Какие уведомления подавать в роскомнадзор в 2024 году: виды, сроки и новые штрафы

Какая ответственность наступает за разглашение персональных данных гражданина

На работодателя возложено множество функций: от выполнения обязанностей налогового агента до ведения локального воинского учета. Это требует сбора, систематизации и хранения большого количества личной информации о сотрудниках. Чтобы гарантировать отсутствие утечек, российское законодательство предусматривает ответственность за разглашение персональных данных.

Состав личной информации

Сведения, носящие личный характер, определены в ст. 3 ФЗ «О персональных данных». Под ними подразумевается информация, которая относится к определенному гражданину. Более подробно о том, что относится к персональным данным, читайте здесь. В рамках трудовых отношений речь идет о следующих данных:

• о полном имени сотрудника (ФИО);
• о реквизитах документов гражданина (ИНН, страховых свидетельств, паспортов и других);
• о наличии определенного образования;
• о размере получаемых доходов;
• о месте, в котором проживает работник;
• о членах семьи сотрудника;
• о дате и населенном пункте, в котором он родился.

Вся перечисленная информация не должна передаваться другим лицам без согласия работника на обработку его персональных данных.

Ответственность за распространение персональных данных

Правовые основы применения различных взысканий за несанкционированную передачу личной информации заложены в ст. 23 и 24 Конституции РФ. Она предусматривает право граждан на неприкосновенность частной жизни и запрет на работу с персональными данными без их согласия.

Именно по этой причине его следует получать у соискателей работы и у действующих сотрудников. Понятие частной жизни детализировано в определении Конституционного суда РФ N 12-53-О от 28 июня 2012 года.

Речь идет о сведениях, относящихся к отдельному гражданину, которые касаются исключительно его и не подлежат общественному или государственному контролю.

Другой базовой нормой, устанавливающей ответственность за разглашение персональных данных гражданина, является ст. 24 закона N ФЗ-152. На основании указанных правил нарушители подвергаются административным, дисциплинарным и уголовным наказаниям.

Привлечение к уголовной ответственности

Наиболее суровое наказание предусмотрено для случаев, когда распространение личной информации носит преступный характер. Уголовная ответственность за разглашение персональных данных устанавливается в ст. 137 УК РФ. Ч.1 устанавливает способы следующие совершения правонарушений:

• размещение информации о частной жизни в СМИ;
• разглашение сведений в произведении, которое демонстрируется другим лицам;
• любое иная публичная демонстрация персональных данных в ходе выступления.

Любой из указанных способов предполагает распространение сведений среди неограниченного круга лиц в нарушение закона.

Фактором, необходимым для инициирования уголовного преследования, является отсутствие согласия гражданина. Нарушителю грозит штраф до 200 тыс. рублей (альтернативой будет изъятие суммы, эквивалентной полуторагодовому доходу преступника).

Другим наказанием служат обязательные работы (максимальный срок составляет 360 часов) или исправительные работы (до года) или принудительные работы (не более 2 лет). Нарушителя могут подвергнуть аресту на период 2 – 4 месяца или лишить свободы на срок до 2 лет.

online/5764-sluchai-nastupleniya-otvetstvennosti-za-narushenie-trudovogo-zakonodatelstva-dlya-rabotnika-rabotodatelya.

Обратите внимание: соблюдать тайну персональных данных работников обязаны все лица, которые имеют к ним доступ в связи с исполнением своих служебных обязанностей. То есть наказать за разглашение такой информации могут не только директора предприятия, но и сотрудника отдела кадров, бухгалтера, начальника отдела и т.д

Преступник, использовавший свое служебное положение для сбора и распространения информации (руководитель компании или уполномоченный сотрудник кадровой службы), получит более суровое наказание (ч. 2 ст. 137 УК РФ):

• Штраф будет находиться в пределах 100 – 300 тыс. рублей или составлять доход нарушителя за период от 1 до 2 лет.
• Дисквалификация может применяться в качестве основного наказания и продолжаться от 2 до 5 лет.
• Максимальный период ареста составляет полгода.
• Принудительные работы могут назначаться на срок до 4 лет.
• Потенциальный период лишения свободы также составляет 4 года.

