Политика обработки персональных данных

Моя работа в области защиты персональных данных

Меня зовут Татьяна Никонорова, я работаю ведущим консультантом по информационной безопасности и занимаюсь разработкой организационно-распорядительных документов. Проще говоря, перевожу сложный юридический язык на понятный русский :-))

Когда я говорю, что занимаюсь защитой персональных данных, один из самых частых вопросов ко мне звучит примерно так: Как мне отказаться от обработки моих персональных данных?. Я решила рассмотреть данный вопрос не только с точки зрения требований законодательства, но и опираясь на свой практический опыт.

Надеюсь, в моей колонке вы найдете ответы на все свои вопросы. А если нет, давайте общаться в комментариях.

Что относится к Вашим персональным данным?

Согласно Федеральному Закону №152-ФЗ О персональных данных (далее 152-ФЗ) к персональным данным может быть отнесена любая информация, прямо или косвенно определяющая человека (субъекта персональных данных).

Персональные данные – это очень широкое понятие. 152-ФЗ, судебная практика, Роскомнадзор и другие ведомства признают разный перечень персональных данных. Например, все признают, что ФИО, паспортные данные относятся к персональным данным. А вот по номеру телефона возникают споры: Роскомнадзор считает, что не относится, поскольку можно изменить номер, купив новую сим-карту. А суды и вынесенные ими решения говорят об обратном – в современном мире номер телефона тесно связан с субъектом персональных данных и в определенный момент времени по одному номеру телефона можно определить физическое лицо (прямо или косвенно).

Чтобы понять, являются ли данные персональными или просто информацией, нужно ответить на такие вопросы:

• Идентифицирует ли данная информация субъекта персональных данных?
• Можно ли на основании данной информации выделить человека из группы людей?

На основе моего практического опыта приведу перечень данных, которые относятся к персональным данным:

• Фамилия, имя, отчество
• Дата, место рождения
• Сведения, содержащиеся в документах, удостоверяющих личность
• Адрес фактического проживания
• Адрес электронной почты

Не признается Роскомнадзором, но признается Минкомсвязи России и судебной практикой:

• Идентификационный номер налогоплательщика
• Номер страхового свидетельства обязательного пенсионного страхования
• Сведения, содержащиеся в документах воинского учета
• Сведения, содержащиеся в документах об образовании, квалификации
• Сведения о занимаемой должности
• Сведения, содержащиеся в трудовом договоре
• Адрес выполнения трудовой функции
• Сведения о доходах, заработной плате
• Номера банковских счетов
• Сведения о наличии водительских прав (категория водительских прав, стаж вождения)
• Сведения об отнесении к категориям ветеранов
• Сведения о наличии ученой степени, ученого звания
• Сведения о наличии (отсутствии) судимости
• Сведения о состоянии здоровья (листы о нетрудоспособности и др.)

Файлы cookie и данные пользовательской аналитики

Например, собираемые посредством сервисов Яндекс.Метрика, Google Аналитика

История заказов

Даже в отсутствие его ФИО, поскольку такие данные могут являться основой для профайлинга

Нужно помнить, что ваши персональные данные могут относиться к биометрическим или персональным данным специальной категории, и требования к их обработке имеют особенности.

Что требуется для законной обработки персональных данных?

Для того, чтобы законно обрабатывать персональные данные оператор (организация, ИП, работодатель и т.д) должен иметь хотя бы одно из правовых оснований обработки, определённых в ч.1 ст.6 152-ФЗ:

1. Согласие на обработку персональных данных
2. Исполнение договора, ст.6 152-ФЗ
3. Интересы субъекта или третьих лиц, ст.6 152-ФЗ
4. Охрана жизни, здоровья и иных жизненно важных интересов субъекта или иных лиц
5. Выполнение функций, полномочий или обязанностей, возложенных законодательством РФ
6. Осуществление правосудия
7. Осуществление оператором или третьим лицом полномочий по осуществлению мер государственного надзора и контроля
8. Осуществление научных исследований
9. Обеспечение конституционных прав субъекта или иного лица
10. Иные случаи, установленные законодательством РФ

Таким образом только в одном из 10 случаев вы можете отказаться от обработки ваших персональных данных — при обработке на основании согласия на обработку. В других случаях требовать прекращения обработки данных можно при несоответствии или избыточности перечня данных по отношению к основанию обработки.

