С 1 сентября 2022 года вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (внесены Федеральным законом от 14.07.2022 N 266-ФЗ).
Для операторов персональных данных предусмотрели ряд новых обязанностей и установили некоторые запреты. Целью изменений является усиление защиты прав российских граждан на неприкосновенность частной жизни и ужесточение требований к операторам при обработке персональных данных.
Наиболее важным уточнением является требование подачи с 1 сентября 2022 года уведомления в Роскомнадзор об обработке персональных данных. В старой редакции закона была масса исключений, которые позволяли этого не делать.
До сентября можно было не сообщать в Роскомнадзор об обработке персональных данных сотрудников, посетителей и контрагентов (подп. 1-6 п. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ до изменений). Однако с сентября практически все исключения утратили силу.
С 1 сентября 2022 года не уведомлять Роскомнадзор можно, только если вы будете проводить неавтоматизированную обработку персональных данных, т.е. при непосредственном участии человека при использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных (подп. 8 п. 2 ст. 22 Закона № 152-ФЗ).
Согласно Закону N 266-ФЗ с 1 сентября нужно будет уведомлять Роскомнадзор о планах обрабатывать, в т. ч. персональные сведения:
- о сотрудниках — в целях, предусмотренных трудовым законодательством;
- необходимые для однократного пропуска гражданина на территорию работодателя;
- обычных граждан, если они сообщают о себе только фамилию, имя и отчество;
- полученные в связи с заключением договора, стороной которого является субъект персональных данных, и используемые для исполнения этого договора или заключения новых соглашений с тем же гражданином;
- представителей контрагентов.
По новым правилам согласие на обработку персональных данных должно быть предметным и однозначным, а не только конкретным, информированным и сознательным (п. 1 ст. 9 Закона № 152-ФЗ). Это означает, что из документа должно быть понятно, для каких целей компания собирает персональные данные, а физлицо должно ясно выразить свое согласие.
Для исполнения новых требований проверьте все согласия. Согласие на обработку персональных данных, которое вы берете от сотрудника при приеме на работу, должно содержать цели обработки из статьи 86 ТК РФ, указывать иные цели нельзя.
Если будете передавать персональные данные за рубеж, об этом нужно также будет уведомить Роскомнадзор. Срок, в течение которого надо предоставлять данные по требованию Роскомнадзора, сократился с 30 суток до 10 рабочих дней.
Чтобы предотвратить утечку информации, работодатели обязаны постоянно взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК) (ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»).
В частности, через нее придется сообщать об инцидентах и причинах, из-за которых произошла утечка личных сведений. При подозрении на утечку из базы личных данных необходимо в течение 24 часов сообщить в Роскомнадзор об инциденте и его предполагаемых причинах. А через 72 часа проинформировать контролирующие органы о результатах проведённого расследования.
Получая персональные сведения о субъекте от третьих лиц, оператор обязан информировать об этом субъекта. Причем сделать это нужно до начала обработки данных. В уведомлении указывают источник получения личных сведений, их перечень, цели и правовые обоснования для обработки.
Операторам запретили отказывать физическому лицу в услугах, если оно не хочет предоставлять биометрические сведения или соглашаться на обработку персональные данных, если по закону получать согласие на нее необязательно.
Запретят собирать персональные данные Покупателей и навязывать им дополнительные услуги
Обращение с персональными данными Покупателей теперь регулируют два законодательных акта — Закон № 266 «О персональных данных» и Закон № 135-ФЗ «О защите прав потребителей».
С 1 сентября 2022 года Продавец не сможет отказать в продаже товаров или услуг из-за того, что Покупатель не предоставил свои персональные данные. Соответствующие поправки в Закон о защите прав потребителей внесены Федеральным законом от 01.05.22 № 135-ФЗ.
Как указано в Пояснительной записке к документу, сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения. Делается это даже в тех случаях, когда предоставление такой информации не является обязательным. Прежде всего это касается онлайн — торговли. Принятие соответствующих поправок позволит дополнительно защитить права потребителей.
Согласно комментируемому Закону № 135-ФЗ Продавец (исполнитель, владелец агрегатора) не сможет отказать в заключении, исполнении, изменении или расторжении договора потребителю, который не готов предоставить свои персональные данные. Исключение — случаи, когда обязанность сообщать такие данные предусмотрена законодательством или связана с исполнением договора.
