проведения проверки (продление сроков – это дополнительная административная нагрузка).
  1. Не осуществляют консультирование проверяемого лица;
  2. Не предоставляют проект акта проверки для предварительного ознакомления представителем проверяемого лица;
  3. Не дают пояснений относительно причин или оснований квалификации отдельных действий оператора как нарушающих ФЗ «О ПД», их можно получить только при обжаловании акта;
  4. Не продлевают, в том числе и по письменному обращению проверяемого лица, контрольные сроки исполнения предписания об устранении нарушений.

Что меняется для операторов и обработчиков персональных данных

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

  1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ).
  2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
  3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
  4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
  5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
  6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
  7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
  8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД. В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данных Напомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

Отчитывайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Какие санкции грозят оператору за нарушения

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Какие изменения по Закону 266-ФЗ вступят в силу с 1 марта 2023 года

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

Подпишитесь на рассылку и получите в подарок календарь бухгалтера на 1 квартал
Поделиться
Подпишитесь на рассылку и получите в подарок календарь бухгалтера на 1 квартал

Получите бесплатно 62 страницы экспертного контента!

Оставьте заявку в форме ниже, и мы вышлем вам запись

По закону № 152-ФЗ оператор обязан сообщать о всех компьютерных инцидентах и утечке персональных данных в два адреса:

1. В Роскомнадзор. Оператор информирует Роскомнадзор об утечке ПД в течение 24-х часов. В том числе он сообщает о предполагаемом вреде владельцу персональных данных. В течение 72 часов оператор должен завершить расследование компьютерного инцидента и информировать о результатах Роскомнадзор.

Сообщения передают через Госуслуги, поэтому оператору понадобится подтверждённая учётная запись в ЕСИА.

На сайте Роскомнадзора описано, как информировать об утечке персональных данных

2. В НКЦКИ — Национальный координационный центр по компьютерным инцидентам ФСБ России (НКЦКИ). Это структурный элемент ГосСОПКА. С 1 сентября 2022 года с ней должны взаимодействовать все операторы, которые используют автоматизированную обработку ПД.

ИП и компании, которые относятся к субъектам критической инфраструктуры по ст. 2 закона от 26.07.2017 № 187-ФЗ , уже знают про ГосСОПКА. Для них ничего не изменилось. Прочие операторы ПД должны учитывать приказ ФСБ от 24.07.2018 № 367 . В нём сказано, какие данные и в каком порядке надо передавать в НКЦКИ. Подключаться к ГосСОПКА физически не обязательно.

Информацию можно сообщать по e-mail или телефону.

На сайте НКЦКИ указано, по каким каналам оператор может передать сведения о компьютерных инцидентах

В сообщении указывают:

  • дату, время, место происшествия;
  • наличие связи между инцидентом и компьютерной атакой;
  • связь с другими происшествиями — при наличии;
  • технические параметры компьютерного инцидента;
  • последствия.

Информацию нужно передать в НКЦКИ в течение 24-х часов с момента обнаружения компьютерного инцидента.

В приказе № 367 не упомянуты конкретно «операторы ПД». Но они всё равно руководствуются этим документом. ГосСОПКА по закону № 187-ФЗ — открытая система, взаимодействовать с которой могут все заинтересованные в защите информации лица.

Оператор может разработать свой регламент работы с НКЦКИ и Роскомнадзором или издать приказ, в котором назначить ответственных за взаимодействие, указать сроки передачи информации. Так он всегда может доказать, что выполняет требование закона о персональных данных в части сообщений о компьютерных инцидентах. И у него будет документально закреплён порядок действий, который сможет выполнять любой назначенный работник.

В этом же документе рекомендуем указать порядок подготовки ответов на запросы Роскомнадзора по ч. 4 ст. 20 Закона № 152-ФЗ . Оператор обязан направлять информацию по запросам в течение 10 рабочих дней.

Изменить формы согласия и типовых договоров с клиентами

С 1 сентября 2022 года появились новые требования к согласию об обработке персональных данных в части его «предметности» и «однозначности». Это означает, что субъект ПД дает разрешение оператору на конечный перечень действий с его личной информацией, и подтверждает это разрешение личной подписью, ЭЦП или иным способом.

До этого в законе о персональных данных уже было требование о «конкретности» согласия. Оно означало объём определённых ПД для каждой цели обработки. Предметность — это про способы действий с персональными данными.

Пример.