2 последних вида наказания могут дополняться 5-летней дисквалификацией.

Ч. 3 ст. 137 УК не касается отношений работодателя и персонала (в ней речь идет о распространении сведений о потерпевших, являющихся подростками).

Высокая

Высокая степень вреда присваивается, если:

• ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат.
  Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
• ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных
  или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи,
  установленные федеральными законами для специальных категорий ПД;
• ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
• обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также
  других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
• иностранному гражданину поручено вести обработку персональных данных граждан РФ;
• осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.

Что делать операторам

Во избежание нарушений операторами внесенных изменений в законодательство и новых подзаконных актов Роскомнадзора, необходимо провести ряд мероприятий, в частности:

• Проверить, зарегистрировано ли ваше юридическое лицо в реестре Роскомнадзора на сайте ведомства, и если нет – зарегистрироваться.
• Провести внутренний анализ и корректировку действующих договоров с клиентами, а также шаблонов типовых договоров. 
• Дополнить новыми положениями политику конфиденциальности и иные внутренние нормативные акты.
• Актуализировать шаблоны согласий на обработку персональных данных, обеспечив, чтобы их тексты были не только конкретными, информированными и сознательными, то также предметными и однозначными.
• Составить и утвердить положение о защите персональных данных, если такое положение   отсутствует в компании. 
• Адаптировать свои системы к новым требованиям в части подтверждения уничтожения данных (приказ Роскомнадзора «Об утверждении требований к подтверждению уничтожения персональных данных», который вступит в силу с 1 марта 2023).
• Провести оценку вреда в соответствии с новыми требованиями РКН (проект от 25 августа 2022 года приказа Роскомнадзора «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (планируется вступление в силу 1 марта 2023 года). 

Залогом успеха в соблюдении операторами законодательства, включая изменения 2022 года, является не просто формальное соблюдение буквы закона. Не стоит забывать о том, что целью законодателя, в первую очередь, является соблюдение прав и свобод российских граждан, передающих свои персональные данные операторам, что может быть достигнуто совместными усилиями всех участников соответствующих правоотношений.
 

Марина Материк

Как в 1С подготовить Уведомление об обработке персональных данных

В решениях системы «1С:Предприятие 8» поддерживается форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных (приложение № 1 к приказу Роскомнадзора от 28.10.2022 № 180). 

Уведомление об обработке персональных данных доступно в разделе Уведомления единого рабочего места 1С-Отчетность (рис. 1).

Рис. 1. Создание уведомления с помощью сервиса 1С-Отчетность в программе 1С

По команде Создать в открывшейся форме Виды уведомлений следует выбрать Уведомление об обработке персональных данных из папки Прочее. Для упрощения поиска можно ввести название (часть названия) отчета в поисковой строке.

Рис. 2. Уведомление об обработке персональных данных в программе 1С

По кнопке Печать можно вывести печатную форму Уведомления на печать, а также Сохранить файл на диск в любом удобном формате.

Уведомление об обработке персональных данных направляется в Роскомнадзор на бумажном носителе. Также заполнить соответствующую форму можно на официальном сайте ведомства.

Решения экспертов Группы в области защиты персональных данных

Специалисты практики Кадрового консалтинга окажут комплексную поддержку в обеспечении соответствия новым требованиям законодательства:

1. Проконсультируют по порядку действий в отношении защиты персональных данных в компании с учетом изменений.
2. Предоставят актуальные типовые шаблоны документов и локальных нормативных актов.
3. Проведут кадровый экспресс-аудит имеющихся документов по защите персональных данных, выявят возможные риски и минимизируют их.
4. Адаптируют под Вашу организацию все необходимые документы по защите персональных данных.
5. Подготовят персональные комплекты документов под каждого работника компании.
6. Окажут поддержку при взаимодействии с уполномоченным органом.

При необходимости, эксперты Группы «ДЕЛОВОЙ ПРОФИЛЬ» могут провести анализ нормативной базы в сфере персональных данных иностранных государств, с которыми вы собираетесь установить обмен информацией. Эти сведения обязательны для подачи уведомления в Роскомнадзор в соответствии с ч. 3. ст.12.

