Организациям постоянно приходится иметь дело с целыми гигабайтами личных сведений о клиентах и сотрудниках - собирать их, хранить, передавать, проводить по документации, уничтожать и прочее. В связи с цифровизацией развиваются сферы облачных решений, удаленных офисов, онлайн-платежей и сделок, аутсорса. Повышается оперативность и функциональность, но вместе с тем растут киберугрозы. Это заставляет государство совершенствовать правовое поле, особенно по поводу персональных данных граждан. Обновленное законодательство призвано заставить юрлица быть ответственнее в отношении личной информации.
С первого марта 2021 года вступили в силу внесенные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который определяет действия работодателя с персональными данными физлиц. Почему нужно обратить пристальное внимание на эти поправки? Теперь за нарушениями последуют более серьезные санкции и штрафы.
О персональных данных: что к ним относится?
Это любая информация о физическом лице, позволяющая его определить. Закон перечисляет следующие пункты:
- ФИО;
- дата и место рождения;
- паспорт, СНИЛС, ИНН;
- адрес постоянной и временной регистрации;
- образование;
- телефон;
- электронный адрес;
- профили в социальных сетях и мессенджерах;
- идентифицирующие личность фотографии и видеоматериалы;
- семейное положение и состав семьи;
- судимости;
- размер доходов;
- профессиональные навыки;
- личностные характеристики;
- раса и национальность;
- взгляды в политике, религии, философии;
- сексуальная ориентация;
- здоровье;
- биометрия, ДНК, отпечатки пальцев, особые приметы.
Что изменилось?
Обработка персональных данных - любые действия с вышеперечисленными фактами, регламентируемые статьей 13.11 КоАП и редакциями от 07.02.2017 № 13-ФЗ и 30.12.2020 N 519-ФЗ. К ним относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Согласно новым требованиям субъект получил право ограничить оператора в использовании данных без указания причин (раньше требовались доказательства, что они приобретены незаконно, устарели, недействительны и прочее), и тот должен прекратить действия в течение трех рабочих дней, по истечении которых пользователь может обратиться в суд. Санкция - от 3 000 до 75 000 рублей. Оператор может только обрабатывать, но не распространять информацию. За каждое отдельное нарушение взимается отдельный штраф. Срок ответственности увеличивается до одного года.
С 27 марта 2021 операторы не получают в качестве санкций предупреждения - они упразднены. Теперь нарушителей сразу штрафуют. Суммы - от 6 000 до 150 рублей; при повторном инциденте, который теперь считается самостоятельным составом нарушения, цифры повысятся до 300-500 тысяч.
Как оформить согласие?
Примечательно, что разрешить использовать сведения субъект может любым способом - не обязательно в письменном виде. Главное - подтвердить сам факт соглашения, например, электронной подписью. Уведомлять Роскомнадзор о том, что вы обрабатываете данные, в случае трудовых отношений не нужно.
Так как согласовывать с владельцем необходимо каждую операцию с его ПД, компаниям целесообразно разработать собственные внутренние документы с универсальным предоставлением прав. В них должны быть перечислены все возможные случаи действий с информацией, которые при подписании отметит (или не отметит) человек.
ВАЖНО! Молчание субъекта не считается согласием!
Часто задаваемые вопросы
Никакую - необходимо прямое разрешение.
Законодательство определяет это как сходные понятия (адресация неопределенному и определенному кругу лиц), требуется разрешение на каждое из них отдельно.
В этом случае оператор обязан доказать, что имели место кража, взлом или другие обстоятельства непреодолимой силы.
Итог
Как не столкнуться с полумиллионными санкциями? Самое верное правило - составить с помощью юристов всесторонне защищенный документ с развернутым списком ситуаций, в которых организации требуются ПД. Для этого нелишним будет изучить все представленные на сегодня в Сети образцы бланков и скомпилировать из них индивидуальный чек-лист под вашу компанию. Главное - ничего не делать необдуманно и заручиться помощью специалистов.
