Top.Mail.Ru
Заказать звонок
Телефон отдела продаж:
8 (800) 775-16-41
Наш e-mail:
mail@texterra.ru
Заказать услугу
Сбор персональных данных – теперь это мрак [обновлено] Редакция «Текстерры»
Редакция «Текстерры»

Начиная с 1 сентября 2022 года о сборе персональных данных нужно сообщать в Роскомнадзор. И не постфактум, а до начала их обработки. Думаете, вашу компанию это не касается? Еще как касается!

Ваша компания захотела провести электронный опрос покупателей (и те должны оставить ФИО и телефон/электронный адрес). Вы решили провести в онлайне конкурс с призами. Вы решили провести конференцию и собираете заявки…

Обо всем этом надо отчитываться. Причем до мероприятия!

И не важно, представляете ли вы компанию, являетесь индивидуальным предпринимателем, самозанятым или обычным гражданином – отчитываться должны все, кто намерен собирать и обрабатывать персональные данные.

Читайте также
6 сен 2023
1 299 924
Оформление страницы «ВКонтакте»: самый подробный гайд в рунете

Если группа или страница оформлены неудобно для пользователя, вы теряете потенциальных клиентов. Не надо так!

3 ноя 2023
1 142 723
Продвижение «ВКонтакте»: 20 советов и десятки полезных сервисов

«ВКонтакте» остался чуть ли не единственной живой соцсетью в России. Если вы вернулись сюда после лет пяти отсутствия, вам точно пригодится этот гайд: здесь многое изменилось.

12 фев 2024
1 067 606
Как сделать мобильное приложение самому – все варианты

Рассказываем про конструкторы приложений.

Что, как и когда делать – подробно расписано в федеральном законе от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Но, как обычно, там много букв на трудном языке, поэтому вот ответы на главные вопросы, которые появились у вас после прочтения первого абзаца и будут появляться дальше, пока вы не дочитаете статью.

Спойлер: все не так страшно, и TexTerra знает законный (хоть и странный) способ собирать данные и ни перед кем не отчитываться. Подойдет он не всем и не во всех случаях.

1. ФИО и номер телефона – это персональные данные?

ФИО пока не считаются персональными данными. Это одно из исключений, перечисленных во второй части статьи 22 Закона №152-ФЗ «О персональных данных». Но с 1 сентября 2022 года фамилия имя и отчество станут считаться персональными данными – их уберут из списка исключений.

Что касается телефонных номеров, то они были, есть и будут оставаться персональными данными, даже если больше никакими данными не сопровождаются. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 №152-ФЗ «О персональных данных»).

Продвинем ваш бизнес
Подробнее

2. Какие еще исключения?

Подотчетным является сбор персональных данных:

  • в ходе трудовых отношений,
  • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
  • уже упомянутых ФИО,
  • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
  • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

По поводу последнего пункта (переписывание паспортных данных на проходной или охране) есть лазейка, о которой мы расскажем, отвечая на следующий вопрос.

3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?

Не все, а только те, кто заносит данные в компьютер. Если вы записываете персональные данные в тетрадку или на листок (без использования средств автоматизации) и не намерены их куда-то после этого передавать, то слать отчеты в Роскомнадзор не нужно – такой подход не нарушает закон.

Передача персональных данных через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь – нет. Поэтому охранник, записывающий ваши данные от руки в тетрадь, ничего не нарушает, а тому, кто заносит их в компьютер без предварительного уведомления Роскомнадзора, грозит штраф.

4. Какой еще штраф? Сколько?

Изначально штраф был не таким уж и большим. Это могло быть даже предупреждение. Согласно ст. 19.7 КоАП РФ, физических лиц могут оштрафовать на сумму от 100 до 300 рублей, должностных лиц (тех же охранников и вахтеров) – от 300 до 500 рублей, а юридическим лицам грозит штраф от 3 тысяч до 5 тысяч рублей.

Но эти символические суммы скоро могут измениться. 

Предлагаются следующие штрафы за нарушение обработки персональных данных (в ч. 1 м ч. 1.1 ст. 13.11 КоАП РФ):

  • для физических лиц – 10-15 тысяч рублей;

  • для должностных лиц – 50-100 тысяч рублей;

  • для индивидуальных предпринимателей – 50-100 тысяч рублей;

  • для юридических лиц – 150-300 тысяч рублей.

За повторное нарушение правил обработки персональных данных предлагаются штрафы:

  • для физических лиц – 15-30 тысяч рублей;

  • для должностных лиц – 100-200 тысяч рублей;

  • для индивидуальных предпринимателей – 300-500 тысяч рублей.

Размер же штрафа за утечки будет зависеть от количества субъектов, чьи персональные данные утекли:

  • 1-10 тысяч субъектов – 3-5 млн рублей;

  • 10-100 тысяч субъектов – 5-10 млн рублей;

  • более 100 тысяч субъектов – 10-15 млн рублей.

За повторные утечки предусмотрены оборотные штрафы – от 0,1% до 3% выручки за календарный год (но не менее 15 млн рублей и не более 500 млн рублей). 

Все эти новые штрафы были приняты Госдумой 23 января 2024 года в первом чтении.

5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?

Делается это исключительно дистанционно и уведомлять нужно то подразделение Роскомнадзора, к которому вы относитесь территориально (ищите его здесь). То есть можно отправить уведомление по электронной почте, указанной в адресе подразделения, или на общий адрес rsoc_in@rkn.gov.ru, через портал госуслуг или отправив письмо Почтой России. Лично ходить не нужно – Роскомнадзор приостановил такой вид обращений до конца угрозы эпидемии коронавируса.