До 1 сентября 2022 года в согласии можно было указать «Даю согласие на обработку моих ПД. в целях исполнения обязательств по договору. ». По новым требованиям формулировка должна быть примерно такая: «Даю согласие на передачу моих ПД. ООО „А“ для подготовки отчётности в ФНС России в целях исполнения обязательств по договору. ». То есть в согласии указывается, что именно оператор собирается делать с персональными данными и где использовать.

На практике это означает, что оператору нужно исправить формы согласий на обработку ПД, в том числе на своём сайте, а также получить новые согласия на обработку ПД с клиентами, которые подписывали их по старой форме.

Можно использовать специальный ресурс Роскомнадзора для подготовки согласия на обработку персональных данных, разрешённых для распространения. Для пользования сервисом нужна подтверждённая учётная запись на Госуслугах. Оператор может подготовить макет согласия и проверить его на правильность в Роскомнадзоре.

Если компания или ИП используют типовые формы договоров с гражданами, нужно будет проверить документы на недопустимые условия в них.

С 1 сентября 2022 года в договоры нельзя включать:

  • положения, ограничивающие права и свободы субъекта ПД. Например, нельзя прописать условие, что оператор персональных данных предоставляет ответ на запрос в течение 30 дней, потому что по закону это нужно сделать в течение 10 рабочих дней;
  • устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством;
  • положения, допускающие в качестве условия заключения договора бездействие субъекта ПД. Например, нельзя написать, что договор считается заключённым, если в течение 5 дней субъект не направил письменный отказ.

Такие условия из договоров надо исключить.

Определить новые сроки работы с обращениями субъектов ПД

  • сообщать информацию по запросу субъекта ПД или его представителя, либо дать письменный отказ в предоставлении информации по законным основаниям в течение 10 рабочих дней;
  • актуализировать ПД по обращению гражданина в течение 7 рабочих дней;
  • уничтожить полученные незаконно или не являющиеся необходимыми для заявленной цели персональные данные в течение 7 рабочих дней после получения требования субъекта ПД или его представителя;
  • незамедлительно блокировать ПД по информации от гражданина о неправомерной обработке, а при выявлении факта неправомерной обработки прекратить её в течение 3 рабочих дней и уничтожить ПД в течение 10 рабочих дней.

Отдельные сроки установлены для случаев, когда субъект ПД отозвал согласие . Если личная информация использовалась в рекламных целях или для политической агитации, то её обработку нужно прекращать немедленно с момента получения требования гражданина.

В остальных случаях у оператора есть 30 дней с момента отзыва согласия на то, чтобы прекратить использование ПД и уничтожить их. Другие сроки могут быть установлены только договором с гражданином или нормами права.

Конкретные сроки для действий оператора появились в законе о персональных данных с 1 сентября 2022 года. Поэтому нужно внести соответствующие изменения в локальные акты и ознакомить с ними тех сотрудников, которые работают с персональными данными.

С 1 марта 2023 года вступит в силу новый порядок трансграничной передачи ПД по ст. 12 закона 152-ФЗ . Он касается случаев, когда оператор отдаёт какие-то персональные данные российских граждан в иностранные государства.

До 1 марта 2023 года ИП и компании должны будут уведомить Роскомнадзор о своём намерении осуществлять трансграничную передачу данных. Это отдельная форма сообщения, не связанная с включением в Реестр операторов.

Федеральный закон от 27.07.2006 г. № 152-ФЗ

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)

11. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных. (Дополнение частью — Федеральный закон от 14.07.2022 № 266-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) (Пункт утратил силу — Федеральный закон от 25.07.2011 № 261-ФЗ)

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) (Дополнение пунктом — Федеральный закон от 28.06.2010 № 123-ФЗ) (Утратил силу — Федеральный закон от 29.07.2017 № 223-ФЗ)

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». (Дополнение частью — Федеральный закон от 29.07.2017 № 223-ФЗ)

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

11) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; (Дополнение пунктом — Федеральный закон от 30.12.2020 № 519-ФЗ)

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

31. Нормативные правовые акты, принимаемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных. (Дополнение частью — Федеральный закон от 14.07.2022 № 266-ФЗ)

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (Дополнение частью — Федеральный закон от 08.12.2020 № 429-ФЗ)

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; (В редакции Федерального закона от 29.07.2017 № 223-ФЗ)

31) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта); (Дополнение пунктом — Федеральный закон от 29.07.2017 № 223-ФЗ)

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (В редакции Федерального закона от 05.04.2013 № 43-ФЗ)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; (В редакции федеральных законов от 21.12.2013 № 363-ФЗ, от 03.07.2016 № 231-ФЗ, от 14.07.2022 № 266-ФЗ)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (В редакции Федерального закона от 03.07.2016 № 231-ФЗ)

