![Сбор персональных данных – теперь это мрак [обновлено]](/upload/iblock/090/c0bfx4q0d9t3k15f20nw5f4ypgpb3915/anons_input.webp)
![Сбор персональных данных – теперь это мрак [обновлено]](/upload/iblock/996/7yy71yxucgx51730dou3c4d60q0sngh3/soc_seti.webp)
Начиная с 1 сентября 2022 года о сборе персональных данных нужно сообщать в Роскомнадзор. И не постфактум, а до начала их обработки. Думаете, вашу компанию это не касается? Еще как касается!
Ваша компания захотела провести электронный опрос покупателей (и те должны оставить ФИО и телефон/электронный адрес). Вы решили провести в онлайне конкурс с призами. Вы решили провести конференцию и собираете заявки…
Обо всем этом надо отчитываться. Причем до мероприятия!
И не важно, представляете ли вы компанию, являетесь индивидуальным предпринимателем, самозанятым или обычным гражданином – отчитываться должны все, кто намерен собирать и обрабатывать персональные данные.
Что, как и когда делать – подробно расписано в федеральном законе от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Но, как обычно, там много букв на трудном языке, поэтому вот ответы на главные вопросы, которые появились у вас после прочтения первого абзаца и будут появляться дальше, пока вы не дочитаете статью.
Спойлер: все не так страшно, и TexTerra знает законный (хоть и странный) способ собирать данные и ни перед кем не отчитываться. Подойдет он не всем и не во всех случаях.
1. ФИО и номер телефона – это персональные данные?
ФИО пока не считаются персональными данными. Это одно из исключений, перечисленных во второй части статьи 22 Закона №152-ФЗ «О персональных данных». Но с 1 сентября 2022 года фамилия имя и отчество станут считаться персональными данными – их уберут из списка исключений.
Что касается телефонных номеров, то они были, есть и будут оставаться персональными данными, даже если больше никакими данными не сопровождаются. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 №152-ФЗ «О персональных данных»).
2. Какие еще исключения?
Подотчетным является сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
По поводу последнего пункта (переписывание паспортных данных на проходной или охране) есть лазейка, о которой мы расскажем, отвечая на следующий вопрос.
3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?
Не все, а только те, кто заносит данные в компьютер. Если вы записываете персональные данные в тетрадку или на листок (без использования средств автоматизации) и не намерены их куда-то после этого передавать, то слать отчеты в Роскомнадзор не нужно – такой подход не нарушает закон.
Передача персональных данных через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь – нет. Поэтому охранник, записывающий ваши данные от руки в тетрадь, ничего не нарушает, а тому, кто заносит их в компьютер без предварительного уведомления Роскомнадзора, грозит штраф.
4. Какой еще штраф? Сколько?
Не так уж много, как можно было бы подумать. Это может быть даже предупреждение. Согласно ст. 19.7 КоАП РФ, физических лиц могут оштрафовать на сумму от 100 до 300 рублей, должностных лиц (тех же охранников и вахтеров) – от 300 до 500 рублей, а юридическим лицам грозит штраф от 3 тысяч до 5 тысяч рублей.
Надо полагать, символические суммы рано или поздно изменятся, когда пройдет некий период привыкания.
5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?
Делается это исключительно дистанционно и уведомлять нужно то подразделение Роскомнадзора, к которому вы относитесь территориально (ищите его здесь). То есть можно отправить уведомление по электронной почте, указанной в адресе подразделения, или на общий адрес rsoc_in@rkn.gov.ru, через портал госуслуг или отправив письмо Почтой России. Лично ходить не нужно – Роскомнадзор приостановил такой вид обращений до конца угрозы эпидемии коронавируса.
Уведомления нужно составлять и отправлять перед сбором и обработкой персональных данных для каждой цели отдельно. Для прохода через проходную – одно, а для участия в розыгрыше – еще одно, для приема на работу или заключения договора на оказание услуг – другое и так далее.
6. Как составить уведомление?
