Обработка персональных данных: образцы всех документов 2022
Работодатель – оператор персональных данных
Защита и обработка персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ.
Персональные данные люди передают многим юридическим лицам (например, банкам, магазинам или салонам красоты).
Работодатель также признается оператором персональных данных. Однако уведомлять об их обработке Роскомнадзор не надо, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Закона N 152-ФЗ). Вместе с этим, на работодателе лежит ответственность за корректную организацию системы обработки и защиты персональных данных своих сотрудников.
Поскольку без этой информации не сможете принять его на работу. Если по должности обязательно образование, можете обрабатывать данные диплома или аттестата сотрудника.
А если для работы нужен медосмотр, сможете также запросить информацию о состоянии его здоровья (ст. 213 ТК).
Полный список документов с видами персональных данных, которые они содержат, смотрите в таблице.
Положение о защите персональных данных в 2022 году
Чтобы учесть все новшества законодательства о персональных данных в 2022 году в положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ).
Положение о защите персональных данных зачастую называют Положением о работе с персональными данными. Никакой ошибки в этом нет. Суть документа зависит от содержания, а не от названия. Главное, чтобы в Положении были определены: порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов.
Приведем образец приказа об утверждении положения о защите персональных данных в 2022 году. Образец самого положения, актуальный в 2022 году, вы можете скачать в конце этой статьи.
Приказ о назначении ответственного за перс.данные
Назначьте ответственного за обработку персональных данных, с него и с остальных лиц, имеющих к ним доступ, возьмите обязательство о неразглашении. Приведем примеры этих документов.
Обязательство о неразглашении перс.данных
Если человек (работник организации) имеет доступ к персональным данным работников, то с него нужно взять обязательство о неразглашении этих сведений. Приведем пример обязательства о неразглашении персональных данных сотрудников:
Согласие работника на обработку перс.данных
При приеме на работу оформите согласие работника на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.
Срок действия согласия закон не ограничивает, поэтому можно указать любой срок. Например, до дня его отзыва (ст. 9 Закона N 152-ФЗ). Подробнее об оформлении согласия вы можете прочитать в отдельной статье “Каким должно быть согласие на обработку персональных данных“. В этой же статье вы посмотреть образец согласия, актуальный в 2022 году.
Согласие на передачу персональных данных
Имейте в виду, что персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ).
Актуально на 27 января 2022
Положение о работе с персональными данными (образец)
Актуально на 27 января 2022
Бланк положения о защите персональных данных работников
Когда необходимо отправлять уведомления в Роскомнадзор
Уведомлять Роскомнадзор о планах обрабатывать личную информацию будет необходимо и в случаях, когда эти сведения (абз. 2 пп. “а” п. 14 ст. 1 Проекта Федерального закона N 101234-8):
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персональные данные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
Уведомление можно отправить в виде бумажных документов по почте, либо в электронном виде. Инструкции для каждого варианта на сайте РКН.
После обработки уведомления Роскомнадзор включит оператора в свой реестр. Проверить наличие оператора персональных данных в реестре можно на сайте Роскомнадзора.
Сейчас в этих и некоторых других случаях извещать Роскомнадзор не нужно. Оператор должен будет до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту (пп. “б” п. 9 ст. 1 проекта ФЗ).
Трансграничная передача данных
Также с 1 марта 2023 года компании будут обязаны уведомлять РКН в случае, если они отправляют персональные данные из РФ за границу. При этом при определении трансграничной передачи будет учитываться не страна регистрации принимающей стороны, а расположение инфраструктуры. В отдельных случаях контролирующие органы могут ограничить передачу персональных данных за границу. Кроме того, вводится принцип экстерриториальности для российского законодательства о персональных данных. Таким образом, обработка персональных данных граждан РФ за границей также будет объектом регулирования соответствующих органов государственной власти РФ.
