Это значит, что почти каждому бизнесу придётся уведомлять Роскомнадзор и просить о включении в специальный реестр. А ещё придётся сообщать об утечках, получать больше согласий от клиентов, пересмотреть политику обработки данных и договоры с гражданами. Короче: опять стало сложнее. Давайте разбираться. 

О чём вообще речь

Помогли разобраться эксперты Эвотора

Что такое персональные данные. Закон о персональных данных не говорит конкретно, какая информация о гражданах считается персональной. Это любые данные, которые прямо или косвенно относятся к конкретному человеку. То есть что угодно: 

  • фамилия и имя; 
  • номер телефона;
  • адрес;
  • электронная почта;
  • страница Вконтакте;
  • серия и номер паспорта;
  • данные медкарточки;
  • группа крови;
  • фотография. 

Человек, информация о котором попадает к предпринимателям, называется субъектом персональных данных, сокращённо — ПДн. Закон защищает его права: бизнес отвечает за сохранность любой информации о своих клиентах. 

Что такое обработка ПДн. Это любые действия с личной информацией о гражданах, включая сбор, запись, хранение, передачу и даже удаление. Сам факт, что данные к вам уже попали, — это обработка. 

Кто обрабатывает ПДн. Личная информация о людях может попасть к кому угодно. Если это связано с работой, а не с семейными или личными делами, вы становитесь оператором персональных данных. Оператором может быть как крупный маркетплейс, так и самозанятый дизайнер на удалёнке. 

Ещё данные могут обрабатывать специальные обработчики. Это такие компании, которым оператор ПДн доверяет информацию на хранение и обработку. На это надо получать согласие граждан (п. 3 ст. 6 закона о ПДн). 

Раньше правила обработки ПДн действовали только для российских компаний и физлиц. По новым правилам операторами становятся также иностранные организации и физлица. 

Как стать оператором ПДн. Просто так обрабатывать личную информацию клиентов нельзя. Есть специальный реестр операторов ПДн. Обрабатывать персональные данные могут только организации, которые туда включены. Чтобы всё было по закону, надо сначала попасть в этот реестр, а только потом собирать персональные данные. Для этого подают уведомление в Роскомнадзор. 

С вступлением в силу нового закона порядок работы с ПДн для бизнеса сильно изменился: появились новые правила, а старые стали жестче. Мы выделили 8 изменений, которые добавляют предпринимателям больше всего сложностей.

Изменение № 1: уведомлять Роскомнадзор нужно почти всем

Как было раньше. В п. 2 ст. 22 закона о ПДн есть перечень случаев, при которых можно обрабатывать личные данные людей и не сообщать об этом Роскомнадзору. Раньше таких случаев было девять. Например, когда обрабатывали ПДн сотрудников по трудовому договору, только ФИО или информацию, которая нужна для выдачи разового пропуска на предприятие. 

Как сейчас. Количество исключений сократили до трёх. Не нужно сообщать Роскомнадзору, если обрабатываете ПДн:

  • Без средств автоматизации. Допустим, ведёте базу клиентов в блокноте, а не на компьютере.
  • Из информационных баз, созданных для защиты госбезопасности.
  • В связи с требованиями законодательства о транспортной безопасности. 

Что это значит. Операторами ПДн стали все компании, которые заключают с физлицами договоры, включая трудовые, и ведут базы на компьютере. Например, теперь все компании, у которых есть хотя бы один сотрудник, — операторы ПДн. Если это про вас, надо уведомить Роскомнадзор, вот анкета. Пока действует рекомендуемая форма, но скоро обещают утвердить общее для всех уведомление.  

Изменение № 2: согласие на обработку ПДн должно быть предметным и однозначным

Как было раньше. Обрабатывать ПДн предприниматели могут только с согласия субъектов данных — клиентов и сотрудников (п. 1 ст. 9 закона о ПДн). Раньше у такого согласия было всего три критерия: конкретность, информированность и сознательность. 

Как сейчас. К текущим трём критериям добавили ещё два: предметность и однозначность. Что они означают и чем отличаются от первых трёх, никто не объяснил. Разъяснений Роскомнадзора тоже нет. 

