Обзор изменений закона о персональных данных на 1 сентября 2022 года

Отправка уведомлений о прекращении обработки персональных данных

Когда собрание проведено, а протокол передан в управляющую организацию (ГЖИ), то инициатор должен уведомить РКН о прекращении обработки персональных данных.На это дается десять рабочих дней с даты прекращения обработки персональных данных.

Форма такого уведомления проще, но нужно приложить документы, подтверждающие прекращение обработки.И еще из минусов: на сайте нашлась только та форма, которую нужно заполнить электронно и продублировать бумагой.

Вот сама форма. Начало заполняется несложно – куда направляется (где находитесь) и от кого. Дальше нужно найти и указать номер записи в реестре уведомлений. Номер записи ищется в неудобном реестре уведомлений. В поле «организация» можно указать свою фамилию (фамилия и имя – уже не находит). 

Номер копируется в специальное поле. Осталось поставить отметку – «основание прекращения» и прикрепить подтверждающие документы:

Приложениями будут документы о передаче протокола, например, акт о передаче протокола в УК или сопроводительное письмо в ГЖИ, а также акт об уничтожении информационной системы персональных данных на компьютере.

Сопроводительное письмо к протоколу в ГЖИСкачать
Акт передачи протокола в управляющую организациюСкачать
Акт об уничтожении персональных данных собственниковСкачать

В акте об уничтожении данных в комиссию, помимо инициатора собрания, можно включить членов счетной комиссии, председателя или секретаря собрания.

После отправки уведомления в электронном виде надо продублировать то же самое на бумаге. 

РКН рассматривает уведомления (и об обработке, и о прекращении) в течение 30 дней с даты поступления уведомления (обычно быстрее) и включает / исключает соответствующие сведения из реестра уведомлений.

Что такое персональные данные?

Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.

1. Общие ПД

С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.

Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

2. Специальные ПД

Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.

Обработка таких ПД не допускается, за исключением следующих случаев:

• вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
• обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
• обработка в целях страхования;
• обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

3. Биометрические ПД

Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Как отказаться от назойливой рекламной рассылки?

При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

• Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
• Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

• считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
• считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

За персональными данными стоит человек

Существенный блок изменений, внесенных Федеральным законом № 266-ФЗ от 14 июля 2022 года, направлен на то, чтобы восстановить баланс интересов оператора и гражданина, чьи персональные данные данные обрабатываются. 

На вебинаре, посвященном новым требованиям российского законодательства, представители Роскомнадзора отметили, что изменения были внесены, в том числе, с целью снизить число случаев, когда человек, находящийся в заведомо зависимом положении от операторов, вынужден давать «отмашку» на обработку информации о себе, и зачастую такое «согласие» не является ни добровольным ни информированным.

Достичь указанных целей должны следующие изменения закона:

Новые требования к содержанию договоров

Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы их субъекта. Также запрещены условия, допускающие в качестве условия заключения договора бездействие гражданина. Иными словами, согласие на их обработку теперь не может предполагаться «по умолчанию» (например, в случаях, когда человек, переходя на какую-либо страницу веб-сайта считается автоматически давшим такое согласие).  (п. 5 ч. 1 ст. 6 152-ФЗ).

Также нельзя забывать о действующем запрете на отказ в заключении договора с потребителем в случае, когда предоставление персональных данных не требуется по закону и не являются необходимыми для исполнения договора, и потребитель не желает такие данные предоставлять. Запрет установлен Федеральным законом О защите прав потребителей № 2300-1 от 07.02.1992, а за его несоблюдение в КоАП РФ недавно введены новые административные штрафы, размер которых может доходить до 10 тысяч рублей для должностных лиц и до 50 тысяч рублей для юридических лиц.

Запрет понуждения к сдаче биометрии

Отныне предоставление биометрических данных не может быть обязательным, а оператор не вправе отказывать в обслуживании в случае несогласия субъекта предоставить биометрические персональные данные и (или) дать согласие на их обработку за исключением случаев, предусмотренных законом (новая ч. 3 ст. 11 152-ФЗ).

Новый запрет может затронуть самые разные сферы жизни граждан. Например, при заключении договора с фитнес-клубом гражданин теперь может отказаться от предоставления отпечатка пальца или своего фотоизображения, которые часто используются для автоматизации прохода в клуб. Такой отказ не должен привести к невозможности заключения договора, в связи с чем фитнес-клубу как оператору необходимо будет найти иные способы взаимодействия с клиентом для обеспечения его прохода в клуб.