При этом согласие – самое частое основание для обработки персональных данных в России. Его собирают и работодатели, и компании, заключающие договора в интересах субъектов, для подстраховки.

Что делать, если я не хочу давать согласие на обработку персональных данных?

Если в соответствии с 152-ФЗ предоставление персональных данных или получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить вам юридические последствия отказа дать ему персональные данные или согласие на их обработку. Ваш отказ может стать причиной не предоставлять вам услуги.

Но есть статья 16 Федерального Закона О защите прав потребителей. По ней продавец (тот же оператор) не вправе отказывать потребителю (вам) в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные. За исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.

Так что получается вы не можете отказаться предоставить адрес проживания и номер телефона, если хотите заключить, например, договор доставки. Но имеете полное право отказаться от предоставления номера ИНН или фотографии, поскольку эти данные не требуются для исполнения договора.

Что я могу узнать об обработке своих персональных данных?

Закон о персональных данных: как отозвать согласие на обработку информации

Согласно Федеральному Закону О защите прав потребителей, вы имеете право требовать предоставление информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных. Продавец должен предоставить такую информацию в течение семи дней со дня предъявления указанного требования в письменной форме, а в устной форме такая информация должна быть предоставлена незамедлительно.

Положения 152-ФЗ гласят, что вы имеете право запросить у оператора (и получить ответ в срок не более 10 рабочих дней) информацию, связанную с обработкой ваших персональных данных, а именно:

• Цели обработки персональных данных;
• Категории обрабатываемых персональных данных;
• Перечень действий с персональными данными;
• Сроки обработки персональных данных;
• Права субъекта персональных данных.

Если после вашего запроса информации, связанной с обработкой ваших персональных данных, вы считаете, что оператор использует их незаконно (например, передает третьим лицам) и/или эти действия ущемляют ваши интересы, то вы можете:

Что делать, если я хочу отозвать согласие на обработку персональных данных?

Вы имеете право отозвать свое согласие на обработку персональных данных в любое время (п. 2 ст. 9 152-ФЗ). Вам не требуется даже указывать причину такого решения.

Достаточно направить в адрес оператора уведомление в письменной форме об отзыве согласия на обработку ваших персональных данных. Обычно в политике обработки персональных данных, которая должна быть на каждом сайте, или в согласии, которое вы подписывали, будет указан порядок отзыва согласия на обработку персональных данных. После получения отзыва оператор обязан прекратить обработку и уничтожить персональные данные не позднее чем через 30 дней (п. 5 ст. 21 152-ФЗ), если он не имеет иных оснований обработки ваших персональных данных. Если оператор не имеет возможности уничтожить персональные данные в этот срок, то он осуществить блокирование данных и обеспечить уничтожение в срок не более чем 6 месяцев.

Что делать, если обработка персональных данных проводится не на основании согласия, но я все равно хочу ее прекратить?

Рассмотрим несколько случаев.

Клиент по договору

Вы – клиент по договору и на основании договора (без отдельного согласия) уже передали оператору персональные данные в большем объеме, чем вам хотелось бы.

Вам необходимо детально изучить необходимые персональные данные для исполнения договора. Если на ваш взгляд, данных обрабатывается больше, чем требуется, написать обращение оператору о прекращении им обработки ненужных по отношению к исполнению договора персональных данных. Срок ответа на такое обращение не более 10 рабочих дней.

Соискатель или работник

Вы соискатель или работник и ваши персональные данные обрабатываются исключительно на основании ТК РФ.

Без определенных персональных данных устроиться на работу не получится. Перечень документов определен ст. 65 ТК РФ. Однако работодатель не имеет право требовать от претендента на вакансию или работника предоставление персональных данных, превышающих необходимый объем (ч. 3 ст. 65 ТК РФ). Работник также имеет право полную информацию об их персональных данных и обработке этих данных (ст. 89 ТК РФ).