Что это значит. Лучше пересмотреть шаблоны согласий на обработку ПДн для клиентов и сотрудников. Цели получения личных данных надо сформулировать так, чтобы они были предметными и однозначными — хотя бы так, как вы это понимаете. 

Изменение № 3: появилась структура локальных актов об обработке ПДн

Как было раньше. В пп. 2 п. 1 ст. 18.1 закона о ПДн написано, что каждый оператор данных должен издавать внутренние документы по вопросам обработки ПДн. Обычно это положение, политика конфиденциальности. Раньше достаточно было составить такое положение, ничего конкретного о его содержании не говорилось. 

Как сейчас. В закон добавили требования к структуре таких положений. Теперь там надо указывать: 

  • какие категории ПДн планируется обрабатывать; 
  • чьи данные попадут к оператору;
  • как будут обрабатываться данные и как долго это будет происходить;
  • как будут уничтожаться данные. 

Что это значит. Надо пересмотреть внутренние документы о ПДн и утвердить новые положения, если в структуре старых нет нужной информации. 

Изменение № 4: сократились сроки реагирования на запросы

Как было раньше. Если Роскомнадзор или субъект ПДн писал компании запрос с просьбой предоставить какие-то сведения, которые касаются обработки личных данных, на ответ давалось 30 дней. 

Как сейчас. Время на ответ сократили до десяти дней с возможностью продления этого срока ещё на пять дней, если нужно время на сбор данных. Такой же срок установлен и для запросов о прекращении обработки ПДн. Если человек просит удалить его из базы, это нужно сделать тоже за десять дней. 

Что это значит. Реагировать на запросы органов и граждан придётся быстрее. В документах ничего менять не нужно. 

Для тех, кто с Эвотором

Покупайте сервисы для товарного учёта, маркировки, ЕГАИС, управления кафе и интеграции с 1С. Они помогут наладить складской учёт, контролировать и анализировать продажи, вести КУДиР, а ещё рассчитывать налоговые платежи и взносы.

На правах рекламы ООО «Эвотор» 2RanynVp1wE

Изменение № 5: появились новые требования к поручению на обработку ПДн

Как было раньше. Если компания поручает хранение и работу с ПДн внешнему обработчику, она выдаёт письменное поручение. Раньше в таком поручении надо было уточнить, что будет происходить с ПДн и с какой целью они обрабатываются. А ещё уточнить обязанности обработчика соблюдать конфиденциальность, безопасность и обеспечивать защиту информации (п. 3 ст. 6 закона о ПДн). 

Как сейчас. Перечень требований расширили. Теперь в поручении ещё надо указать: 

  • какие конкретно ПДн передают обработчику;
  • что обработчик обязан использовать базы данных на территории РФ;
  • что обработчик обязан отчитываться перед оператором о соблюдении законодательства о ПДн по запросу;
  • что обработчик обязан сообщить оператору об утечке ПДн, если она произойдёт.

Что это значит. Если после первого сентября вы поручаете обработку ПДн клиентов и сотрудников другой компании, добавьте в поручение новые пункты. 

Изменение № 6: запретили отказывать в продаже, если потребитель не предоставил ПДн

Как было раньше. Для оформления заказа продавец мог попросить у клиента имейл, номер телефона и даже адрес. Без них мог отказать в продаже — мол, данные нужны для заключения сделки. 

Как сейчас. Больше так делать нельзя, необоснованный отказ в продаже стал незаконным. В законе уточнили всего два случая, когда за отказ в предоставлении ПДн можно не продавать товар: 

  1. Когда ПДн нужны по закону. Например, если человек покупает дорогие ювелирные украшения или сим-карту. 
  2. Когда ПДн нужны для исполнения договора. Например, для доставки товара продавцу нужен адрес, а для отправки электронных билетов — имейл.

Если таких причин нет, а человек не хочет давать личные данные, отказывать в продаже нельзя. Такое же правило ввели в закон о защите прав потребителей, а ещё добавили специальный штраф — до 50 000 ₽. 

Что это значит. Если вы собираете ПДн, которые не подпадают в исключения, лучше перестроить работу с покупателями так, чтобы без нужных персональных данных выполнить договор было невозможно. Тогда вопросов не будет.