- 02.02.2023 C 1 марта 2023 года Роскомнадзор сможет запрещать операторам ПД передавать данные за границу
- 17.03.2023 Оформление передачи персональных данных за границу: условия, штрафы, алгоритм уведомления
Обязанность уведомления об инцидентах
Нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений в течение 24 часов после происшествия, с указанием предполагаемых причин инцидентов и мерах по их устранению (абз. 2 п. 11 ст. 1 проекта ФЗ). 11.08.2022 На заседании Общественного совета при Роскомнадзоре необходимость этого изменения Роскомнадзор обосновал так: “Это необходимо, чтобы как можно быстрее снизить доступность таких баз персональных данных в интернете. Также обработка персональных данных станет возможна только в целях договора, в котором нет условий, ограничивающих человека в его праве контролировать свои персональные данные – получать информацию об обработке, требовать удаления или уничтожения данных, не соглашаться с передачей данных третьим лицам.”.
19.12.2022 Подать информацию об инцидентах и результатах их внутренних расследований можно по ссылкам с сайта РКН, пройдя идентификацию ЕСИА (Госуслуги).
Раннее такая обязанность возлагалась только на компании-операторов критической инфраструктуры. Все они с 2018 года были обязаны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), созданной на основании Указа Президента РФ №31с от 15.01.2013. Информация, собранная в указанной системе, обрабатывается Национальным координационном центре по компьютерным инцидентам (НКЦКИ) и все операторы, подлючённые к ГоСОПКА, имеют доступ к актуальной информации об утечках, критических уязвимостях и кибератаках на объекты критической инфраструктуры. Новый закон, по-видимому, распространит аналогичные практики на всех операторов персональных данных. Подключение к системе ГоСОПКА осуществляется с помощью компаний, настроивших безопасную передачу данных с этой системой и предоставляющих услуги по подключению новых компаний (чаще всего это операторы связи, либо компании, работающие в сфере кибербезопасности). С 1 марта 2023 года Роскомнадзор будет вести учёт инцидентов в специализированном реестре.
Уведомление об утечке персональных данных
Уведомление об утечке персональных данных может быть двух видов: первичное или дополнительное.
-
Первичное уведомление необходимо направить в течение 24 часов. В нём описывают произошедший инцидент,
предполагаемые причины, нанесённый вред и меры устранения. -
Дополнительное уведомление отправляется в течение 72 часов с момента происшествия инцидента. В него требуется
включить детали о результатах проведённого внутреннего расследования, включая информацию о лицах, которые были
признаны виновными в инциденте, а также представить все связанные с ними данные.
Также в течение трёх дней оператор обязан представить все необходимые данные по запросу Роскомнадзора. Сделать это
нужно, если ведомство считает полученную информацию неполной или недостоверной.
Важно отметить, что Роскомнадзор сам может запросить уведомление, если самостоятельно заметит утечку у оператора.
Тогда оператору необходимо провести расследование и в случае отсутствия инцидента приложить соответствующий акт.
Что делать в 2021 году
Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.
Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.
Компания должна выполнить следующее:
-
Изучить все источники поступления ПДн в организацию, цели поступления и состав данных.
К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный. - Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
- Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
-
Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным.
Документы, в которых прописано, кто и за что отвечает. - Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
- Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
-
Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных.
Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк. - Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
- Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
-
Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже?
Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов. -
Составить годовой план и реализовать его.
Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.
Два пути
Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами
Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:
- делать все самостоятельно (силами организации);
- доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.
Что делать, если от оператора пришла SMS c просьбой уточнить паспортные данные
Если вы читаете этот текст, то, видимо, вам пришла SMS от МТС с просьбой обновить ваши паспортные данные и ссылка на соответствующую форму. Мы написали этот текст, чтобы все разъяснить.
Что происходит
По закону «О связи» каждый пользователь мобильного номера должен быть идентифицирован. Все сведения об абонентах, хранящиеся у оператора, теперь проходят обязательную проверку в государственной базе данных. И порой случается так, что данные не совпадают. Произойти это может по разным причинам.
Даже если ваш номер когда-то оформлялся по всем правилам, паспортные данные в базе оператора со временем становятся устаревшими — например, из-за того, что заканчивается срок действия документа, удостоверявшего личность в день подключения. Сотрудник магазина мог ошибиться при занесении данных. Могут быть и другие, более редкие истории.
Что будет, если данные не обновить
Закон требует от операторов связи блокировать номера абонентов, чьи данные по любым причинам неактуальны.
Что делать
Чего делать не надо
Если внести вымышленные данные, например, назвать себя Гендальфом Серым или Ханом Соло, это выявит автоматическая сверка с данными государственной системы межведомственного электронного взаимодействия. И ваш номер снова окажется под угрозой блокировки.