Если работодателю необходимы дополнительные данные, не связанные с трудоустройством, например, номер вашей банковской карты для зачисления туда заработной платы, то необходимо оформить согласие на обработку персональных данных для соответствующей цели. При расторжении трудового договора вы вправе написать заявление и отозвать согласие.

А вот данные, предоставленные при трудоустройстве, отозвать и удалить не получится. Они обрабатывались на основании ТК РФ, а значит продолжат обрабатываться и храниться в течение установленного времени. Потом их обработку продолжат в соответствии с требованиями законодательства в области архивного делопроизводства.

Использование данных в рекламных целях

Вы не предоставляли свои данные, но их используют в рекламных или прочих целях. Предположим, вам систематически звонят с предложением услуг или присылают персональные предложения на скидку. А может звонят коллекторы, чтобы заставить кого-то заплатить долг. Нужно уточнить, откуда получены ваши персональные данные.

Подача жалобы

Если данные получены от третьих лиц или из открытых источников, то вы можете подать жалобу в Роскомнадзор на незаконную обработку персональных данных, потому что право предоставлять ваши персональные данные имеете только вы или ваш законный представитель, оформленный соответствующим образом. Например, для несовершеннолетних детей – родители; для всех – человек, действующий на основе доверенности с правом совершать действия от имени субъекта персональных данных.

В начале мая, как раз, появился законопроект, предусматривающий повышение административного штрафа за незаконную обработку персональных данных без согласия субъекта (в случаях, когда оно необходимо).

Что делать и куда обратиться, если обработка персональных данных не прекращается после моего запроса?

Вы всегда можете подать жалобу на незаконную обработку ваших персональных данных через электронную приемную Роскомнадзора: https://rkn.gov.ru/treatments/ask-question/

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

Выводы

Многие должники думают, что первое, что необходимо делать при появлении просрочек по кредитам — это запретить банку обработку их персональных данных.

Должник находит в интернете шаблон Отзыв согласия на обработку персональных данных, заполняет его и направляет в банк, не до конца понимая для чего это все и какой должен быть результат, а получив отказ, начинает бессмысленно жаловаться в Роскомнадзор или Прокуратуру.

Скажу сразу, что если у вас имеется долг перед банком, обработка ваших персональных данных будет законной до полного его возврата. Закон позволяет продолжить работу с личной информацией, если осуществляется возврат просроченной задолженности.

Однако это вовсе не значит, что ничего делать не нужно. Достаточно просто изменить формулировку данного заявления и требовать запрета на распространение ваших персональных данных третьим лицам.

При подписании кредитного договора заемщики дают разрешение банку привлекать сторонние компании для работы с вашей задолженностью, в случае ее появления.

Банк заключает агентский договор с коллекторским агентством, из которого вам и начинают сыпаться звонки, смс и всякого рода письма.

Запрещая банку передавать ваши персональные данные третьим лицам, вы лишаете его возможности взаимодействовать с вами через коллекторов. Банкам наверное надоело самим работать с должниками, ведь не просто же так они заключают агентские договора с коллекторскими агентствами. Но это уже заботы банка а не должника, ведь главная цель человека оказавшегося в трудной финансовой ситуации уменьшить давление со стороны банка и коллекторов, вот поэтому и имеет смысл запрещать банку передачу персональных данных кому-либо.

В случае если коллекторское агентство уже получило указания от банка, названивает вам и пишет смс, то заявление с запретом распространения персональных данных можно так же направить в банк, с требованием информацию отозвать.

Любое взаимодействие коллекторов с вами, после получения банком вашего требования, является незаконным! Нужно сразу же направлять жалобу в ФССП с приложением всех доказательств в виде скриншотов смс или детализаций звонков.

