С 01.09.2022 вступили в силу существенные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - ФЗ № 152), которые ввели дополнительные обязанности для операторов обработки персональных данных, одной из которых является уведомление Роскомнадзора (РКН) об обработке персональных данных. С указанной даты, фактически, все организации и индивидуальные предприниматели (ИП), которые осуществляют сбор, обработку и хранение персональных данных своих работников, клиентов или контрагентов с использованием средств автоматизации (например, через Интернет-сайт, 1С: Бухгалтерия и т.д.) обязаны предварительно направить соответствующее уведомление в Роскомнадзор с целью их внесения в реестр операторов обработки персональных данных (ПД).
В соответствии с п. 1 ст. 22 ФЗ № 152 оператор до начала обработки персональных данных обязан уведомить Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных п. 2 ст. 22 ФЗ № 152.
До 31 августа 2022 года перечень исключений, указанных в п. 2 ст. 22 ФЗ № 152, был достаточно широкий, что позволяло большинству организаций и ИП осуществлять обработку персональных данных на законных основаниях без соответствующего уведомления Роскомнадзора и без внесения сведений в реестр операторов обработки персональных данных, размещенный на Интернет-сайт Роскомнадзора. Но, с 1 сентября вступившие в силу изменениями в ФЗ № 152 отменили часть таких исключений, что ввело обязанность для большинства юридических лиц и ИП по направлению уведомления в Роскомнадзор об обработке персональных данных и внесению сведений в реестр операторов обработки персональных данных. Более наглядно ознакомиться с указанными изменениями в ФЗ № 152 можно в таблице ниже.
Оператор вправе осуществлять обработку без уведомления Роскомнадзора следующих персональных данных: |
||
№ |
До 31 августа 2022 г. |
С 1 сентября 2022 г. |
1 |
обрабатываемых в соответствии с трудовым законодательством; |
Исключены |
2 |
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (далее - ПД), если ПД не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПД и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД; |
Исключены |
3 |
относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПД не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов ПД; |
Исключены |
4 |
разрешенных субъектом ПД для распространения при условии соблюдения оператором запретов и условий, предусмотренных ст. 10.1 ФЗ № 152; |
Исключены |
5 |
включающих в себя только фамилии, имена и отчества субъектов ПД; |
Исключены |
6 |
необходимых в целях однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях; |
Исключены |
7 |
включенных в информационные системы ПД, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка; |
включенных в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка; |
8 |
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности ПД при их обработке и к соблюдению прав субъектов ПД; |
в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации; |
9 |
обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. |
обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. |
Фактически, указанные изменения сводятся к тому, что с 1 сентября 2022 года большинство юридических лиц и ИП обязаны до начала обработки персональных данных направить соответствующее уведомление в Роскомнадзор. Исключением является обработка персональных данных БЕЗ использования средств автоматизации (например, когда сбор, обработка и хранение персональных данных осуществляется только на бумажных носителях).
Уведомление об обработке персональных данных формируется на Интернет-сайте Роскомнадзора и направляется в его территориальный орган с учетом местонахождения оператора обработки персональных данных одним из следующих способов:
- в бумажном виде;
- в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП);
- в электронном виде с использованием средств аутентификации ЕСИА.
Срок рассмотрения такого уведомления и внесения сведений в реестр операторов обработки персональных данных 30 (тридцать) дней.
Кроме этого, согласно п. 7 ст 22 ФЗ № 152, в случае изменения сведений, содержащихся в реестре операторов обработки персональных данных, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение 10 (десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Также существует возможность в течение 5 (пяти) рабочих дней с даты направления соответствующего заявления получить в Роскомнадзоре выписку из реестра операторов обработки персональных данных по определенному юридическому лицу или ИП.
Госпошлина за совершение указанных действий со стороны Роскомнадзора не взимается.
Дополнительно ФЗ № 152 уставливает и другие обязанности для операторов обработки персональных данных, а именно:
- Назначить лицо, ответственное за организацию обработки персональных данных.