Актуально:

Защита персональных данных

Законопроект, который можно подстроить под каждого

Российская Ассоциация больших данных (АБД) выступила с критикой относительно нового законопроекта отечественных властей об уголовной ответственности за работу с персональными данными. Как пишет Forbes, организация сформировала и отправила письмо комитет Госдумы по госстроительству и законодательству, в котором открыто попросила внести в документ все необходимые уточнения и разъяснения, коих в нем в настоящее время нет.

Законопроект, о котором говорится в письме АБД – это плод совместного труда сенаторов Андрея Турчака, Андрея Клишаса, руководителя комитета по информполитике Александра Хинштейна и ряда других депутатов. Он был внесен на рассмотрение в Госдуму 4 декабря 2023 г., и если он будет принят в его текущем виде, то над многими россиянами нависнет угроза лишиться свободы на долгие годы, даже если почти не взаимодействуют с персональными данными.

Это будет следствием размытых формулировок в законопроекте, считает АБД. В данном случае можно сказать, что новое творение депутатов и сенаторов вызывает опасение у очень крупных компаний – на момент выхода материала в состав Ассоциации входили «Билайн», МТС, «Мегафон», «Авито», «Ростелеком», VK, Газпромбанк, Сбербанк, «Яндекс», «Тинькофф» и ряд других известных по всей России организаций.

Уведомление об изменении персональных данных: новый срок

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в
Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.

Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении
представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта
2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в
Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении
используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

• в течение трех рабочих дней с момента обращения;

• или в срок, указанный в постановлении суда;

• или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

Минцифры все устраивает

Авторы законопроекта, продвигая документ, написали в пояснительной записке к нему, что предложенные в нем поправки дадут возможность «эффективно привлекать к уголовной ответственности злоумышленников, совершающих преступления в сфере персональных данных»

С целью дополнительно выделить важность поправок, авторы привели статистику за 2021 г., согласно которой в даркнете было выявлено свыше 20 тыс. баз с персональными данными в сумме на 10 ТБ

В них якобы содержится информация о 80% россиян.

Размытые формулировки нового законопроекта, на которые открыто указал властям российский бизнес, похоже, совершенно не смутили Минцифры. Как сообщили Forbes представители ведомства, «Минцифры рассматривало законопроект в рамках подготовки Минюстом официального отзыва правительства». «Министерство поддержало законопроект», – добавили они.

Как защитить данные своих клиентов и не допустить утечки

Любая утечка информации может нанести серьезный репутационный и экономический ущерб фирме. Снизится уровень доверия, уменьшится количество покупателей, станут вероятными штрафы со стороны проверяющих органов, огласка и суды, а затем и компенсации пострадавшим клиентам.

Проще этого избежать, чем разбирать последствия. Ниже — способы, как минимизировать вероятность утечки информации, но помните, что использовать их нужно в комплексе.

Проводить аудиты процессов

Внутри компании должны быть специальные локальные акты, в которых подробно описывается порядок работы с ПД — что можно собирать и в каких случаях, как нужно хранить информацию и кому передавать. Подобными документами может быть политика обработки данных и модели угроз безопасности (как и куда могут утечь данные). С каждым таким документов нужно знакомить сотрудников под подпись.

Если персонал работает с ПД, это должно быть прописано в должностной инструкции и в трудовом договоре в разделе конфиденциальности информации с указанием ответственности за нарушение.

С помощью периодических обзоров всех процессов приватности становится проще выявить риски утечки информации. Например, руководитель должен регулярно проверять, как работает команда, из каких задач состоит их рабочий день, на какие нормативные документы они опираются при работе, не открывают ли подозрительные письма в почте.

Также не будет лишним проверять, на каких основаниях передаются данные контрагентам или поставщикам. В случае, если это делается без соответствующих разрешений, это прямое нарушение закона.