Список нормативных документов
- Ст. 44 и 64 Федерального закона от 07.07.2003 № 126-ФЗ «О связи» (в редакции Федерального закона от 29.07.2017 № 245-ФЗ);
- П. 14 Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность (утв. постановлением Правительства РФ № 538 от 27.08.2005);
- П. 8.9 «Условий оказания услуг подвижной связи МТС».
Теле2 просит подтвердит паспортные данные через Госуслуги // МТС торгует «каналом продаж»: смс-спамом
Все бы ничего, только вот симку я покупала в их салоне с предъявлением паспорта, а к Госуслугам привязан основной мой номер другого оператора. Теле2 по сути нужен для регистрации на всякой левоте типа Авито, чтобы не загаживать основной номер спамом.
С какого лешего # теле2 вдруг захотел привязаться к моим Госуслугам? Уж не для воровства ли личных данных?
Когда-то у Теле2 были самые дешевые тарифы, сейчас это оператор со средними ценами и самым неловящим интернетом по Самаре . Но на него зарегистрирована часть соцсетей, поэтому номер терять бы не хотелось. Именно ради того, чтобы не потерять номер я периодически пополняю баланс и трачу немного с него. Иначе отключат как бездействующий.
Но привязки к Госуслугам наличие номера не стоит. Сейчас прошерстю что у меня подключено к Теле2 и насколько он вообще нужен. Вот Дзен, например, который как бы хочет мое селфи с паспортом, оформлен на Теле2, который хочет от меня Госуслуг. Не попрощаться ли с обоими?
Альтернативой подтверждения через Госуслуги является визит в салон Теле2, где, видимо, малолетки отсканируют мой паспорт для торговли им в Телеге для подтверждения того, что ничего не изменилось.
Просто так гонять людей в салон, чтобы, вероятно, иметь возможность наподключать им услуг (или как минимум зачитать продающий скрипт) при всей ситуации 2020-2021 года. как-то неприлично чтоли.
Хорошо, что хоть как Дзен селфи с паспортом не просят.
Эпичненько, что интернет Теле2 в моем районе не ловит . То есть на работе я им пользоваться могу, а вот дома — нет сети .
А о том, что если я не припрусь в салон с короной с паспортом кашлять на окружающих или не подтвержу резервный по сути номер к Госуслугам, мне сообщают в приложении Теле2. Которые, на минуточку, из-за теледвашного неловящяго интернета открыть можно только через вайфай от Ростелекома . Который тоже не фонтан, но хоть в Госуслуги мне не лезет и, опять же, селфи не просит .
Отдельное удовольствие доставила новая реклама моего многострадального МТСа . То они мне курсы английского через спам-звонки впаривают, то перейти на невыгодные новые тарифы предлагают. Качеством связи я, в принципе, довольна. а вот сопуствующими попытками развода не очень .
Суть рекламы, в том, что робот ка Ярмольника взбунтовалась из-за малой проходиомости кухни Ярмольника и готова уйти работать в метро. Отличная шутка, ага. Под этим соусом # мтс предлагает продвижение товаров-услуг-разводов через диджитал-каналы. Один из которых смс.
А кому будут слать смс на основании ворованных полноправно используемых личных данных? Ну, конечно же абонентам МТС. Браузеры за нами следят, банки за нами следят, соцсети за нами следят, тут еще сотовые операторы, которые могут даже без интернета контролировать все, включая передвижение абонента, такие:
Чтобы прокомментировать или ответить, прокрутите страницу вниз ⤓
Высокая
Высокая степень вреда присваивается, если:
- ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат.
Исключение – случаи, когда обработка таких данных прямо предусмотрена законом; - ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных
или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи,
установленные федеральными законами для специальных категорий ПД; - ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
- обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также
других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ; - иностранному гражданину поручено вести обработку персональных данных граждан РФ;
- осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.
А если доверить работу собственному юристу?
В каждой компании есть собственный юридический отдел, юрист или же сотрудник, «исполняющий обязанности юриста».
Если у вас есть отдельное юридическое подразделение с опытными специалистами, то разрешить все организационно-правовые вопросы в сфере персональных данных будет реально.