Используйте фирменный бланк компании. Далее вам поможет список рекомендаций от Роскомнадзора по составлению и заполнению формы уведомления, утвержденной приказом Роскомнадзора от 30.05.2017 №94 в редакции от 30.10.2018 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
В уведомлениях нужно указывать:
- название компании или ФИО лица, собирающего данные,
- правовое основание обработки персональных данных (можно взять отсюда, но не используйте пункт 1),
- цель обработки персональных данных,
- категории персональных данных (помните, что фото и видео человека – тоже его персональные биометрические данные),
- категории субъектов, персональные данные которых обрабатываются (работник, абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и т.п.),
- перечень действий с персональными данными – неавтоматизированная, исключительно автоматизированная или смешанная обработка,
- описание мер защиты базы персональных данных от взлома или случайного проникновения в нее,
- дата начала обработки персональных данных (по факту, обработка начинается вместе с началом сбора данных),
- сроки и/или условия прекращения обработки данных,
- планируется или нет передача персональных данных за рубеж,
- местонахождение базы данных,
- сведения об обеспечении безопасности персональных данных.
7. Для чего Роскомнадзору нужны наши уведомления?
Вас внесут вот в этот реестр. Здесь же вас может найти любой желающий, кто решит проверить, на законных ли основаниях вы собираете персональные данные людей.
Нововведения от 1 марта 2023 года
Первое. Отправка персональных данных в другую страну (например, туроператорами при бронировании отеля, импортерами при заключении контрактов) является трансграничной передачей, и о ней теперь нужно уведомить Роскомнадзор в соответствии со ст. 12 закона № 152-ФЗ.
Роскомнадзор рассмотрит передачу в течение 10 дней и либо одобрит ее, либо запретит. Велика вероятность, что Роскомнадзор передачу данных запретит, если речь идет о стране без адекватной защиты данных (перечень стран с адекватной защитой вы найдете здесь). Чтобы увеличить шансы на получение разрешения, нужно получить от контрагента сведения по списку в п. 5 ст. 12 закона № 152-ФЗ, которые Роскомнадзор может затребовать.
Второе. Изменились сроки уведомления Роскомнадзора при изменениях у оператора персональных данных: наименования, адреса оператора, целей обработки персональных данных, составе персональных данных, о начале или прекращении трангсраничной передачи.
Если раньше об изменениях нужно было сообщать в Роскомнадзор в течение 10 рабочих дней с момента изменений, то с 1 марта 2023 года – до 15-го числа следующего месяца.
Третье. Изменилась форма уведомления об утечке персональных данных. С 1 марта 2023 года действует приказ Роскомнадзора от 14.11.2022 № 187, где расписано и то, какие сведения должны быть в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 Закона № 152-ФЗ. Обновлённые формы размещены на официальном портале ПД.
Четвертое. Согласно приказу ФСБ России от 13.02.2023 № 77 сообщать о компьютерных инцидентах нужно непосредственно в НКЦКИ в течение 24 часов.
Пятое. Теперь оператор должен оценивать степень потенциального вреда субъекту персональных данных (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ). Требования к оценке изложены в приказе Роскомнадзора от 27.10.2022 № 178.
Шестое. Оператор должен уничтожить персональные данные в трех случаях (ст. 21 закона № 152-ФЗ):
-
выявлен факт их неправомерной обработки,
-
цели, для которых собиралась личная информация, достигнуты,
-
отзыв согласия на обработку персональных данных.
Факт уничтожения персональных данных нужно подтвердить документами (приказ Роскомнадзора от 28.10.2022 № 179).
Седьмое. До 2030 года действует мораторий на плановые надзорные мероприятия, но при утечках персональных данных мораторий не действует и Роскомнадзор придет с внеплановой проверкой.
Вывод
В общем все, кто собирает персональные данные и заносит их в компьютер, должны отсылать уведомления в Роскомнадзор до начала сбора данных.
Исключением же стала только бумага, на которой можно на законных основаниях записывать любые персональные данные людей и составлять любые договоры (только без занесения данных в компьютер).
![Новый закон о рекламе – что изменится с 1 сентября [обновлено]](/upload/resize_cache/iblock/201/496wralnljgo3gh9r4dffe85iod0iqox/160_120_2/readmore.webp)
Новый закон о рекламе – что изменится с 1 сентября [обновлено]