Сокращен срок ответа оператора гражданину

Срок ответа оператора на обращения гражданина сократился с 30 дней до 10 рабочих дней. Такой короткий срок позволит гражданам оперативно принимать меры реагирования в случае нарушения их законных прав и интересов. Так же быстро оператор обязан будет отвечать и Роскомнадзору. 

Как правильно уничтожить персональные данные

ОПД уничтожает
персональные данные в четырех случаях. Обобщили их в таблице.

Таблица 8.
Когда нужно уничтожить персональные данные

В каком случае	В какой срок	Где про это в Законе № 152-ФЗ
По требованию гражданина, в любом из двух случаев: · ОПД получил данные незаконно. Например, купил базу с ними на черном рынке; · для заявленной цели обработки часть данных лишняя. Например, пиццерия запрашивает скан паспорта для интернет-заказа	7 рабочих дней с даты получения требования	П. 1 ст. 14, п. 3 ст. 20
ОПД установил, что неправомерно обрабатывает данные. Например, данные остались в базе после окончания срока их обработки	10 рабочих дней с даты выявления неправомерной обработки	П. 3 ст. 21
ОПД достиг цели обработки. Например, выполнил заказ, под который брал данные*	30 дней с даты достижения цели обработки	П. 4 ст. 21
Гражданин отозвал согласие на обработку данных*	30 дней с даты поступления отзыва, если для целей обработки данные не нужно сохранять	П. 5 ст. 21
Примечание: * в отмеченных случаях ОПД вправе не уничтожать данные, если: · договорится об этом с гражданином. Например, отправит ему уведомление о сохранении данных в базе по завершении конкурса, под который эти данные собирались, а гражданин даст на это согласие; · ОПД не нужно согласие на обработку данных. Например, адрес клиента запрашивается для исполнения договора купли-продажи

Уничтожение данных проходит в три этапа.

Первый. Удалите персональные данные из информационной системы
так, чтобы их нельзя было восстановить. Например, одновременно очистите
«Корзину» на ПК или удалите резервную копию с данными.

Удалить может ответственный за обработку персональных данных или
комиссия из него и других работников. Однако комиссия не обязательна.

Второй. Составьте акт об уничтожении. Включите в него десять
обязательных пунктов (п. 3 приказа Роскомнадзора от 28.10.2022 № 179):

• наименование и адрес ОПД;

• наименование и адрес того, кто обрабатывает
  персональные данные по поручению ОПД, если есть такое поручение;

• ФИО тех, чьи персональные данные уничтожаются;

• ФИО, должности, подписи тех, кто уничтожил
  данные;

• перечень уничтоженных данных;

• наименование уничтоженного материального
  носителя и количество листов в нем, если данные были на бумаге;

• наименование информационной системы, из которой
  были уничтожены данные;

• способ уничтожения;

• причина уничтожения;

• дата уничтожения.

Третий. Сделайте выгрузку из журнала регистрации событий в
информационной системе, где хранились уничтоженные персональные данные. В
выгрузке должны быть пять пунктов (п. 5 приказа Роскомнадзора от 28.10.2022 №
179):

• ФИО тех, чьи персональные данные уничтожаются;

• перечень уничтоженных данных;

• наименование информационной системы, из которой
  были уничтожены данные;

• причина уничтожения;

• дата уничтожения.

Если информация система не формирует выгрузку со всеми этими
параметрами – не страшно. Тогда они будут взяты из акта. Акт и выгрузку храните
три года с даты уничтожения данных (п. 6, 8 приказа Роскомнадзора от 28.10.2022
№ 179).

С 1 сентября ТСЖ, ЖСК и иные УО обязаны отчитываться о персданных в Роскомнадзор

26.08.2022

С 1 сентября все ТСЖ, ТСН, ЖСК и УК обязаны отчитываться о персданных в Роскомнадзор

С 01.09.2022 в Роскомнадзор нужно отправлять уведомление об обработке персональных данных. Делать это будут организации, которые так или иначе работают с персданными работников и других граждан.

Новый бланк уведомления разрабатывает Роскомнадзор. В документе нужно будет указать дату начала и срок обработки персданных. Если дата окончания неизвестна, это нужно указать, описав условия, при которых работа с данными будет завершена.

Тип уведомления, срок и формат предоставления — в таблице.