Сразу отмечу, что коллекторы выкупившие вашу задолженность по договору цессии имеют право взаимодействовать с вами до того момента пока вы не откажетесь от взаимодействия с ними. Отказаться от взаимодействия с коллекторами и банками вы можете только после 4-х месяцев просрочки. Если банк или коллекторы обратились в суд, для взыскания с вас задолженности, то с направлением заявления об отказе от взаимодействия придется повременить в течение 2-х месяцев, иначе кредитор может его просто проигнорировать.

Итак, подытожим все ранее написанное:

1. Появились просрочки по кредиту – направляйте заявление в банк с запретом передавать ваши персональные данные третьим лицам. Заявление можно лично отнести в банк, либо направить заказным письмом с описью вложения.

2. С первых дней просрочки можете направить в банк отказ от взаимодействия с третьими лицами. Данное заявление позволит запретить банку звонить вашим родственникам, знакомым или работодателю. Также направляйте заявление в банк почтой с описью вложения или относите лично.

3. Через 4 месяца просрочки направляйте в банк отказ от взаимодействия с должником. Данное заявление сделает любые звонки, смс или посещения вашего жилья коллекторами или сотрудниками банка незаконными.

4. В случае, если ваше заявление кредитором получено, а взаимодействие продолжается – направляйте жалобу в ФССП, тем более, что сделать это можно не выходя из дома – онлайн.

Запрещайте кредиторам передачу ваших персональных данных третьим лицам; запрещайте взаимодействие с вами и с вашим окружением; жалуйтесь на каждое нарушение банками и коллекторами ваших прав и вы намного спокойнее перенесете тяжелый период жизни должника.

Если банки не хотят работать по закону, пусть пополняют бюджет своими штрафами, ведь деньги государству в текущей ситуации, очень нужны.

Поставьте лайк, если информация была полезной — это поможет в развитии канала.

Будут вопросы – пишите. Помогу найти выход из любой ситуации!

Telegram- здесь вы можете задать любой вопрос касаемый вашей задолженности.

Персональные данные

Инструкция, которая поможет разобраться, что такое персональные данные, кто и как с ними должен работать, а также какие изменения происходят в законодательстве о персональных данных и какая ответственность предусмотрена за его нарушение.

Кто должен соблюдать законодательство о персональных данных

По каким признакам определить, что вы работаете с персональными данными, а не с другими сведениями.

Кто обрабатывает персональные данные

Как определить, являетесь ли вы оператором по смыслу Закона № 152-ФЗ и какими способами обрабатываются персональные данные.

Как подготовиться к организации процесса обработки персданных

Чтобы оператору знать, на какие положения законодательства ему нужно ориентироваться, необходимо изучить пул НПА.

Какие категории персональных данных обрабатывает оператор

Чтобы определить правовой режим обработки персональных данных и закрепить его в своих ЛНА, оператор должен определить, какие персональные данные он намерен обрабатывать.

В каких случаях можно обрабатывать персональные данные

Если обработка персональных данных не подпадает ни под одно из условий, предусмотренных законом, она будет считаться неправомерной.

Как организовать процесс обработки персданных и не получить штраф

В статье расскажем, как работодателю правильно оформить документы в сфере персональных данных со своими сотрудниками и аутсорсинговой компанией, которая ведет бухгалтерский и кадровый учет оператора.

Как передавать персональные данные третьим лицам

Каждая компания сталкивается с тем, что документы, которые содержат персональные данные, необходимо куда-то отправить — в банк, налоговую, СФР или контрагенту. В статье разбираемся, каким образом передать персональные так, чтобы избежать штрафов.

Как оформить согласие на распространение персональных данных

Операторы, которые планируют размещать персональные данные субъектов в интернете, сначала должны получить их согласие на это. О том, как составить такое согласие, рассказываем в статье.

Как уведомить Роскомнадзор о трансграничной передаче персональных данных

Федеральный закон от 14.07.2022 № 266-ФЗ внес масштабные изменения в ст. 12 Закона о персональных данных — порядок уведомления Роскомнадзора о трансграничной передаче персданных полностью изменился. Подробнее об этом расскажем в статье.