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

91) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами; (Дополнение пунктом — Федеральный закон от 24.04.2020 № 123-ФЗ) (В редакции Федерального закона от 02.07.2021 № 331-ФЗ)

10) (Пункт утратил силу — Федеральный закон от 30.12.2020 № 519-ФЗ)

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

11. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года № 57-ФЗ «О государственной охране». (Дополнение частью — Федеральный закон от 01.07.2017 № 148-ФЗ)

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 181 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ста

Можно ли наказать работника, если он несвоевременно представил информации об изменении своих персональных данных

Вправе ли работодатель обязать работников своевременно представлять информацию об изменении своих персональных данных (паспортные данные, адрес регистрации, семейное положение, рождение детей, номер телефона и т.д.)? Вправе ли он применить дисциплинарную или материальную ответственность в случае несвоевременного представления информации об изменении своих персональных данных и в случае представления документов, содержащих недостоверные сведения (персональные данные)?

Рассмотрев вопрос, мы пришли к следующему выводу:

Работодатель вправе установить в локальном нормативном акте организации порядок предоставления работниками сведений об изменении их персональных данных (паспортных данных, семейного положения, сведений о детях и адресе места жительства). Однако привлечь работников за несвоевременное сообщение работодателю об изменении их персональных данных (за предоставление документов, содержащих недостоверные сведения (персональные данные)) к дисциплинарной или к материальной ответственности работодатель не вправе.

Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии со ст. 57 ТК РФ в трудовом договоре указываются фамилия, имя, отчество работника и сведения о документах, удостоверяющих его личность. Обязанность указывать в нем сведения об адресах сторон договора, их семейном положении и наличии детей в законе отсутствует. Однако по усмотрению сторон трудовых отношений данные сведения могут быть внесены в трудовой договор.

Сведения о паспортных данных, семейном положении и наличии детей, адресе работника (по паспорту и фактическом) указываются в личной карточке работника. Форма личной карточки работника утверждена постановлением Госкомстата России от 05.01.2004 N 1 (п.п. 9-12)*(1).

Действующее трудовое законодательство не предусматривает обязанности работника предоставлять работодателю сведения об изменении указанных данных. В то же время такая обязанность установлена, например, пенсионным законодательством: работники (застрахованные лица) обязаны предоставлять сведения работодателю и заполнять необходимые документы в случае изменения сведений, содержащихся в его индивидуальном лицевом счете (ст.

14 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»). Работник (застрахованное лицо) обязан предъявить работодателю (страхователю) документы, подтверждающие сведения о новом адресе, и заполнить соответствующие формы (абзацы второй и четвертый п. 2 ст. 9, п. 2 ст. 6 указанного Закона).

В свою очередь, работодателю как налоговому агенту в случае представления документов, предусмотренных НК РФ и содержащих недостоверные сведения, грозит штраф в размере 500 рублей за каждый представленный документ, содержащий недостоверные сведения (ст. 126.1 НК РФ (вступила в силу с 01.01.2016)).

Это касается, в частности, обязанности работодателя отчитываться перед налоговыми органами о доходах физических лиц и удержанном налоге по форме 2-НДФЛ и о расчете сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом по форме 6-НДФЛ (п. 2 ст. 230 НК РФ). Указанные формы содержат персональные данные работников.
Поэтому в целях обеспечения соблюдения законов и иных нормативных правовых актов (например, в области пенсионного, налогового законодательства, а также законодательства о воинском учете, законодательства о социальном обеспечении и т.п.) работодатель может установить в локальном нормативном акте порядок обработки персональных данных работников, включающий в себя также способы сообщения работником об изменении тех сведений, которые необходимы работодателю для соблюдения законодательства, например, путем ежегодного заполнения анкет, переданных работодателем работнику, а также при обращении за выдачей документов, связанных с работой, в которых указываются соответствующие персональные данные.

Порядок должен быть разработан с учетом общих требований при обработке персональных данных работника и гарантий их защиты, установленных ст. 86 ТК РФ; работник должен быть ознакомлен с ним под роспись (п. 8 части первой ст. 86 ТК РФ).

Работодателю следует иметь в виду, что невыполнение работником обязанности о своевременном сообщении информации об изменении своих персональных данных не может повлечь для работника негативные последствия (его нельзя привлечь ни к дисциплинарной, ни к материальной ответственности), поскольку такая обязанность не вытекает из требований трудового законодательства. Законодатель установил для работника только право требования об исключении или исправлении неверных или неполных персональных данных (часть первая ст. 89 ТК РФ), а обязанность по предоставлению актуальных данных на работника законом не возложена.