Что отправлять	Когда отправлять	Формат предоставления
Уведомление о начале обработки персональных данных	01.09.2022	Электронно или на бумаге
Уведомление о передаче персданных за границу	До отправления данных	Электронно или на бумаге
Уведомление об изменении данных	До 15-го числа месяца. следующего за месяцем, в котором произошли изменения	Информационное письмо электронно или на бумаге

Помимо этого, до 01.09.2022 нужно исправить все документы, связанные с персональными данными, то есть привести их в соответствие с новыми требованиями.

Какие документы придется обновить:

положение о работе с персональными данными;

согласие на обработку персональных данных;

сообщение работнику о необходимости получить его персданные у третьей стороны;

положение о защите персональных данных;

согласие на предоставление персональных данных.

О чем и как нужно уведомлять Роскомнадзор с 01.09.2022 

С 01.09.2022 вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», которые обяжут всех операторов отправлять данные в Роскомнадзор. 

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных»).

В настоящее время не нужно становится на учет в Роскомнадзор и уведомлять об обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством и полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

С 01 сентября 2022 г. при обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор в общем порядке до начала обработки оператором персональных данных. Речь идет о федеральном законе от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».

Помимо этого, до 01.09.2022 нужно исправить все документы, связанные с персональными данными, то есть привести их в соответствие с новыми требованиями.

А у кого нет – подготовить комплект документов по персональным данным и направить уведомление в Роскомнадзор.

Какой комплект документов должен быть в компании:

Положение по обработке персональных данных сотрудников, соискателей и контрагентов в соответствии с 152-ФЗ.

В том числе:

— политика обработки персональных данных,

— согласие на предоставление и обработку персданных работников, контрагентов, соискателей

— политика конфиденциальности

— сообщение работнику о необходимости получить его персданные у третьей стороны

— положение о защите персданных

Формы согласия субъектов персональных данных в зависимотси от категории;

Уведомления об обработке персданных в Роскомнадзор;

При необходимости регистрация в Роскомнадзоре.

Ответственность за нарушения по персональным данным в 2022 году

Ведомство имеет право наказать и вашу компанию, и сотрудников, которые нарушили правила работы с персональными данными. Наказание предусматривает статья 13.11 КоАП.

Подготовим  комплект документов по обработке персональных данных 

— уведомление о начале обработки персональных данных в организации

— полный комплект документ по защите, хранению и обработке персональных данных  в соответствии с действующим законодательством и Федеральным законом № 152-ФЗ:

Стоимость услуги — 7 000 руб.
В стоимость услуги включена подача уведомления  в контролирующий орган — Роскомнадзор.

Для заказа комплекта документов по персональным данным в ТСЖ, ТСН, ЖСК обращайтесь
+7 812 327-09-10, [email protected] или [email protected]

Дата изменения: 30.08.2022 13:28:00

Быстрее отвечать на запросы субъектов

Что изменилось в законе.Пользователи имеют право запрашивать у оператора : для каких целей собирают их данные, у кого есть к ним доступ, где находится оператор и т.д. Раньше компания должна была отвечать на обращения в течение месяца, теперь — в течение десяти рабочих дней. Срок может быть продлен на пять дней. 

Что нужно сделать бизнесу. Закрепить во внутренних документах, что срок реагирования на запросы пользователей составляет десять дней, и проинформировать об этом сотрудников. 

В аналогичный срок оператор обязан прекратить обработку данных по требованию пользователя. 

Ответственность. Если компания проигнорирует запрос пользователя или затянет сроки, ее оштрафуют на сумму от 40 до 80 тысяч. Для должностных лиц штраф составит до 12 тысяч, для ИП — до 30 тысяч. 

Важные новости для бизнеса — в нашем Телеграме.
Подпишитесь, чтобы узнавать о мерах поддержки и получать новые решения для вашего дела!

Подписаться

Как связаны Закон «О персональных данных» и сайты

Пóмните эти назойливые всплывающие окна на сайтах про cookie, политику
конфиденциальности и прочие штуки? Вот пример того, о чем говорим.

Владельцы сайтов вставляют их не от нечего делать. Так они исполняют
закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее Закон № 152-ФЗ). Его
цель – защитить личную информацию человека.

Применительно к интернету это означает, что владелец сайта:

• собирает о посетителе лишь нужные для своей
  работы сведения;

• рассказывает посетителю, что именно собирает и
  зачем;

• не передает личную информацию о посетителе не известно
  кому;

• по первой же просьбе уничтожает собранные
  персональные данные.

А еще это значит, что «хозяину» сайта добавляется куча дополнительной
работы. Например, нужно:

• завить о себе в Роскомнадзор (РКН) как об
  операторе персональных данных;

• сообщить в РКН об утечке персональных данных, если
  такое случилось;

• составить с десяток политик, положений,
  регламентов, инструкций по работе с персональными данными.

