Персональные данные потребителей – изменения в законе

С 1 сентября 2022 г. вступают в силу изменения, призванные повысить защиту персональных данных, собираемых у потребителей. К чему надо успеть подготовиться организациям, которые собирают такие данные? На какие вопросы потребителя и за сколько дней надо отвечать? Как увеличили штраф за нарушения? Обратите внимание: дополнительную настройку порядка работы с персональными данными сейчас сделали не в законе о персональных данных, а в законе о защите прав потребителей. И уже прорабатывается новая порция изменений.

В условиях глобализации мировой экономики и проникновения Интернета во все сферы жизни особое значение приобретает защита персональных данных. Доверяя государству и бизнесу свою персональную информацию, человек получает более удобный и качественный сервис, а также комфортную коммуникацию. Однако повсеместное и избыточное собирание персональной информации чревато серьезными рисками (незаконная передача персональных данных человека третьему лицу, их обработка в противоречии с заявленными целями или с превышением допустимых пределов, хищение и др.). В связи с этим были приняты изменения, направленные на защиту персональных данных потребителей, в т. ч. от их необоснованного сбора, которые вступят в силу уже в сентябре 2022 года. Рассказываем о нововведениях, ведь многие их них организациям нужно учесть в работе уже сейчас. А потребителям будет интересно узнать, на что они могут рассчитывать по новым правилам в случае нарушения их прав, какие возможности для них несут поправки.

Коммерческая ценность

Люди ежедневно и неосознанно открывают доступ к своим персональным данным широкому кругу лиц (например, заполняя анкеты для получения дисконтных карт, бонусов и скидок). Сбор и обработка большого объема персональной информации, характеризующей целые группы людей и их поведенческие особенности, позволяет предприимчивым коммерсантам монетизировать полученные данные, а также делать свои продукты более востребованными.

Не секрет, что накапливание и анализ больших объемов данных (big data), включая персональную информацию, дает компаниям возможность продавать их на рынке, выстраивать и применять скоринговые модели, анализировать поведение клиентов, их запросы и предпочтения и благодаря этому делать адресные предложения, наращивая выручку. Информация давно превратилась в полноценный товар, пользующийся высоким спросом на рынке со стороны покупателей, работающих в разных сегментах.

Напомним базовые требования к обработке персданных

Порядок получения статуса оператора по обработке персональных данных и его обязанности предусмотрены ст. 1, п. 2 ст. 3, ст. 5–6, 18–22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1. Указанный статус должен быть присвоен любым федеральным, региональным и муниципальным органам власти, юридическим и физическим лицам, включая индивидуальных предпринимателей, если они выполняют обработку персональных данных с использованием средств автоматизации, в т.ч. в информационно-телекоммуникационных сетях, либо без такого использования, если по своему характеру это соответствует автоматической обработке.

Оператор обязан направить уведомление в Роскомнадзор о своем намерении осуществлять обработку персданных. Направлять уведомления не требуется, если обработка персданных осуществляется:

  • в соответствии с трудовым законодательством РФ либо на основании договора с субъектом, при этом они не передаются третьим лицам (это самый распространенный случай, сюда подпадает и обработка персданных работников);
  • в иных случаях, предусмотренных п. 2 ст. 22 Закона № 152‑ФЗ (см. фрагмент документа ниже).

О прекращении обработки оператор также сообщает Роскомнадзору, направляя уведомление.

Фрагмент документа

Пункт 2 статьи 22 «Уведомление об обработке персональных данных» Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Оператор должен утвердить документы, связанные с обработкой перс­данных, назначить ответственное лицо, которое подчиняется непосредственно исполнительному органу оператора, что позволяет обеспечить независимость такого сотрудника от руководителей иных структурных подразделений компании-оператора.

Оператор должен самостоятельно определить состав и содержание организационных, технических и правовых мер для...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 840 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Утечка персональных данных: самые большие штрафы и уголовная ответственность

Самые большие штрафы грозят за несанкционированную передачу персональных данных (ПД): доходит до 3% с годовой выручки организации и до 500 000 000 рублей! Поэтому мы стали разбираться, какие требования есть к обеспечению безопасности ПД в информационных системах, какие отягчающие и смягчающие размер штрафа обстоятельства учитываются. За какие категории ПД грозит повышенный штраф. В таблице систематизируем, кого, за что и на сколько могут оштрафовать по КоАП РФ. Объясняем, за что «светит» уже уголовная ответственность, по которой могут быть не только крупные штрафы, но и лишение права занимать определенные должности и даже лишение свободы. Разбираемся также со штрафами за неуведомление Роскомнадзора об инциденте с утечкой ПД (либо нарушение срока уведомления – это должно быть сделано в течение 24 и 72 часов), а также за хранение ПД россиян за рубежом.