Изменение № 7: заставили отчитываться за утечки ПДн

Как было раньше. Если происходила утечка данных, никаких обязанностей по закону у оператора не было. 

Как сейчас. Теперь компании заставили сообщать, если кто-то украл персональные данные (п. 3.1 ст. 21 закона о ПДн). Надо в течение первых суток уведомить Роскомнадзор:

  • об утечке;
  • о причинах и вреде, который может быть причинён субъектам ПДн;
  • как будут устранять последствия утечки;
  • с кем из компании Роскомнадзор может контактировать по вопросу. 

На расследование причин и поиск виновных дают трое суток. О результатах надо тоже надо сообщить в Роскомнадзор, на сайте есть специальная форма

Ещё все операторы должны подключиться к государственной системе обнаружения компьютерных атак — ГосСОПКА. Туда же надо будет сообщать об утечках и происшествиях, которые их повлекли. Как это будет происходить, пока неясно — в ФСБ обещают утвердить правила. 

Что это значит. Придётся сообщать об инцидентах в Роскомнадзор и подключаться к ГосСОПКА. Не критично, но ответственность операторов и контроль со стороны государства растёт. 

Изменение № 8: ввели условия, которые нельзя включать в договор с субъектом ПДн

Как было раньше. В ст. 6 закона о ПДн есть список случаев, когда возможна обработка личной информации. Один из них — когда ПДн нужны для исполнения договора. Каких-то специальных условий, которые нельзя включать в такой договор, раньше не было. 

Как сейчас. Теперь такие условия появились. В любой договор с субъектом ПДн нельзя включать: 

  • условия, которые ограничивают его права;
  • условия, которые дают возможность обрабатывать ПДн несовершеннолетних;
  • условие, которое подразумевает, что бездействие человека — это согласие на заключение договора. 

Что это значит. Надо перепроверить типовые договоры и убрать запрещённые условия, если они вдруг там есть. 

Что будет, если нарушить новые правила

В ст. 13.11 КоАП есть несколько штрафов для операторов ПДн, за разные нарушения разная ответственность. 

Что нарушили Какой штраф Статья 13.11 КоАП
Обрабатывали ПДн, когда это делать нельзя 5–50 тысяч рублей часть 1
Нарушили состав согласия на обработку ПДн 10–75  тысяч рублей часть 2
Не опубликовали положение об обработке ПДн 5–30  тысяч рублей часть 3
Вовремя не ответили субъекту ПДн на запрос 10–40 тысяч рублей часть 4
Вовремя не удалили ПДн по запросу субъекта или Роскомнадзора 10–45 тысяч рублей часть 5 
Необеспечение безопасности НПД, которое повлекло несанкционированный доступ к ПДн 10–50 тысяч рублей часть 6 
Хранение ПДн на серверах за пределами РФ 100 тысяч – 6 миллионов рублей часть 8

Что ещё вступит в силу 1 марта 2023 года

Часть из нововведений в законе № 266-ФЗ заработает только с весны 2023 года. Основных момента всего два.

  1. Будут введены правила о трансграничной передаче ПДн. Ожидается, что Роскомнадзор составит перечень иностранных государств, в которые будет надёжно передавать личную информацию граждан. Операторов обяжут уведомлять о передаче ПДн за границу ещё до такой передачи. А если будет какая-то угроза данным, Роскомнадзор сможет запретить их отправку. 
  2. Реестр недвижимости закроют. В ЕГРН хранятся данные о собственниках недвижимости. С 1 марта, если такой собственник заранее не даст разрешения на передачу данных кому-то со стороны, Росреестр не будет выдавать выписки третьим лицам. Исключение — нотариусы и госорганы. 

Подытожим

  1. Работу бизнеса с персональными данными усложнили. Теперь почти все, кто заключает какие-либо договоры с гражданами, должны сначала сообщить об этом в Роскомнадзор. 
  2. Чтобы выполнить новые требования, предпринимателям нужно пересмотреть локальные акты об обработке ПДн, содержание договоров и поручений. Иначе можно попасть на штраф. 
  3. В марте 2023 года вступит в силу новая порция изменений в закон о ПДн. Она коснётся предпринимателей, которые передают личную информацию граждан за границу.