Но без опыта и нужной квалификации штатный юрист навряд ли сможет досконально проанализировать работу компании в сфере обработки ПД. К чему отвлекать штатного юриста, рискуя стать жертвой его ошибки, когда можно доверить работу профессионалам?
Мы с 2017 года помогаем бизнесу обеспечить доскональное соблюдение законодательства о персональных данных и успешно отладили работу более чем в 35 компаниях.
Уточнение порядка трансграничной передачи данных
В связи с внесенными изменениями в Федерального закона № 152-ФЗ Роскомнадзором уже реализован сервис по направлению уведомления об осуществлении трансграничной передачи персональных данных по установленной форме.
Операторы, которые осуществляли трансграничную передачу до дня вступления в силу Федерального закона № 266-ФЗ и продолжают осуществлять такую передачу после дня его вступления в силу, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомления об осуществлении их трансграничной передачи. (ч. 5 ст. 6 266-ФЗ).
Также с 1 марта 2023 года планируется вступление в силу трех проектов Постановлений Правительства РФ, касающихся трансграничной передачи персональных данных (регулирующих порядок принятия решений о запрещении или об ограничении такой передачи как Роскомнадзором, так и иными уполномоченными органами, а также предусматривающих случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона 152-ФЗ.
Изменения в 152-ФЗ с 1 марта 2023 года
С 1 марта 2023 года начнут действовать дополнительные правила работы с персональными данными.
Правило о трансграничной передаче ПД. Под трансграничной подразумевается передача данных через границу иностранным операторам.
Роскомнадзор утвердит список стран, которые обеспечивают адекватную защиту прав субъектов персональных данных. Прежде всего, это страны Конвенции Совета Европы о защите физлиц при автоматизированной обработке данных: Болгария, Польша, Литва, Словения, Турция, Украина, Великобритания и т.д.
До начала трансграничной передачи российская компания обязана уведомить Роскомнадзор. Служба примет решение: разрешить или запретить передачу данных иностранному оператору. Подать уведомление можно через специальный портал. Нужно успеть до 1 марта 2023 года.
Специальная процедура оценки вреда. Ст. 18.1 ФЗ «О персональных данных» перечисляет меры, направленные на сохранность ПД. Среди них есть пункт «оценка вреда, который может наступить в случае нарушения 152-ФЗ». До сих пор регламента проведения оценки не было. К 1 марта 2023 года Роскомнадзор должен разработать такой регламент. Соответственно, операторы обязаны будут действовать по утверждённой процедуре.
Частые вопросы
При необходимости подтверждения паспортных реквизитов у многих пользователей периодически возникают различные вопросы.
Номер оформлен на другого – что делать
Изменения в законе «О связи» вынуждают операторов проверять, кто использует номер – юридическое лицо или человек, на которого зарегистрирована сим-карта. При обнаружении расхождений компании требуется расторгнуть соглашение односторонним способом. Но такая ситуация почти не наблюдается.
Операторы связи не имеют достаточного количества ресурсов для проверки каждого абонента. Еще несколько лет назад количество активных мобильных номеров превысило 255 миллионов. Это в 2 раза больше численности населения РФ.
Обычно компания предоставляет 2 недели на переоформление соглашения. Если пренебречь этим требованием, результат будет тем же, что и с подтверждением данных. При этом услуги будут приостановлены.
С номерами, используемыми детьми, ситуация обстоит сложнее. Согласно Гражданскому кодексу, подростки могут заключать соглашение на получение услуг мобильной связи, начиная с 14 лет. Но в салон ребенку стоит приходить с родителями или опекунами. Детям помладше телефонный номер требуется регистрировать на родителей. Это не считается нарушением.
Для переоформления номера требуется обращаться в салон сразу двум людям. Это должен сделать абонент и человек, на которого оформлено соглашение. Им нужно взять с собой паспорт. Данная услуга является платной. Ее стоимость составит 50-150 рублей – все зависит от оператора связи.
Как регистрировать корпоративные номера
Изменения, которые затрагивают корпоративных абонентов, были приняты еще в 2021 году. Именно тогда в закон «О связи» внесли поправки, согласно которым юридические лица и индивидуальные предприниматели должны были вносить сведения о корпоративных сим-картах в особый реестр. Он называется Единой системой идентификации и аутентификации. Более того, одному из работников компании или индивидуальному предпринимателю требовалось прикреплять определенный номер к конкретным работникам.