Как обеспечить защиту персональных данных

Федеральный закон о персональных данных налагает на оператора комплекс обязанностей, которые не всегда ясно, как исполнять. Разбираемся, как правильно обеспечить надлежащую защиту персональных данных.

Кого и как уведомить об утечке персональных данных

1 марта 2023 года вступают в силу Приказы Роскомнадзора от 14.11.2022 № 187 и ФСБ РФ от 13.02.2023 № 77, которые утвердили порядок уведомления этих государственных органов об инцидентах, связанных с утечкой персональных данных. В статье даем пошаговый алгоритм действий.

Изменения в законодательстве

Каждого оператора коснется большая часть изменений, о которых мы рассказали в статье.

Роскомнадзор утвердил новые формы, которые будут использовать почти все операторы персданных

Опубликован Приказ Роскомнадзора от 28.10.2022 № 180. Он восполнил пробелы, которые возникли в связи с вступлением в силу масштабных изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Изменений в Законе о персональных данных, которые вступают в силу с 1 марта 2023 года

С 1 марта 2023 года вступает в силу вторая группа поправок, которые в Федеральный закон от 27.07.2006 № 152-ФЗ внес Федеральный закон от 14.07.2022 № 266-ФЗ. Большая часть из них коснется каждого оператора. В статье разберем все изменения и напомним об одной февральской поправке, которую вы могли пропустить.

Увеличили штрафы за нарушения законодательства о персональных данных

Опубликован Федеральный закон от 12.12.2023 № 589-ФЗ, который внес изменения в КоАП РФ. Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, должны проверить свои документы. О том, как поправки повлияют на бизнес и к каким изменениям готовиться, рассказываем в материале.

Ответственность за нарушение законодательства о персональных данных

К ответственности могут привлечь как оператора персональных данных — организацию или индивидуального предпринимателя, так и отдельных должностных лиц, которые ответственны за обработку и хранение персданных. Разберем, какие виды ответственности существуют за нарушение Закона № 152-ФЗ.

Закон о персональных данных (ПД) 2023 привнёс ряд изменений в области обработки и передачи личной информации граждан. Нововведения вступили в силу 1 марта этого года. Меры введены для повышения уровня защиты, предотвращения утечки и неправомерного использования ПД.

В статье подробно расскажем, что изменилось и как работать с персональными данными (ПД) по новым правилам в 2023 году.

Закон о персональных данных в 2023 году

Обработка персональных данных в 2023 году станет более регламентированной и строго контролируемой в связи со вступлением в силу изменений в законодательстве.

Основные изменения в законе 152-ФЗ «О персональных данных» в 2023 году вводят новые правила, которые касаются:

Все нововведения вступили в силу 1 марта 2023 года. Рассмотрим каждый пункт по отдельности.

Уведомление об изменении персональных данных

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.

Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180

Уничтожение персональных данных

Защита персональных данных с 1 марта 2023 года претерпела изменения в правилах уничтожения сведений.

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.

Подтверждение уничтожения персональных данных

Подтверждение уничтожения персональных данных — это процесс, который гарантирует, что ПД были уничтожены согласно законодательству. Акт об уничтожении подтверждает то, что личная информация была действительно стёрта и не подлежит восстановлению. Содержание документа регулируется Приказом Роскомнадзора от 28.10.2022 № 179. Сам акт составляется в свободной форме.

Уничтожение персональных данных является одним из аспектов защиты цифровой информации, поэтому подтверждение ПД закрепили на законодательном уровне. Этот процесс должен быть интегрирован с другими мерами, такими как ограничение доступа к данным и обеспечение их конфиденциальности.

Передача персональных данных за границу

Персональных данных с 1 марта 2023 года коснулись правила передачи информации за границу. Новые требования, регулирующие передачу ПД за пределы страны, относятся ко всем операторам.

Основные моменты, которые важно знать

Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить об этом Роскомнадзор. Данное правило введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022 года. ПД отправляются, когда компания сотрудничает с заграничными партнёрами, отправляет работников в командировку или на обучение за рубеж.