Если не сделать такого, прилетят штрафы. Поэтому давайте
разбираться, как исполнить Закон № 152-ФЗ и не схлопотать санкций от РКН.
Начнем с того, что относится к персональным данным.

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Примеры:

• работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
• работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
• продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
• покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Популярные статьи

1

Расчет себестоимости

Расчет себестоимости – очень сложный процесс

Важно не только правильно обобщить все затраты. Надо..

17.03.2020

 • 
Ольга Воробьева

2

PEST-анализ: что это такое и как его провести на примерах

Стратегический менеджмент – это работа с неопределенностью во внутренней и, особенно, во вне…

23.08.2019

 • 
Евгения Чернова

3

Анализ финансовых результатов деятельности компании: пошаговый алгоритм

Анализ финансовых результатов деятельности предприятия дает понимание, насколько эффективно оно ра…

31.01.2020

 • 
Ольга Воробьева

4

Система 5S на производстве: секреты успешного внедрения

Термин «5S» стал популярен в 1980-х годах в производственном секторе Японии. В это время успехи ко…

22.07.2019

 • 
Ильнар Фархутдинов

Уведомление об утечке персональных данных

Компании в течение 24 часов с момента утечки персональных данных (ч.3.1 ст.21 Федерального закона от 27.07.2006 № 152-ФЗ) должны сообщить об этом в Роскомнадзор путем направления специального уведомления о неправомерной или случайной передаче персональных данных.

Специальной формы уведомления об утечке персданных сейчас не установлено. При этом первичное уведомление об утечке должно содержать сведения, указанные в пунктах 2.1–2.3 приказа Роскомнадзора от 14.11.2022 № 187:

• данные об организации или ИП, у которых произошла утечка данных (наименование организации или ФИО ИП);
• ИНН, адрес и адрес электронной почты компании;
• дата и время утечки данных;
• характеристика скомпрометированных персональных данных (содержание базы данных, ставшей доступной неограниченному кругу лиц в результате утечки);
• сведения о предполагаемых причинах утечки персональных данных;
• сведения о предполагаемом вреде, нанесенным утечкой данных;
• сведения о принятых мерах по устранению последствий утечки данных;
• сведения об источнике получения информации об утечке данных.

Направив в Роскомнадзор указанное уведомление, компания должна в течение 72 часов с момента утечки информации провести внутреннее расследование и направить в Роскомнадзор уведомление о результатах такого расследования (дополнительное уведомление). В дополнительном уведомлении нужно указать (при наличии):

• сведения о решении компании о проведении внутреннего расследования с указанием его реквизитов;
• информацию о причинах, повлекших утечку данных;
• сведения о вреде, нанесенном физлицам, данные которых были скомпрометированы;
• информацию о дополнительно принятых мерах по устранению последствий утечки данных;
• сведения о лицах, действия которых стали причиной утечки данных.

Первичное и дополнительное уведомление об утечке персональных данных можно направить в Роскомнадзор как на бумажном носителе, так и в электронном виде путем заполнения рекомендованной формы на официальном сайте контролирующего ведомства. 

Ответственность за непредставление таких уведомлений в 2024 году будет в значительной степени ужесточена.

Персональные данные в 1С

Стоит ли инициатору собрания направлять уведомления в Роскомнадзор

Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.

По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных. 

А вообще, ответственность за неуведомление РКН достаточно смешная.Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.

Чтобы максимально упростить эту бюрократическую процедуру для тех, кто на нее решится, и был подготовлен этот материал.

Кто такой оператор персональных данных и как он уведомляет о себе РКН

Оператор персональных данных (ОПД) – это организация или гражданин,
который обрабатывает персональные данные. Обрабатывает, то есть собирает,
хранит, использует, передает, уничтожает или делает с ними что-то еще, что
написано в п. 3 ст. 3 Закона № 152-ФЗ.

В нормативке по работе с персональными данными нет послаблений для
ИП или самозанятых. Поэтому они должны делать все то же, что и крупные
компании, например, составить кучу регламентов и обеспечить должную защиту
собранных сведений.

До того, как ОПД начнет собирать персональные данные, он обязан
сообщить об этом в РКН (п. 1 ст. 22 Закона № 152-ФЗ). Для этого подает
уведомление на бумаге или через интернет. Схему действий для каждого способа
показали в таблице.