Через сайт Госуслуг необходимо сообщить о следующих видах сим-карт:
- в смартфонах, которые используют работники;
- в оборудовании, для которого требуется мобильный интернет, – это, в частности, касается терминалов для оплаты или шлагбаумов.
Помимо телефонного номера, требуется вносить в реестр паспортные реквизиты сотрудников, которые применяют номера и данные оборудования. В частности, нужно указывать вид и название аппарата, идентификатор, адрес, наименование и ОГРН мобильного оператора.
Корпоративные номера, которые не прошли регистрацию в системе, отключаются. В настоящее время корпоративным клиентам не удастся оформить новый номер телефона, не пройдя регистрацию в ЕСИА. Потому при покупке сим-карты для бизнеса после 2021 года волноваться не следует – информация уже прошла актуализацию.
В последнее время пользователям все чаще поступает информация о необходимости подтверждения данных через сайт Госуслуг. Это обусловлено изменениями, которые были внесены в закон «О связи», и решает целый ряд задач.
id=»ob-obnovlenii-152-fz-korotko» id=»ob-obnovlenii-152-fz-korotko» >Об обновлении 152-ФЗ коротко
-
Персональные данные — это любая информация, которая идентифицирует человека: ФИО, дата рождения, номер телефона, адрес почты. Если компания собирает персональные данные клиентов и пользователей, то считается их оператором и обязана соблюдать 152-ФЗ.
-
Поправки в 152-ФЗ должны минимизировать утечки личной информации. Если утечка всё же произошла, в течение суток необходимо оповестить Роскомнадзор. А в течение трёх — расследовать инцидент и отчитаться о результатах. В скором времени ФСБ разработает порядок взаимодействия с ГосСОПКой: её тоже надо будет информировать об инцидентах.
-
До начала обработки ПД отправьте уведомление в Роскомнадзор. Их же следует поставить в известность, если произошли изменения в персональных данных, либо вы прекратили их обрабатывать. Все формы уведомлений есть в Приказе, срок — десять рабочих дней.
-
Обновите согласия на обработку персональных данных, политику конфиденциальности и все локальные акты в этой сфере. Уберите положения, которые ограничивают права пользователей, пропишите цели сбора ПД.
-
На запросы пользователей отвечайте в течение десяти дней. В этот же срок прекратите обрабатывать личную информацию, если человек на этом настаивает.
-
Не отказывайте клиенту в обслуживании, ссылаясь на его отказ сдать биометрию: это нарушение 152-ФЗ.
- До 1 марта 2023 года организация, которая передаёт ПД через границу, обязана получать одобрение Роскомнадзора. Подать уведомление можно через официальный портал. Если служба не даст разрешения, трансграничную передачу персональных данных придётся прекратить, а ранее переданные сведения — уничтожить.
Что будет, если не подать?
Как минимум гарантированно наступит ответственность по ч. 1 ст. 19.7 КоАП РФ за непредставление сведений (информации). Штрафы небольшие – до 5000 рублей.
Но не все так просто!
- Во-первых, даже вовремя представленное уведомление не гарантирует вам спокойную жизнь. Уведомление РКН об обработке персональных данных потребует проверки того, как у вас устроена работа с ними.
- Во-вторых, нарушение законодательства о персональных данных (ст. 13.11 КоАП РФ) это уже куда более серьезный состав! Первичные штрафы для юридического лица могут доходить до 100 тыс. рублей, а повторное совершение правонарушения обойдется уже до 300-600 тысяч рублей!
Что нужно сделать с 1 сентября?
Сама процедура уведомления в свете новых поправок в законодательство не выглядит сложной, но требует определенного опыта и понимания нюансов законодательства о персональных данных.
Вариантов направить уведомление в РКН несколько:
- На сайте ведомства можно заполнить специальную форму, распечатать ее, подписать, поставить печать и в бумажном виде направить в территориальное управление РКН.
- Уведомить РКН электронно, подписав документ квалифицированной электронной подписью. Есть ряд требований к софту для использования ЭЦП и некоторые другие нюансы.
- Направить электронное сообщение в РКН через Госуслуги при наличии подтвержденной записи, привязанной к ИП или ООО. Дублировать бумажно уведомление не требуется.