Уведомление о трансграничной передаче направляется в Роскомнадзор:

Образец уведомления о намерении осуществлять ТППД

До 1 марта 2023 года

Перед отправкой персональных данных за пределы РФ оператор должен проверить получателя на безопасность. Необходимо убедиться, сможет ли иностранный партнёр соблюдать конфиденциальность ПД и обеспечивать их защиту при обработке.

После анализа и положительного решения, оператор ПД должен подать уведомление о том, что он осуществляет передачу персональных данных за рубеж.

После 1 марта 2023 года

Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда он хочет осуществить:

Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их обработке.

В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может запретить или ограничить передачу ПД во внесудебном порядке.

Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления от Роскомнадзора. Однако ведомство может наложить запрет повторно.

Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.

Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.

Что изменилось с 1 марта 2023 года

Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До 1 марта 2023 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2023 года у ведомства такое полномочие появилось. Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна обеспечить должную защиту персональных данных.

Важно! Операторам, подавшим уведомление о трансграничной передаче до 1 марта 2023 года, не нужно подавать новое уведомление до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных.

Решение о запрете или ограничении передачи персональных данных в другие страны

Рекомендуем отправителю заранее убедиться, что его иностранный партнёр может обеспечить конфиденциальность передаваемой информации и её защиту при обработке. Иначе Роскомнадзор установит запрет. Это может отрицательно повлиять на бизнес. Важная встреча или сделка сорвётся, и компания потеряет деньги. В некоторые страны передача личных сведений граждан осуществляется более лояльно.

В какие страны разрешено передавать персональные данные с 1 марта 2023 года

Решение о запрете не выпишут странам, подписавшим Конвенцию Совета Европы и включённым в специальный перечень Роскомнадзора. В этот список входит 89 государств, в которых область ПД регулируется на законодательном уровне, а именно предусматривает:

Трансграничная передача информации — это риск как для оператора-отправителя, так и для физлица, чьи данные передаются.

Почему могут запретить передавать персональные данные 2023 за границу

Роскомнадзор запретит или ограничит передачу личных сведений граждан в том случае, если указанная причина отправки не соответствует заявленной. Также ведомство может отказать в отправке ПД, если объём и содержание имеют расхождения с предусмотренными.

Принимающая сторона должна иметь должные технические средства для защиты получаемой информации. Получатель обязан гарантировать защиту и должную обработку полученных сведений.

Если цель отправки и величина данных совпадают с указанной, а адресат обеспечивает должную обработку и защиту прав субъекта ПД, то Роскомнадзор не будет устанавливать запрет на передачу.

Почему Роскомнадзор контролирует передачу персональных данных

Контроль за трансграничной передачей личных данных осуществляет Роскомнадзор с 1 марта 2023. Мера связана с рисками, которые получают и оператор-отправитель, и физлицо, с которым связана передаваемая информация.

После отправки персональных данных оператор не контролирует их дальнейшую безопасность и не может гарантировать стопроцентную конфиденциальность. При похищении такой информации Российский гражданин ограничен в защите своих прав. Поэтому управление по этим операциям было передано государственному ведомству.

Уведомление об утечке персональных данных

При утечке персональных данных оператор ПД должен уведомить об этом органы исполнительной власти. Для этого оператор отправляет специальное уведомление в Роскомнадзор. Документ отправляют при неправомерном доступе, предоставлении или распространении конфиденциальной информации. Скрывать произошедший инцидент запрещено.

Уведомление об утечке персональных данных может быть двух видов: первичное или дополнительное.

Также в течение трёх дней оператор обязан представить все необходимые данные по запросу Роскомнадзора. Сделать это нужно, если ведомство считает полученную информацию неполной или недостоверной.

Важно отметить, что Роскомнадзор сам может запросить уведомление, если самостоятельно заметит утечку у оператора. Тогда оператору необходимо провести расследование и в случае отсутствия инцидента приложить соответствующий акт.

Оценка вреда, который может быть причинён субъектам персональных данных

1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178. Документ обязывает операторов ПД создать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить, какой вред будет причинён субъекту ПД в случае нарушения Федерального закона «О персональных данных». Оценку указанного вреда проводит ответственный за организацию обработки ПД или комиссия, созданная оператором. Форма акта не установлена.