Таблица 1. Как
уведомить Роскомнадзор об обработке персональных данных

Как отправляем уведомление:
на бумаге	через интернет
· Заполняем уведомление на сайте РКН. · Распечатываем его в двух экземплярах. · Подписываем у директора. · Относим лично или отправляем ценным письмом с уведомлением о вручении. Отнести или отправить нужно в территориальный орган РКН	· Заполняем уведомление на сайте РКН. · Подписываем электронной подписью с помощью специального плагина или через аутентификацию на сайте Госуслуг

В уведомлении, кроме прочего, нужно написать, с какой целью и какие
именно персональные данные собираете. Целью может быть:

• авторизация посетителей сайта;

• исполнение договора купли-продажи;

• отправление пользователю рекламных сообщений по email или
  sms.

Вот пример целей от ООО «Авиасейлс Медиа»:

• ведение кадрового и бухгалтерского учета;

• обеспечение соблюдения трудового и налогового законодательства
  РФ;

• подготовка, заключение и исполнение
  гражданско-правового договора;

• продвижение товаров, работ, услуг на рынке;

• обеспечение пропускного режима на территорию
  оператора;

• подбор персонала (соискателей) на вакантные
  должности оператора;

• исполнение требований и запросов государственных
  органов РФ;

• обеспечение работы и предоставление доступа к
  интернет-сервису и его возможностям пользователям в сети Интернет;

• обеспечение защиты программных элементов
  интернет-сервиса и данных пользователей от несанкционированного доступа и иного
  вмешательства;

• обработка обращений пользователей сервиса и иных
  частных лиц.

А вот так формулирует цель обработки персональных данных ООО «Компания «М.видео»:

• осуществление уставной деятельности оператора;

• заключение и исполнение гражданско-правовых и
  трудовых договоров;

• обязательное раскрытие информации на рынке
  ценных бумаг;

• раскрытие информации для целей соблюдения
  антимонопольного законодательства;

• раскрытие информации для целей соблюдения
  требований законодательства о противодействии неправомерному использованию
  инсайдерской информации и манипулированию рынком;

• соблюдение требований налогового
  законодательства.

РКН внесет данные о вас в Реестр ОПД 
в течение 30 дней после того, как получит уведомление. Но собирать персональные
данные можете сразу после его отправки – не нужно ждать, когда вас зачислят в
Реестр.

Вот еще три момента про Реестр ОПД, о которых важно знать. Первый

Подавайте уведомление даже с опозданием. Если
персональные данные обрабатываете давно, а уведомление в РКН не отправляли, то
скорее сделайте это. За просрочку с подачей не оштрафуют. Но штраф прилетит,
если ведомство само обнаружит вашу оплошность

Первый. Подавайте уведомление даже с опозданием. Если
персональные данные обрабатываете давно, а уведомление в РКН не отправляли, то
скорее сделайте это. За просрочку с подачей не оштрафуют. Но штраф прилетит,
если ведомство само обнаружит вашу оплошность.

Второй. Обновляйте информацию в уведомлении. Когда меняете
что-то из данных в нем, сообщайте об этом в РКН. Делайте это не позднее 15-го
числа месяца, который следует за месяцем изменений (п. 1 ст. 22 Закона №
152-ФЗ). Например, в сентябре в компании поменялся ответственный за обработку
персональных данных. Уведомьте об этом РКН по 15 октября включительно.

Уведомление об изменении сведений составляйте по тем же правилам,
что описали выше. Форму берите с
сайта РКН 
и отправляйте ее в бумажном или электронном виде.

Третий. Запросите выписку в РКН. Она пригодится, чтобы подтвердить
дату, с которой вас оформили как оператора, и отбиться от штрафов. Выписку
закажите на сайте РКН.

Уведомлять госорганы об утечке ПД

Что изменилось в законе. Поправки в 152-ФЗ приняты для большей сохранности личной информации россиян. И это оправдано: утечки персональных данных стали обычным явлением.

Милош Вагнер, замглавы Роскомнадзора
С начала 2022 года произошло уже более 40 крупных утечек баз данных, в результате которых скомпрометировано свыше 300 млн записей.

В сеть попали личные данные пользователей Озона, Почты России, СДЭК, а Яндекс Еду уже дважды штрафовали за это. 

Утечка ПД в законе поименована как инцидент. Если инцидент случился, необходимо: 

1. В течение 24 часов сообщить в Роскомнадзор: объяснить причины неправомерной или случайной передачи персональных данных, потенциальный вред и какие меры приняты.

2. Расследовать инцидент в течение 72 часов и отчитаться о результатах. 

