Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года

Опубликовано

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Исключения из общего правила
2. Сколько согласий запрашивать?
3. Согласие на обработку персональных данных
4. Общедоступные данные по-новому
5. Штрафы за неуведомление Роскомнадзора
6. Что является персональными данными по закону
7. Судебная практика по спорам о защите персональных данных
8. Обработка персональных данных
9. Юридические основания
10. Как получить согласие на обработку персональных данных

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Исключения из общего правила

Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:

  • сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
  • в одной организации могут работать несколько сотрудников с одинаковыми именами;
  • ФИО общедоступны, в отличие от других сведений о гражданах.

Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.

Среди характеристик методов преобразования сведений:

  • обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
  • вариативность, или возможность изменить метод обезличивания в процессе обработки;
  • стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
  • возможность косвенного деобезличивания в едином массиве с данными других операторов;
  • совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
  • небольшой параметрический объем;
  • возможность контроля качества данных.

Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:

  • метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
  • изменение семантики, при котором удаляется или заменяется часть информации;
  • декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
  • перемешивание персональных данных, принадлежащих различным субъектам.

Подотчетным станет сбор персональных данных:

  • в ходе трудовых отношений,
  • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
  • уже упомянутых ФИО,
  • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
  • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Читайте также:  Пенсия по потере кормильца в 2023 году

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Читайте также:  Сколько зарабатывает адвокат в 2023?

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Среди персональных данных выделяют «чувствительные» категории – специальные данные и биометрические данные. Для них предусмотрен еще более строгий порядок обработки.

Специальные ПД – это указание на расу, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь, судимость. Обработка таких сведений допускается только при наличии письменного согласия человека – кроме случаев, когда «чувствительные» данные общедоступны, и случаев, предусмотренных трудовым, пенсионным или страховым законодательством.

Биометрические ПД – это сведения, характеризующие физиологические и биологические особенности человека, с помощью которых можно установить его личность. Роскомнадзор к таким данным относит отпечатки пальцев, радужную оболочку глаза, анализы ДНК, рост, вес, а также фото и видеоизображение человека.

Фотография сама по себе не является ПД, однако если рядом с ней есть указание на имя и фамилию и/или должность и вкупе эти сведения позволяют идентифицировать человека, то фото в данном случае будет «биометрическим ПД».

Кроме того, публикуя портретное фото, журналисту нужно помнить о праве на изображение.

При публикации информации о детях, их фотографий всегда необходимо письменное согласие родителей (опекуна).

Писать о детях-жертвах преступлений нужно особенно осторожно. Согласно ст. 4 закона «О СМИ», запрещается публиковать в СМИ и Интернете информацию о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), включая ФИО, фото- и видеоизображения такого несовершеннолетнего, его родителей и иных законных представителей, дату рождения, аудиозапись голоса, место жительства или место временного пребывания, место учебы или работы, иную информацию, позволяющую прямо или косвенно установить личность несовершеннолетнего.

Исключения составляют случаи, когда распространение такой информации происходит в целях защиты прав и интересов несовершеннолетнего. Условия использования ПД в такой ситуации указаны в ст. 41 закона «О СМИ» – их можно распространять только с письменного согласия родителя (опекуна) ребенка. Если несовершеннолетнему исполнилось 14 лет, нужно получить два согласия: подростка и его родителей (опекуна). Если получить согласие невозможно, либо если законный представитель является подозреваемым или обвиняемым в совершении противоправных действий, допустимо использовать данные без согласия.

Те же условия действуют в ситуации, когда речь идет о несовершеннолетнем, совершившим преступление (административное правонарушение или антиобщественное действие) либо подозреваемым в его совершении.

Публикации о детях-жертвах сексуальных преступлений допускаются только в целях расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних. И только в объеме, необходимом для достижения указанных целей (ст. 41 закона «О СМИ»).

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.

В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.

С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.

Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.

Судебная практика по спорам о защите персональных данных

Конституционный Суд РФ решил, что норма Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ.

Читайте также:  Старикам здесь место, или Что будет происходить в России в 2023 году

В Конституционный Суд РФ с жалобой на несоответствие Конституции РФ статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, обратилась гражданка. Заявительнице было отказано в предоставлении данных на третьих лиц, которые ранее являлись ее коллегами в образовательном учреждении. Гражданка сочла, что эта норма противоречит части 4 статьи 29 Конституции РФ, поскольку позволяет правоприменительным органам отказывать в предоставлении информации, необходимой для защиты нарушенных прав гражданина.

Конституционный Суд определением от 26 мая 2016 г. N 1158-О отказал гражданке в принятии жалобы к рассмотрению. Судьи отметили, что КС РФ уже неоднократно указывал, что в понятие «частная жизнь» включается только та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер. Поэтому ограничение на раскрытие и распространение информации, относящейся к персональным данным, направлено на обеспечение разумного баланса конституционно-защищаемых ценностей. В связи с этим оспариваемая заявительницей норма закона не может рассматриваться как нарушающее ее конституционные права в указанном в жалобе аспекте.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Юридические основания

Вопросы о том, какие сведения относятся к рассматриваемой категории рассматриваются в законе № 152-ФЗ, «О персональных данных» от 27 января 2007 года. Основанием для принятия этого нормативного акта является необходимость обеспечения прав и свобод граждан.

В нём применяется очень широкая трактовка того, что представляют собой персональные данные (ПДн). Здесь рассматривается то, какие сведения охраняются, что считается обработкой и по каким правилам она должна происходить.

При этом информация любого характера, имеющая отношение к конкретному лицу подпадает под действие этого закона. Этот нормативный акт регламентирует, то, какая именно обработка такой информации допустима и как она должна храниться.

Как получить согласие на обработку персональных данных

Обработка ПД – любые действия с личной информацией о человеке:

  • получение (сбор персональных данных);
  • структуризация;
  • хранение на любых носителях (в электронных и бумажных архивах);
  • анализ;
  • использование в коммерческой, социальной, государственной деятельности;
  • передача другим владельцам или предоставление доступа к базе;
  • обезличивание – устранение очевидной связи между человеком и его ПД;
  • блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
  • удаление и обновление;
  • ликвидация без возможности восстановления.


Похожие записи:

Добавить комментарий