Уведомления нужно составлять и отправлять перед сбором и обработкой персональных данных для каждой цели отдельно. Для прохода через проходную – одно, а для участия в розыгрыше – еще одно, для приема на работу или заключения договора на оказание услуг – другое и так далее.

Продвигаем сайты. Обсудим?
Нажимая на кнопку «Отправить», вы подтверждаете свое согласие на обработку пользовательских данных
Спасибо!

Ваша заявка принята.
Мы свяжемся с вами в ближайшее время.

6. Как составить уведомление?

Используйте фирменный бланк компании. Далее вам поможет список рекомендаций от Роскомнадзора по составлению и заполнению формы уведомления, утвержденной приказом Роскомнадзора от 30.05.2017 №94 в редакции от 30.10.2018 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

В уведомлениях нужно указывать:

  • название компании или ФИО лица, собирающего данные,
  • правовое основание обработки персональных данных (можно взять отсюда, но не используйте пункт 1),
  • цель обработки персональных данных,
  • категории персональных данных (помните, что фото и видео человека – тоже его персональные биометрические данные),
  • категории субъектов, персональные данные которых обрабатываются (работник, абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и т.п.),
  • перечень действий с персональными данными – неавтоматизированная, исключительно автоматизированная или смешанная обработка,
  • описание мер защиты базы персональных данных от взлома или случайного проникновения в нее,
  • дата начала обработки персональных данных (по факту, обработка начинается вместе с началом сбора данных),
  • сроки и/или условия прекращения обработки данных,
  • планируется или нет передача персональных данных за рубеж,
  • местонахождение базы данных,
  • сведения об обеспечении безопасности персональных данных.

7. Для чего Роскомнадзору нужны наши уведомления?

Вас внесут вот в этот реестр. Здесь же вас может найти любой желающий, кто решит проверить, на законных ли основаниях вы собираете персональные данные людей.

Нововведения от 1 марта 2023 года

Первое. Отправка персональных данных в другую страну (например, туроператорами при бронировании отеля, импортерами при заключении контрактов) является трансграничной передачей, и о ней теперь нужно уведомить Роскомнадзор в соответствии со ст. 12 закона № 152-ФЗ.

Роскомнадзор рассмотрит передачу в течение 10 дней и либо одобрит ее, либо запретит. Велика вероятность, что Роскомнадзор передачу данных запретит, если речь идет о стране без адекватной защиты данных (перечень стран с адекватной защитой вы найдете здесь). Чтобы увеличить шансы на получение разрешения, нужно получить от контрагента сведения по списку в п. 5 ст. 12 закона № 152-ФЗ, которые Роскомнадзор может затребовать.

Второе. Изменились сроки уведомления Роскомнадзора при изменениях у оператора персональных данных: наименования, адреса оператора, целей обработки персональных данных, составе персональных данных, о начале или прекращении трангсраничной передачи.

Если раньше об изменениях нужно было сообщать в Роскомнадзор в течение 10 рабочих дней с момента изменений, то с 1 марта 2023 года – до 15-го числа следующего месяца.

Третье. Изменилась форма уведомления об утечке персональных данных. С 1 марта 2023 года действует приказ Роскомнадзора от 14.11.2022 № 187, где расписано и то, какие сведения должны быть в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 Закона № 152-ФЗ. Обновлённые формы размещены на официальном портале ПД.

Четвертое. Согласно приказу ФСБ России от 13.02.2023 № 77 сообщать о компьютерных инцидентах нужно непосредственно в НКЦКИ в течение 24 часов.

Пятое. Теперь оператор должен оценивать степень потенциального вреда субъекту персональных данных (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ). Требования к оценке изложены в приказе Роскомнадзора от 27.10.2022 № 178.

Шестое. Оператор должен уничтожить персональные данные в трех случаях (ст. 21 закона № 152-ФЗ):

  • выявлен факт их неправомерной обработки,

  • цели, для которых собиралась личная информация, достигнуты,

  • отзыв согласия на обработку персональных данных.

Факт уничтожения персональных данных нужно подтвердить документами (приказ Роскомнадзора от 28.10.2022 № 179).

Седьмое. До 2030 года действует мораторий на плановые надзорные мероприятия, но при утечках персональных данных мораторий не действует и Роскомнадзор придет с внеплановой проверкой.

Вывод

В общем все, кто собирает персональные данные и заносит их в компьютер, должны отсылать уведомления в Роскомнадзор до начала сбора данных. 

Исключением же стала только бумага, на которой можно на законных основаниях записывать любые персональные данные людей и составлять любые договоры (только без занесения данных в компьютер).

Читайте также
Новый закон о рекламе – что изменится с 1 сентября [обновлено]
Поделиться статьей:

Новое на сайте

28 мар 2024
289
Правила сетикета – какие они и почему важны для вашей компании

В виртуальном мире существуют особые правила общения, не соблюдая которые легко навредить своему бизнесу.

28 мар 2024
4 061
Миф про многозадачность: мозг не умеет так работать

Так что работодатели зря пишут про этот навык на HeadHunter. Но способы всё успевать – есть.

Смотреть все статьи

У вас есть деловой запрос? Давайте обсудим!

Оставьте свои контакты, мы свяжемся с вами в ближайшее время.

Нажимая на кнопку «Оставить заявку», вы подтверждаете свое согласие на обработку пользовательских данных

Спасибо!

Ваша заявка принята. Мы свяжемся с вами в ближайшее время.

Наш подход бустит продажи. Вы платите за результат!