Обучить сотрудников

Например, если у вас много сотрудников и они постоянно работают с ПД клиентов, для них нужно регулярно проводить обучение

Важно донести до персонала идеи правильного обращения с документами и наказания за их нарушение

Кроме того, важно формировать здоровый климат внутри компании. Если сотрудник будет комфортно чувствовать себя на работе и его все будет устраивать, попытки подкупить его с целью слива информации могут быть провалены

Часть задач можно поручить другим компаниям и агентствам, составив нужные документы о передаче персональных данных. Например, комплексный маркетинг проще поручить агентству и не занимать этим время внутренних сотрудников. Сделать это очень просто — нужно создать задачу на площадке Workspace. Затем — подождать, когда на нее откликнуться диджитал-агентства. Останется только выбрать среди них исполнителей, которые на ваш взгляд, справятся с задачей лучше всех. Готово, дальше можно заниматься другими задачами бизнеса, а с этим направлением будут работать профессионалы.

Вести учет носителей персональных данных

Важно следить за всеми компьютерами, флешками, серверами, на которых хранятся персональные данные клиентов. Все неучтенные переносные носители данных (флешки, жесткие диски) не должны подключаться к системе компании

Для контроля нужно вести специальный журнал — бумажный или электронный.

Журнал может выглядеть так:

Рег. номер	Дата постановки	Назначение	Категория ПД	Место хранения	Должность пользователя	Реквизиты акта об уничтожении

С таким журналом вы точно будете знать, где находится вся техника, на которой размещены ПД. Например, не будет неучтенных флешек, которые можно вынести за территорию компании.

Шифровать данные

Один из эффективных способов защиты имеющейся информации. Даже если злоумышленники получат вашу базу, воспользоваться зашифрованными данными будет намного сложнее.

Использовать защитное ПО

В каждой организации, которая хранит у себя персональные данные пользователей, должно стоять специальное ПО. Среди них антивирусы, файрволы и другие программы, которые помогут защитить данные от возможного воровства. Отдельно стоит отметить DLP-системы, которые специализируются на защите от утечек.

Что такое трипваер и для чего он нужен

Проверять системы на уязвимость

Для этого компания может заказать пентест, анализ защищенности систем или их безопасности. Такие исследования могут быть направлены на:

• специальную имитацию атаки хакеров на системы компании с целью определить ее слабые места;

• проверку работоспособности систем компании и выявление всех возможных уязвимостей;

• проверку соответствия информационной системы и всех связанных процессов рекомендациям нормативных документов, ПО и производителей оборудования.

Уточнение порядка трансграничной передачи данных

В связи с внесенными изменениями в Федерального закона № 152-ФЗ Роскомнадзором уже реализован сервис по направлению уведомления об осуществлении трансграничной передачи персональных данных по установленной форме.

Операторы, которые осуществляли трансграничную передачу до дня вступления в силу Федерального закона № 266-ФЗ и продолжают осуществлять такую передачу после дня его вступления в силу, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомления об осуществлении их трансграничной передачи. (ч. 5 ст. 6 266-ФЗ).

Также с 1 марта 2023 года планируется вступление в силу трех проектов Постановлений Правительства РФ, касающихся трансграничной передачи персональных данных (регулирующих порядок принятия решений о запрещении или об ограничении такой передачи как Роскомнадзором, так и иными уполномоченными органами, а также предусматривающих случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона 152-ФЗ.

3.ИЗМЕНЕНИЯ ДЛЯ ИНОСТРАННЫХ ГРАЖДАН, ОСУЩЕСТВЛЯЮЩИХ ТРУДОВУЮ ДЕЯТЕЛЬНОСТЬ НА ОСНОВАНИИ ПАТЕНТА

С 1 января 2024 года7500 руб
С 7 января 2024 годаПолисе ДМС
С 7 января 2024 годав течение 2 месяцев

• Уведомление требуется подать независимо от того, заключен ли трудовой или гражданско-правовой договор выполнения работ (оказания услуг), с юридическим или физическим лицом, в письменной или устной форме.
• Уведомление можно подать:
• лично;
• почтовым отправлением с уведомлением о вручении;
• в форме электронного документа через портал Госуслуги (МВД РФ обещают такую возможность в 2024 году, правда пока не понятно, будет ли она реализована к 07.01.2024).

