Начиная с сентября 2022 года, из-за новых правил в законе о персональных данных, все больше компаний должны проходить регистрацию в Роскомнадзоре. Это серьезное изменение для предприятий, которые ранее могли без проблем обрабатывать данные без ведома Интернета. Это первые значительные изменения в 152-ФЗ с 2006 года.
Давайте вместе обсудим, как следует защищать личные данные в свете нового закона в 2024 году.
Документация по 152-ФЗ
Закон определяет обязательное наличие документов для организаций, среди которых:
- Согласиена обработку персональных данных (ПД), в том числе для несовершеннолетних, согласно ст. 9.
- Согласие на распространение и передачу ПД третьим лицам.
- Правила и политики обработки ПД, включая сроки хранения и порядок уничтожения данных.
- Приказы о назначении ответственного за обработку ПД и о допуске сотрудников к этим процессам.
- Политику конфиденциальности для посетителей сайта.
Для полноценной разработки документации по обработке ПД, кроме 152-ФЗ, важно учитывать и другие НПА:
- Постановления Правительства № 687 от 15.09.2008 и № 1119 от 01.11.2012.
- Приказы ФСБ № 378 от 10.07.2014, ФСТЭК № 21 от 18.02.2013
- Приказы Роскомнадзора № 180 и № 179 от 28.10.22, и № 94 от 30.05.17.
Эти изменения и требования законодательства предъявляют новые обязанности для бизнеса, требуя от организаций внимательного подхода к обработке персональных данных.
Усиление контроля за утечками персональных данных
По последним данным Роскомнадзора, в реестре операторов обработки персональных данных числится более 950 тысяч организаций. Это количество может показаться внушительным, но учитывая, что оператором персональных данных является любое лицо, работающее с данными граждан, и каждая компания имеет сотрудников, фактически каждое юридическое лицо должно быть зарегистрировано в качестве такового.
До сентября 2022 года существовали определенные исключения, позволявшие организациям обходить необходимость уведомления Роскомнадзора о работе с персональными данными. Это касалось данных, обрабатываемых в рамках трудовых отношений, по договорам с гражданами, данных членов общественных или религиозных организаций, данных, разрешенных к распространению субъектом, ограничивающихся ФИО, и данных, необходимых для оформления пропусков. Однако после ужесточения законодательства исключения были существенно сокращены. Теперь единственной лазейкой для избежания уведомления является обработка данных вручную, без автоматизированных систем.
С развитием цифровых технологий и появлением таких инструментов, как «1С:Бухгалтерия», «Битрикс24», интернет-банкинг и системы электронного документооборота, практически невозможно найти компанию, работающую исключительно "по старинке" и не попадающую под требования к уведомлению.
Учитывая, что в реестре ЕГРЮЛ зарегистрировано более 3,2 миллиона активных юридических лиц, уведомление Роскомнадзора должно стать стандартной процедурой для большинства из них, сопоставимой с подачей отчетности в ФНС, Росстат или ФСС. Ведение реестра операторов Роскомнадзором с 2009 года включает в себя не только юридические лица, но и физических лиц, а также индивидуальных предпринимателей, что позволяет предположить, что до 80% компаний либо не осведомлены о новых нормах, либо предпочитают их игнорировать.
Как правильно уничтожать персональные данные
Определены случаи обязательного уничтожения ПД, включая неправомерную обработку данных и достижение целей их сбора. Подтверждение уничтожения данных должно оформляться актом, требования к которому прописаны в приказе № 179 от 28.10.2022.
Расширение обязанностей уведомления РКН
До сентября 2022 года некоторые операторы освобождались от обязанности уведомления Роскомнадзора о обработке ПД в определенных случаях. Теперь такие исключения существенно сокращены, и практически все организации, работающие с ПД, обязаны уведомлять РКН, исключение составляют случаи обработки данных вручную без использования автоматизированных систем.
Существенное количество компаний, более 80%, по-видимому, не осведомлено о нововведениях или игнорирует их. Учитывая общее количество зарегистрированных юридических лиц, подавляющему большинству необходимо регулярно уведомлять Роскомнадзор о своей деятельности по обработке ПД.
Упрощение процесса уведомления
Отправка уведомления в Роскомнадзор – задача, выполнимая для любого юридического лица, при наличии четкой цели и последовательных действий. Для этого можно воспользоваться как бумажной формой, так и электронным вариантом, подписанным цифровой подписью или через портал Госуслуг. Сам Роскомнадзор предлагает удобный онлайн-сервис для заполнения и подачи уведомлений, упрощая процесс до нескольких шагов.
Однако обязанности по уведомлению не ограничиваются одним лишь фактом обработки персональных данных. Закон предусматривает ряд других случаев, когда необходимо информировать надзорный орган, включая изменение данных в реестре, прекращение обработки данных, трансграничную передачу и случаи непреднамеренной передачи данных.
Подать такое уведомление следует не позднее 15 числа после месяца, в котором произошли изменения.
Важно подходить к процессу уведомления осознанно, избегая соблазна подать «универсальное» уведомление, охватывающее все возможные данные. Такой подход повышает не только объем необходимой документации, но и вероятность проведения проверок, особенно для организаций с комплексной структурой обработки данных.