- Разработать и утвердить внутренние документы, определяющие политику оператора в отношении обработки персональных данных и реализуемых требований к защите персональных данных.
- Взаимодействовать с субъектом персональных данных (клиентов, работником или контрагентом) в части получения от него согласия на обработку персональных данных, предоставления по его запросу соответствующих разъяснений и информации, касающейся обработки персональных данных, перечень которой определен ФЗ № 152, направления обязательных уведомлений, получения от субъекта персональных данных отзыва на согласие на обработку его персональных данных.
- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в ФЗ № 152.
- Принимать правовые, организационные и технические меры по обеспечению безопасности персональных данных для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных ФЗ № 152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных и иным локальным актам оператора.
- Проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ № 152, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ № 152.
- Ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
- Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
- При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на Интернет-сайте оператора (при наличии), с использованием которых осуществляется сбор персональных данных, документ, определяющий политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
- Обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
- Направлять в Роскомнадзор по его запросу необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса.
- В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента самим оператором, Роскомнадзором или иным заинтересованным лицом уведомлять об этом Роскомнадзор в установленном порядке и сроки.
- В случае достижения цели обработки персональных данных прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором или иным соглашением между оператором и субъектом персональных данных.
- В случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором или иным соглашением между оператором и субъектом персональных данных.
Административная ответственность за нарушение требований законодательства РФ о персональных данных установлена ст. 13.11 КоАП РФ.
Статья 13.11. Нарушение законодательства РФ в области персональных данных (далее - ПД)
1. Обработка ПД в случаях, не предусмотренных законодательством РФ в области ПД, либо обработка ПД, несовместимая с целями сбора ПД, за исключением случаев, предусмотренных ч. 2 настоящей статьи и ст. 17.13 КоАП, если эти действия не содержат уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от 2 до 6 тыс. руб.; на должностных лиц - от 10 до 20 тыс. руб.; на юридических лиц - от 60 до 100 тыс. руб.
1.1. Повторное совершение административного правонарушения, предусмотренного ч. 1 настоящей статьи, - влечет наложение административного штрафа на граждан в размере от 4 до 12 тыс. руб.; на должностных лиц - от 20 до 50 тыс. руб.; на индивидуальных предпринимателей - от 50 до 100 тыс. руб.; на юридических лиц - от 100 до 300 тыс. руб.
2. Обработка ПД без согласия в письменной форме субъекта ПД на обработку его ПД в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПД, за исключением случаев, предусмотренных ст. 17.13 КоАП, если эти действия не содержат уголовно наказуемого деяния, либо обработка ПД с нарушением установленных законодательством РФ в области ПД требований к составу сведений, включаемых в согласие в письменной форме субъекта ПД на обработку его ПД, - влечет наложение административного штрафа на граждан в размере от 6 до 10 тыс. руб.; на должностных лиц - от 20 до 40 тыс. руб.; на юридических лиц - от 30 до 150 тыс. руб.
2.1. Повторное совершение административного правонарушения, предусмотренного ч. 2 настоящей статьи, - влечет наложение административного штрафа на граждан в размере от 10 до 20 тыс. руб.; на должностных лиц - от 40 до 100 тыс. руб.; на индивидуальных предпринимателей - от 100 до 300 тыс. руб.; на юридических лиц - от 300 до 500 тыс. руб.
3. Невыполнение оператором предусмотренной законодательством РФ в области ПД обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД - влечет наложение административного штрафа на граждан в размере от 1,5 до 3 тыс. руб.; на должностных лиц - от 6 до 12 тыс. руб.; на индивидуальных предпринимателей - от 10 до 20 тыс. руб.; на юридических лиц - от 30 до 60 тыс. руб.
4. Невыполнение оператором предусмотренной законодательством РФ в области ПД обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД, - влечет наложение административного штрафа на граждан в размере от 2 до 4 тыс. руб.; на должностных лиц - от 8 до 12 тыс. руб.; на индивидуальных предпринимателей - от 20 до 30 тыс. руб.; на юридических лиц - от 40 до 80 тыс. руб.