от 05.09.2023 № 655

• Уведомление заполняется разборчиво от руки или с использованием пишущей машинки, компьютера, на русском языке.
• Не допускается: зачеркиваний, сокращения слов (кроме официальных), аббревиатур (кроме официальных) и исправлений.
• В уведомлении должны быть заполнены все поля.
• При недостаточности знакомест в соответствующем поле к уведомлению заполняется дополнительные листы (приложение).
• На бумажном носителе уведомление и проложенная к нему копия трудового или гражданско-правового договора представляются в территориальное подразделение МВД России, на региональном и районном уровнях. Например, в настоящее время в г. Москве, патент выдает УВМ ГУ МВД России по г. Москве в ММЦ Сахарово, а копия трудового или гражданско-правового договора, представляется в районное подразделение по вопросам миграции МВД России.
• Должностное лицо МВД России проставляет на уведомлении регистрационный номер и дату приема. При личной подаче уведомления в подразделение МВД России выдается справка. Исходя из текущей практики, рекомендуем готовить уведомление в 2-х экземплярах.
• Сведения о приеме уведомления должностное лицо МВД России обязано внести в течение 3 рабочих дней, с даты его поступления.
• Помимо сведений об иностранном работнике, выданном ему патенте, заключенном договоре, форма уведомления предусматривает указание информации об ИНН, договоре (полисе) ДМС трудового мигранта или полисе ОМС, номере телефона и электронной почте иностранного гражданина.
• Если с иностранным гражданином заключен гражданско-правовой договор в устной форме, указываются сведения о заказчике работ (услуг) – юридических и физических лицах, включая данные об их регистрации и местонахождении. Сведения о регистрации юридического лица или индивидуального предпринимателя проверяются должностным лицом МВД России при приеме уведомления.

Обязанность хранить доказательства уничтожения ПД в течение 3 лет

Вступили в силу и будут действовать до 1 марта 2029 года Требования к подтверждению уничтожения ПД (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179).

До вступления изменений в силу операторы самостоятельно определяли порядок фиксации факта уничтожения ПД.

Отметим, что организации и раньше могли оформлять такие документы. Кроме того, делать это рекомендовал Роскомнадзор. Однако с 1 марта 2023 года составлять такой акт нужно обязательно, и к данному документу предъявляются определенные требования.

Оператор должен составить акт в случаях:

• уничтожения материальных (бумажных) носителей, содержащих ПД (обработка без использования средств автоматизации);
• уничтожения ПД, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации).

Помимо прочего, акт об уничтожении должен содержать перечень категорий уничтоженных ПД, наименование уничтоженного носителя, содержащего ПД. В акте необходимо отразить, в частности:

• количество листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
• наименование информационной системы ПД, из которой данные были уничтожены (при их обработке с использованием средств автоматизации);
• способ и причину уничтожения.

Если обработка осуществлялась с использованием средств автоматизации, подтверждением факта уничтожения ПД послужит также выгрузка из журнала регистрации событий в информационной системе персональных данных (вместе с актом об уничтожении). Если указать часть данных в выгрузке невозможно, их можно отразить в акте. В рассматриваемом случае подтверждением будут оба способа, независимо от того, как обрабатывались ПД.  

Отметим, что под уничтожением ПД понимаются действия, после осуществления которых невозможно восстановить содержание ПД. Например, шредирование материальных (бумажных) носителей ПД.

Уничтожение ПД оператор осуществляет:

• при отзыве субъектом ПД согласия на их обработку;
• после достижения целей обработки или в случае утраты необходимости в достижении этих целей;
• если их обработка неправомерна (например, если Роскомнадзор отказал в трансграничной передаче ПД иностранным лицам);
• при получении требования от субъекта ПД об уничтожении его данных в случае, если они являются незаконно полученными, неполными, неточными, устаревшими, или не являются необходимыми для цели обработки.

Важно правильно оформлять акты и выписки, поскольку именно эти документы обезопасят оператора в случае претензий со стороны субъектов ПД и Роскомнадзора и позволят подтвердить прекращение обработки определенных данных

Обращаем внимание: если Роскомнадзор или субъект ПД потребует уничтожения данных, а оператор не выполнит требование, и если при этом ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, компания может быть привлечена к административной ответственности по. Штраф за такое нарушение установлен в размере до 90 тыс

руб.

В то же время правильно оформленным Актом об уничтожении (и выпиской) компания сможет доказать выполнение обязанности и обезопасит себя от разбирательств.