Какие бывают степени вреда

Для оценки вреда оператор определяет одну из трёх степеней: высокую, среднюю или низкую. Конкретная степень зависит от допущенных нарушений. При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.

Высокая

Высокая степень вреда присваивается, если:

Средняя

Средняя степень вреда присваивается, если:

Низкая

Низкая степень вреда устанавливается, если:

Представленные требования действуют до 1 марта 2029 года.

Сервис 152DOC поможет вам выполнить требования закона № 152-ФЗ и вовремя подготовить все документы, которые нужны для работы с персональными данными сотрудников и клиентов. Если при заполнении бумаг у вас возникнут вопросы, вы сможете задать их специалистам по защите персональных данных.

Образцы документов, которые нельзя игнорировать в 2023 году

Название документа Ссылка на скачивание

Персональные данные 2023 изменения с 1 марта

Закон привнёс значительные изменения в законодательство, касающееся работы с ПД. Основные изменения в положении включают увеличение сроков подачи уведомлений об изменении личной информации в 2023 году, новые правила и требования к уничтожению, обязательное уведомление Роскомнадзора при передаче обрабатываемых персональных данных за границу, а также проведение оценки возможного вреда утечки, что повышает защиту личной информации граждан.

На чьи запросы о представлении персональных данных организация обязана отвечать. В какие сроки (показываем нормативно закрепленные правила и практику). Как организовать этот процесс. Даем образцы оформления разных документов, направляемых в ответ: для представления запрошенных сведений или копий документов, для отказа из-за невозможности идентифицировать субъект персданных или из-за невозможности в принципе их предоставления автору запроса.

В настоящее время многие организации сталкиваются с необходимостью представлять по запросам внешних организаций персональные данные, обработка, сбор и хранение которых находится в их ведении.

В соответствии с определением Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» 1, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Ф.И.О., СНИЛС, дата и место рождения, место регистрации и проживания, факт получения и размер заработной платы и иных выплат (пенсии, пособия, предоставляемые льготы, иное материальное вознаграждение), сведения о работодателе, уплачивающем страховые взносы и сдающем отчетность в государственные контролирующие органы, информация о состоянии здоровья, уровне образования – все это примеры персональных данных.

Персональные данные относятся к категории конфиденциальной информации, доступ и обработка которой ограничены федеральным законодательством. Передавать персональные данные, ставшие известными организации в ходе основной деятельности, третьей стороне можно только с письменного согласия субъекта персональных данных – самого гражданина. При этом согласие должно быть оформлено в соответствии с требованиями статьи 9 закона о персональных данных на бумажном носителе или в форме электронного документа. Однако из этого правила есть исключения, о чем будет сказано ниже.

Под запросами внешних организаций 2 в статье понимаются оформленные в установленном порядке письма корреспондентов о представлении персональных данных, находящихся в распоряжении организации.

У адресата таких запросов часто возникают сомнения: правомерен ли запрос, правомочна ли организация давать ответ, в какие сроки необходимо представить информацию, какие сведения относятся к персональным данным, каким образом направить ответ, как отказать в предоставлении персональных данных?

Кто может запросить персональные данные

Законодательно ни одна организация не ограничена в праве запросить интересующие ее персональные данные в отношении любого гражданина. А вот организация, обрабатывающая персональные данные, не вправе раздавать их по первому требованию.

В соответствии с ч. 4 ст. 21 Уголовно-процессуального кодекса РФ запросы прокуроров, руководителей следственных органов, следователей, органов дознания и дознавателей, предъявленные в пределах их полномочий, подлежат обязательному исполнению. Статья 6 Федерального закона от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации» 3 обязывает безусловно исполнять требования прокурора в установленные им сроки. Неукоснительному исполнению подлежат и обращения судов – подобная норма закреплена в статье 6 Федерального Конституционного закона от 31.12.1996 № 1-ФКЗ «О судебной системе Российской Федерации».