5. Невыполнение оператором в сроки, установленные законодательством РФ в области ПД, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, - влечет наложение административного штрафа на граждан в размере от 2 до 4 тыс. руб.; на должностных лиц - от 8 до 20 тыс. руб.; на индивидуальных предпринимателей - от 20 до 40 тыс. руб.; на юридических лиц - от 50 до 90 тыс. руб.
5.1. Повторное совершение административного правонарушения, предусмотренного ч. 5 настоящей статьи, - влечет наложение административного штрафа на граждан в размере от 20 до 30 тыс. руб.; на должностных лиц - от 30 до 50 тыс. руб.; на индивидуальных предпринимателей - от 50 до 100 тыс. руб.; на юридических лиц - от 300 до 500 тыс. руб.
6. Невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области ПД сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД, при отсутствии признаков уголовно наказуемого деяния - влечет наложение административного штрафа на граждан в размере от 1,5 до 4 тыс. руб.; на должностных лиц - от 8 до 20 тыс. руб.; на индивидуальных предпринимателей - от 20 до 40 тыс. руб.; на юридических лиц - от 50 до 100 тыс. руб.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области ПД обязанности по обезличиванию ПД либо несоблюдение установленных требований или методов по обезличиванию ПД - влечет наложение административного штрафа на должностных лиц в размере от 6 до 12 тыс. руб.
8. Невыполнение оператором при сборе ПД, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством РФ в области ПД обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПД граждан РФ с использованием баз данных, находящихся на территории РФ, - влечет наложение административного штрафа на граждан в размере от 30 до 50 тыс. руб.; на должностных лиц - от 100 до 200 тыс. руб.; на юридических лиц - от 1 до 6 млн. руб.
9. Повторное совершение административного правонарушения, предусмотренного ч. 8 настоящей статьи, - влечет наложение административного штрафа на граждан в размере от 50 до 100 тыс. руб.; на должностных лиц - от 500 до 800 тыс. руб.; на юридических лиц - от 6 до 18 млн. руб.
Примечание. За административные правонарушения, предусмотренные ч. 8 и 9 настоящей статьи, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
В рамках соблюдения требований законодательства РФ о персональных данных (ПД) Юридическая компания "ДЕКАРТ" предлагает всем субъектам ФЗ № 152 следующие услуги:
- Уведомление об обработке персональных данных и внесение сведений в Реестр операторов, осуществляющих обработку персональных данных через Роскомнадзор - 10 тыс. руб.
- Разработка Политики в отношении обработки персональных данных и реализуемых требований к защите персональных данных, приказа о назначении лица, ответственного за организацию обработки персональных данных и согласия субъекта персональных данных на обработку его персональных данных - 7,5 тыс. руб.
- Получение выписки из Реестра операторов, осуществляющих обработку персональных данных - 5 тыс. руб.
- Внесение изменений в сведения, содержащиеся в Реестре операторов обработки персональных данных - 7,5 тыс. руб.
- Исключение сведений из Реестра операторов обработки обработку персональных данных в случае прекращения обработки персональных данных - 5 тыс. руб.
Сотрудничаем с Юридической компанией «ДЕКАРТ» с 2018 года по настоящее время. За это время компания зарекомендовала себя как надежный партнер. Все услуги оказываются точно в срок и надлежащего качества.
С помощью ЮК «ДЕКАРТ» были зарегистрированы «под ключ» микрокредитная компания и кредитный потребительский кооператив под торговым знаком «ДОВСАЙТ».
Также неоднократно обращались в ЮК «ДЕКАРТ» за отдельными юридическими услугами по смене наименования ООО, регистрации обособленного подразделения.
Сейчас продолжаем сотрудничество с ЮК «ДЕКАРТ» по направлению сопровождения наших компаний в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
Каждый раз получаемый результат в ЮК «ДЕКАРТ» оправдывает ожидания.