ВАЖНО: Ранее нужно было выслать уведомления до сентября 2022 года, но буквально накануне вступления закона в силу РКН сообщил, что 1 сентября не является крайним сроком подачи уведомления. Если вы не хотите вникать во все эти тонкости и изучать непростое законодательство о ПД – наши специалисты быстро и грамотно подготовят уведомления для РКН, а заодно дадут практические рекомендации по организации работы с персональными данными
Если вы не хотите вникать во все эти тонкости и изучать непростое законодательство о ПД – наши специалисты быстро и грамотно подготовят уведомления для РКН, а заодно дадут практические рекомендации по организации работы с персональными данными.
Обновить положения, касающиеся получения биометрических ПД
Что изменилось в законе. Предоставление биометрии не является обязательным условием для заключения договора. Исключения связаны лишь с осуществлением правосудия и исполнением судебных актов. В остальных случаях оператор не имеет права отказать пользователю в обслуживании, если тот не хочет сдавать, например, отпечаток пальца.
Что нужно сделать бизнесу. В текст договора с клиентами добавить пункт «Предоставление биометрических персональных данных не является обязательным. Отказ в их предоставлении не влечет отказа оператора в обслуживании».
Ответственность. Наказание за обработку ПД, не предусмотренную законодательством, закреплено в ст. 13.11 КоАП. Должностное лицо оштрафуют на сумму от 10 до 20 тысяч, а компанию — на сумму от 60 до 100 тысяч рублей.
Биометрическая идентификация, наравне с открытым банкингом и искусственным интеллектом, помогает снижать издержки и повышать эффективность финуслуг. Но только, если действовать в рамках закона. Прочтите, как выдержать баланс между внедрением технологий и требованиями госорганов.
Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора
В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.
Что происходит после истечения срока годности?
После истечения срока годности сим-карты могут случиться следующие ситуации:
-
Сим-карта становится непригодной для использования: После истечения срока годности оператор может прекратить предоставление услуг и отключить сим-карту. В этом случае сим-карта становится непригодной для использования и не может быть активирована снова. Если вам необходимо продолжить использование мобильного номера, вам потребуется приобрести новую сим-карту у оператора.
-
Сим-карта может оставаться активной, но с ограниченными услугами: В некоторых случаях оператор может продлить срок годности сим-карты автоматически, но при этом ограничить доступ к некоторым услугам, таким как отправка SMS или звонки на определенные номера. В этом случае сим-карту можно продолжать использовать, но с некоторыми ограничениями.
-
Сим-карта может быть дезактивирована и заблокирована: Если вы не продлите срок годности сим-карты или не пополните ее баланс в течение определенного периода после истечения срока, оператор может дезактивировать и заблокировать сим-карту. В этом случае сим-карту нельзя будет активировать снова, и ее номер будет недоступен.
Чтобы избежать проблем после истечения срока годности сим-карты, рекомендуется своевременно продлевать срок ее действия или пополнять баланс, в зависимости от требований оператора.
Закон не имеет границ
Новой нормой (ч. 1.1. ст. 1), дополнившей Федеральный закон № 152-ФЗ, закреплен принцип экстерриториальности применения указанного закона. Теперь его требования должны соблюдаться иностранными операторами в случаях, когда они обрабатывают персональные данные наших граждан на основании договора, иных соглашений либо на основании согласия гражданина Российской Федерации на их обработку. Интересно, что данная новелла схожа с аналогичными требованиями европейского законодательства.
Несмотря на то, что формально новая норма регулирует положение иностранных операторов, ее введение также может косвенно повлиять и на деятельность российских. Ведь теперь компаниям при построении отношений с зарубежными партнерами необходимо будет исходить из новых условий, в частности, принимать меры, чтобы их контрагенты заранее понимали, что обязаны соблюдать требования российского законодательства, когда обрабатывают персональные данные российских граждан.
Уничтожение персональных данных: новые правила
Защита персональных данных с 1 марта 2023 года претерпела изменения в правилах уничтожения сведений.
Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о
персональных данных. В документе прописаны порядок и требования к данной процедуре.
Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию
уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.
Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала,
где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом.
В нём дописывают недостающую информацию. Срок хранения акта 3 года.