Акт об уничтожении персональных данных или документов?

Во многих документах, которые мы привыкли выделять к уничтожению по акту, составленному по правилам Росархива, содержатся персональные данные. В марте 2023 года вступил в силу приказ Роскомнадзора, который потребовал документировать уничтожение персональных данных по своему акту (там должны фиксироваться иные сведения, его составлять очень трудоемко)! А штрафы за ошибки в работе с персданными большие. Помогаем вам их избежать. Вы поймете, когда надо оформлять уничтожение документов (в т.ч. содержащих персданные) по акту Росархива, а когда – по акту Роскомнадзора. А еще получите аргументацию для диалога с проверяющими, чтобы защитить себя. Отсутствие однозначных разъяснений от профильных ведомств (Росархива и Роскомнадзора) приводит к рискам, которые помогаем вам оценить и выбрать свой «маршрут следования».

Несанкционированный доступ к персональным данным, обрабатываемым без средств автоматизации

Многие бумажные документы содержат персональные данные (ПД). Какие штрафы грозят за разглашение ПД, обрабатываемых без средств автоматизации? Загадка: если проект документа создан на компьютере, потом его распечатали и подписали на бумаге, то можно считать, что документ обрабатывается без средств автоматизации? Объясняем, как провести грань между автоматической и «ручной» обработкой ПД. Какие требования предписывает выполнить постановление Правительства РФ для защиты ПД, обрабатываемых «вручную». Их полный список может вас напугать. Поэтому подсказываем, как «сильные мира сего» минимизируют его выполнение.

Документирование работы с персональными данными: как избежать штрафов по ст. 13.11 КоАП РФ

Какие могут быть проблемы с целями обработки персональных данных? Когда нужно оформлять письменные согласия на обработку и распространение персональных данных, как их составить грамотно? Когда нужна Политика обработки персданных и где она должна быть опубликована? Когда и какую информацию следует предоставить по запросу человека о его персональных данных? Когда оператор обязан уточнить, заблокировать или уничтожить персональные данные? Как должно производиться обезличивание персональных данных? Когда и о чем следует уведомлять Роскомнадзор? Объясняем, как выполнить перечисленные задачи грамотно и какие штрафы грозят за ошибки.

Сколько дней отводится для ответа на обращение?

Вы поймете, на какие обращения можно ответить в течение 30 дней, и обнаружите, что на большинство обращений физических и юридических лиц коммерческая организация должна отвечать в течение 7 календарных дней (приводим ссылки на законы и судебную практику). Еще объясняем, когда действуют другие варианты сроков: 3 дня, 5 дней, 10 дней, 45 дней и др. Даем примеры расчета даты ответа на календаре – ​для сроков по Закону об обращениях граждан и исчисляемых по Гражданскому кодексу РФ (их методики различаются).

Отметка о поступлении и отметка о вручении документа – разные вещи

Делопроизводственный реквизит «отметка о поступлении документа» в организацию (с входящим номером) кардинально отличается от юридической отметки о получении / вручении документа (с подписью): как по назначению, так и по составу элементов (общая у них только дата). Показываем несколько вариантов их оформления. Обязана ли организация-получатель ставить их на экземпляре отправителя. Как убедить суд в факте вручения документа адресату при его отправке курьером, через «Почту России» или по электронной почте.

Кто и как отвечает в организации за работу с персональными данными

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Документирование работы с персональными данными: как избежать штрафов по ст. 13.11 КоАП РФ

Какие могут быть проблемы с целями обработки персональных данных? Когда нужно оформлять письменные согласия на обработку и распространение персональных данных, как их составить грамотно? Когда нужна Политика обработки персданных и где она должна быть опубликована? Когда и какую информацию следует предоставить по запросу человека о его персональных данных? Когда оператор обязан уточнить, заблокировать или уничтожить персональные данные? Как должно производиться обезличивание персональных данных? Когда и о чем следует уведомлять Роскомнадзор? Объясняем, как выполнить перечисленные задачи грамотно и какие штрафы грозят за ошибки.