Нельзя привлечь работника к дисциплинарной или материальной ответственности и в случае предоставления им документов, содержащих недостоверные сведения (персональные данные). Норма п. 11 части первой ст. 81 ТК РФ (о праве работодателя расторгнуть трудовой договор в связи с представлением работником подложных документов) в подобных случаях применима быть не может, поскольку трудовой договор уже заключен, а новые документы (пусть даже с недостоверными сведениями) никак не могут повлиять на решение работодателя о заключении трудового договора*(2).

Поэтому мы полагаем, что установление порядка обработки персональных данных работников в локальном нормативном акте само по себе не решит проблему своевременного изменения работодателем сведений о персональных данных, содержащихся в документах, используемых в деятельности организации, поскольку для работников установление соответствующей обязанности, по сути, будет являться установлением способа реализации ими своего права требования к работодателю об изменении неактуальных данных. Но такой документ, по нашему мнению, может помочь работодателю избежать претензии к нему со стороны работников или контролирующих органов при возникновении тех или иных негативных последствий использования неактуальных сведений при заполнении документов в целях представления их в различные государственные органы.

В то же время необходимо отметить, что несоответствие реальных персональных данных о работнике и данных в кадровых документах может повлечь проблемы для самого работника (например при подтверждении страхового стажа для начисления трудовой пенсии). Своевременное внесение указанных изменений — в интересах самого работника.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Земцов Евгений

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Кудряшов Максим

16 марта 2016 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
*(1) С 1 января 2013 года на основании ч. 4 ст. 9 Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете» унифицированные формы не являются обязательными для использования в коммерческих организациях (письма Роструда от 23.01.2013 N ПГ/409-6-1, от 23.01.2013 N ПГ/10659-6-1, от 14.02.2013 N ПГ/1487-6-1, письмо Минтруда России от 14.05.2013 N 14-1/3030785-2617). Эти организации вправе как пользоваться формами первичных учетных документов, разработанными ими самостоятельно, так и продолжать использовать унифицированные формы.

*(2) Как указывают судебные органы, увольнение по п. 11 части первой ст. 81 ТК РФ законно, если подложные документы повлияли на решение работодателя о заключении трудового договора (смотрите, например, апелляционное определение СК по гражданским делам Суда Ханты-Мансийского автономного округа — Югры от 18.02.2014 N 33-629, апелляционное определение СК по гражданским делам Верховного Суда Республики Башкортостан от 26.12.2013 N 33-2711/2013, апелляционное определение СК по гражданским делам Кемеровского областного суда от
12.03.2013 N 33-2026, решение Борского городского суда Нижегородской области от 26.04.2013 N 2-527/2013).

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Правила обработки ПД работают и в отношении иностранных организаций и физлиц (ч. 1.1 ст. 1 Закона № 152-ФЗ). Положения закона применяются к случаям, когда ПД граждан РФ обрабатываются на основании договора (соглашения) или на основании согласия гражданина на обработку ПД.

Ответственность перед субъектом ПД при этом несёт как само обрабатывающее ПД лицо, так и оператор ПД (ч. 6 ст. 6 Закона № 152-ФЗ).

Когда следует прекратить обработку ПД

По общему правилу, оператор ПД должен в течение 10 рабочих дней обеспечить прекращение обработки ПД при обращении субъекта ПД с таким требованием.

Срок можно продлить, но не более чем на пять рабочих дней. Для этого оператор должен направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

12.02.24 | Москва

Как организовать работу с персональными данными в компании: новые требования законодательства, ответственность за несоблюдение, претензии Роскомнадзора

В России проходит реформа законодательства о персональных данных. С 1 сентября 2022 года вступили в силу наиболее значительные поправки к Федеральному закону «О персональных данных» за все время его существования. Основная новация начала 2023 года — изменение правил обработки биометрии (572-ФЗ).

Смотрите также:

  • Опубликованы типовые условия контракта на проведение строительного контроля: когда применять
  • Календарь бухгалтера: напоминаем о важных платёжных и отчётных датах в январе 2024
  • Как составить техническое задание для проведения закупки новичку: краткая инструкция

Подпишитесь, чтобы не пропустить интересные мероприятия и получите подарок на почту!

Вы сможете выбрать только актуальные для вас темы.

Оцените статью
KDPkonsalting.ru
Добавить комментарий

© 2026 KDPkonsalting.ru