Что нужно сделать бизнесу. Проработать процедуру: кто из сотрудников отвечает за уведомление службы, кто — за расследование. Формы уведомлений есть на сайте Роскомнадзора — воспользуйтесь ими. 

Также организации должны передавать информацию об инцидентах в Госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Регламента взаимодействия с ними пока нет: в скором времени его разработает ФСБ. 

Ответственность. За непредставление сведений должностное лицо будет оштрафовано на 500 руб., компания — на 5 тысяч. 

Резюме Постановления Четвертого арбитражного апелляционного суда от 07.02.2018 г. по делу № А19-17054/2017:

1. Согласно положениям статей 198, 200 и 201 Арбитражного процессуального кодекса РФ для признания незаконными решений и действий (бездействия) органов, необходимо наличие в совокупности двух условий: (1) несоответствие оспариваемых решений и действий (бездействия) закону или иному нормативному правовому акту и (2) нарушение прав и законных интересов заявителя в сфере предпринимательской и иной экономической деятельности.

При этом бремя доказывания законности принятого решения или совершенных действий ложится на орган, принявший решение или совершивший действия (бездействие) соответственно.

2. В силу пункта 2 статьи 3 Закон о персональных данных Общество является оператором и согласно положениям статьи 22 данного закона должно уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 данной статьи.

Абзацем 17 статьи 22 Трудового кодекса РФ закреплена обязанность работодателя выплачивать в полном размере причитающуюся работникам заработную плату в установленные сроки. В соответствии со статьей 91 Трудового кодекса РФ работодатель обязан вести учет времени, фактически отработанного каждым работником.

Таким образом, системы 1С и БСУВ «Биометрическая система учета времени» используются Обществом в рамках трудовых договоров, что подпадает под исключения, когда уведомление Роскомнадзора об обработке персональных данных не требуется.

4. Трудовые отношения регулируются не только Трудовым кодексом РФ, но и иными нормативными актами. Правоотношения между кандидатом и будущим работником регулируются не Трудовым кодексом РФ, а Федеральным законом от 19.04.1991г. № 1032-1 «О занятости населения в РФ» (см. в частности, статьи 25 и 26 данного Закона).

Таким образом, работодатель вправе осуществлять обработку персональных данных кандидатов на вакантные должности на законных основаниях, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей «кадровый резерв», при наличии письменного согласия кандидатов на обработку персональных данных. При этом в случае отказа в приеме на работу предоставленные кандидатом документы уничтожаются. А при размещении Обществом вакансий на сайтах в сети Интернет персональные данные кандидатов не указывались.

5. Также отклонен довод Роскомнадзора о наличии нарушения в связи с обработкой Обществом персональных данных в отношении клиентов посредством дистанционной продажи с использованием средств автоматизации (система 1С), поскольку данный случай прямо подпадает под исключения, предусмотренные статьей 22 Закона о персональных данных – обработка в связи с заключением договора, стороной которого является субъект персональных данных (вне зависимости от способа обработки – автоматизированный или нет).

Изменения в 152-ФЗ с 1 марта 2023 года

С 1 марта 2023 года начнут действовать дополнительные правила работы с персональными данными. 

Правило о трансграничной передаче ПД. Под трансграничной подразумевается передача данных через границу иностранным операторам. 

Роскомнадзор утвердит список стран, которые обеспечивают адекватную защиту прав субъектов персональных данных. Прежде всего, это страны Конвенции Совета Европы о защите физлиц при автоматизированной обработке данных: Болгария, Польша, Литва, Словения, Турция, Украина, Великобритания и т.д. 

До начала трансграничной передачи российская компания обязана уведомить Роскомнадзор. Служба примет решение: разрешить или запретить передачу данных иностранному оператору. Подать уведомление можно через специальный портал. Нужно успеть до 1 марта 2023 года. 

Специальная процедура оценки вреда. Ст. 18.1 ФЗ «О персональных данных» перечисляет меры, направленные на сохранность ПД. Среди них есть пункт «оценка вреда, который может наступить в случае нарушения 152-ФЗ». До сих пор регламента проведения оценки не было. К 1 марта 2023 года Роскомнадзор должен разработать такой регламент. Соответственно, операторы обязаны будут действовать по утверждённой процедуре. 

Отправка уведомлений об обработке персональных данных

Формы уведомлений: сейчас действуют утвержденные формы уведомлений (приказ РКН от 28.10.2022 № 180). 

Когда: до начала обработки данных.

Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).

Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.