Кроме этого, в Законе № 135-ФЗ прописан перечень недопустимых условий договора, которые ущемляют права потребителей:
- оказание дополнительных услуг за плату без получения согласия потребителя;
- ограничение право потребителя на выбор способа и формы оплаты товаров (работ, услуг);
- уменьшение размера законной неустойки;
- установление обязательного досудебного порядка рассмотрения споров, если такой порядок не предусмотрен законом.
Теперь Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, Продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, то на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.
Когда можно требовать ПД
Персональные данные для заключения договора можно потребовать в двух случаях:
- если без них Продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя;
- в установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.
Когда нельзя требовать ПД
Продавец не вправе требовать от Покупателя персональные данные как при покупке, так и при возврате товара. Например, запрет распространяется на требование:
- предъявить документ, удостоверяющий личность, при возврате денег за приобретенный ранее товар из-за выявленного брака.
- указать ФИО или электронную почту при покупке товара.
Все эти данные можно получить и использовать только с согласия Покупателя
Новые нормы касаются потребителей, покупающих товары для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.
Например, если вы покупаете самокат для индивидуального использования, поправки действуют. А если покупаете 30 самокатов для организации кикшеринга — уже нет. Также новшества не затронут компании, работающие B2B, но на них по-прежнему будет распространяться Закон о персональных данных.
Новые требования будут распространяться на все договоры, в том числе те, которые были заключены до 1 сентября 2022 года. При этом, если для соблюдения новых условий пришлось изменить договор, а Покупатель понёс убытки, Продавец должен полностью их компенсировать. Политику конфиденциальности по новым правилам необходимо размещать не только где-то на сайте, но и на каждой странице интернет — ресурса, где осуществляется сбор ПД.
Штрафные санкции
Федеральным законом от 28.05.2022 № 145-ФЗ внесены поправки в статью 14.8 КоАП. В ней установлены штрафы за отказ магазина заключить договор с потребителем, который не сообщил персональные данные (исключение — случаи, когда обязанность сообщить такие данные предусмотрена законодательством или связана с непосредственным исполнение договора).
Размеры штрафа:
- для должностных лиц — от 5 000 до 10 000 рублей;
- для юридических лиц — от 30 000 до 50 000 рублей.
Введены новые требования к Положению о персональных данных организаций
Ввели новые требования к Положению о персональных данных (подп. 2 п. 1 ст. 18.1 Закона № 152-ФЗ). Если раньше организации сами определяли, какие разделы включить в Положение, то теперь разделы регламентировали. Необходимо определить в документе:
- категории и перечень данных;
- категории субъектов персональных данных;
- способы и сроки обработки и хранения данных;
- порядок уничтожения.
Таким образом, добавьте в ваше Положение о персональных данных необходимые разделы и разместите Положение на каждой странице сайта, на которых вы собираете персональные данные (п. 2 ст. 18.1 Закона № 152-ФЗ). Исключите из документа положения, которые ограничивают права работников. Убедитесь, что в нем нет избыточных прав и обязанностей (например, Положение о персональных данных не должно обязывать сотрудника приносить новый документ, в котором изменились его персональные данные).
Как работать с e-mail — рассылками после 1 сентября 2022 года
На e-mail и других видах рассылок поправки существенно не отразятся, но по-прежнему нужно придерживаться правил, в соответствии с которыми запрещено:
- требовать указать адрес и дать согласие на рассылку в качестве обязательного условия сделки;
- предустанавливать галочки в чекбоксах, пользователь должен сделать это добровольно сам;
- «вшивать» и прятать согласие на рассылку в другие документы;
- объединять согласие на обработку персональных данных и согласие на рассылку. Это два отдельных действия. Их контролируют разные ведомства: Роскомнадзор и ФАС соответственно;
- если пользователь хочет отписаться от рассылки, отключите и уведомьте его об этом. В противном случае это может закончиться объяснениями с ФАС и штрафом. Это касается как обезличенных, так и личных писем. Обращение по ФИО в письме не спасёт. Антимонопольщики придерживаются мнения, что даже с применением такой «хитрости» письмо останется рекламным.
Статью подготовила — ведущий аудитор компании Басыня Н.К.
