Новшества в сфере персональных данных – одна из самых актуальных тем за последнее время

Предыдущая статья Следующая статья

Новшества в сфере персональных данных – одна из самых актуальных тем за последнее время

Вопрос: Ольга, в статье «10 шагов по организации работы с персональными данными после 1 сентября 2022 года» Вы лаконично описали процесс работы с персональными данными. В частности, в статье указано на необходимость иметь от работника согласие на обработку персональных данных. Подскажите, а имеются ли нормативно закрепленные группы персональных данных работников, к которым предъявляются специальные требования по их обработке? Имеются ли случаи, когда при обработке персональных данных (далее - ПДн) работников не требуется их согласие?

Ответ: Да, действительно такие категории есть. Только в письменной форме может быть дано согласие на обработку специальных ПДн (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни), биометрических ПДн (фото, видео и др.), а также на трансграничную передачу данных (т. е. на территорию иностранного государства). Эти нормы закреплены п. 4 ст. 9 Закона о персональных данных № 152-ФЗ. Если субъектом ПДн разрешены для распространения, то заключается второе согласие, содержание которого должно соответствовать требованиям приказа Роскомнадзора от 24.02.2021 № 18. Согласие на обработку ПДн не предоставляется только в случаях, определённых Законом о ПДн (п.п. 2–11 ч. 1 ст. 6), и в настоящее время этот перечень значительно сужен, сформулирован исчерпывающим образом и расширительному толкованию не подлежит. Так, например, если обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или на это есть прямое указание законодательства РФ, то согласие на обработку ПДн не требуется.

Вопрос: Ольга, форма согласия на обработку персональных данных работника утверждена на законодательном уровне? Согласие должно быть подписано собственноручно работником и передано работодателю или может быть подписано и электронной подписью?

Ответ: Сама форма согласия на обработку ПДн работника в настоящее время не утверждена на законодательном уровне. В разных источниках правовой информации опубликованы примерные бланки (формы) таких согласий, но стоит помнить, что они носят исключительно рекомендательный характер. Однако в каждом согласии обязательно должны содержаться его основные реквизиты (обязательные сведения), которые перечислены в частности в статье 9 Федерального закона № 152-ФЗ.

Субъект вправе подписать согласие собственноручно или при помощи ЭЦП – эти подписи имеют равную силу. Как правило, ЭЦП применяют в случае применения электронного документооборота.

Вопрос: Ольга, имеются ли особенности работы с персональными данными при заключении и исполнении гражданско-правового договора?

Ответ: При заключении и исполнении договора могут обрабатываться такие персональные данные, как информация о фамилии, имени, отчестве (при наличии), месте жительства, номере телефона, электронной почте, идентификационном номере налогоплательщика физического лица, являющегося стороной договора, выгодоприобретателем или поручителем по договору (письмо Минэкономразвития России от 27.05.2016 № ОГ-Д28-6778). В зависимости от правоотношений сторон, складывающихся на основании договора, при его заключении и исполнении могут обрабатываться и другие персональные данные. Сторона, получившая от контрагента персональные данные при заключении, исполнении договора, обязана:

  • осуществлять их обработку строго в целях заключения и исполнения договора (ст. 5 Закона № 152-ФЗ);
  • после достижения этих целей либо утраты необходимости их достижения уничтожить  либо обезличить обрабатываемые ПДн (ч. 4 ст. 21 Закона № 152-ФЗ);
  • не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн (ст. 7 Закона № 152-ФЗ), а также не передавать ПДн третьим лицам в рекламных или маркетинговых целях (ч. 1 ст. 15 Закона № 152-ФЗ), только если такая передача не является условием договора (рекомендуется это отразить в договоре).

Рекомендуется при заключении договора ГПХ оговорить в нем возможность обработки ПДн после его прекращения. Согласие субъекта ПДн на обработку персональных данных при заключении и исполнении гражданско-правового договора не требуется.

Вопрос: Ольга, какие контрольно-надзорные мероприятия проводит Роскомнадзор в отношении операторов ПДн? Распространяется ли действующий мораторий на проверки Роскомнадзора в данной сфере?

Ответ: Роскомнадзор (далее – РКН) надзирает за всеми и любыми манипуляциями с ПДн и вправе проверить соблюдение закона в этой сфере у любого оператора ПДн, то есть появиться на пороге любого юридического лица и ИП. РКН проводит контрольно-надзорные мероприятия (далее – КНМ), требующие взаимодействия с оператором ПДН и не требующие взаимодействия с проверяемым оператором ПДн. Требуют взаимодействия три вида проверок: выездные (плановые, внеплановые), документарные, инспекционные визиты. Никакие другие КНМ, требующие взаимодействия с проверяемым лицом (например, контрольную закупку), РКН проводить не вправе (ч. 4 ст. 56 Закона о госконтроле). Не требуют взаимодействия «заочные» КНМ, к которым относятся два вида: наблюдение за соблюдением требований при размещении информации в сети «Интернет» и анализа информации о деятельности оператора ПДн, предоставленной РКН (с помощью ФГИС или иным образом); мониторинг безопасности и выездное обследование.

В 2023 году действует мораторий на плановые проверки. Это означает, включать в план-2023 разрешено только объекты контроля, отнесенные к категории высокого риска (исключение – муниципальные и государственные детские сады, и школы).

Внеплановые проверки могут проводиться, но исключительно по тем основаниям, которые прямо поименованы в законе. Как правило, основанием для внепланового КНМ могут быть достоверные, подтвержденные сведения, появившиеся у Роскомнадзора, о том, что причинен вред (ущерб) или существует угроза причинения вреда (ущерба) охраняемым законом ценностям или объект контроля соответствует параметрам, утвержденным индикаторами риска нарушения обязательных требований, а также по требованию прокурора или в связи с истечением срока исполнения ранее выданного предписания.

Вопрос: Ольга, как узнать «свою» категорию риска и кто ее определяет, утверждены ли в настоящее время индикаторы риска нарушения обязательных требований?

Ответ: Категория риска оператора определяется при формировании плана проверок РКН на год. Для осуществления надзора все объекты контроля распределяются по категориям риска. Всего их пять, и они определены приложением к Постановлению правительства № 1046. Определением категории риска и отнесением к ней конкретного объекта заняты уполномоченные должностные лица Роскомнадзора. Информация о категории риска может быть предоставлена Оператору по запросу в РКН. Оператор ПДн вправе подать в Роскомнадзор заявление об изменении категории риска осуществляемой им деятельности в случае ее соответствия критериям риска для отнесения к иной категории риска (ч. 6 ст. 24 Закона о госконтроле).

Вопрос: Ольга, какие особенности Вы могли бы выделить в порядке оспаривания акта/предписания Роскомнадзора, выданного по итогам проведенного проверочного мероприятия?

Ответ: Оператор, получивший предписание, имеет право на его досудебное обжалование в РКН. Обжаловать его в суде, минуя предварительную жалобу в Роскомнадзор, невозможно. Для подачи жалобы в РКН необходимо соблюсти установленный законодательством порядок (ст. 89, ст. 39 ст. 40 Закона о госконтроле, п. 57 ПП 1046). Срок подачи жалобы – 10 рабочих дней с момента получения предписания. Если срок был пропущен по уважительной причине, то его можно восстановить. Жалоба подается только в электронном виде на сайте государственных или муниципальных госуслуг самим лицом (на которого выписано предписание) или его представителем (полномочия должны быть делегированы через ЕПГУ). Жалоба должна включать в себя обязательные реквизиты, которые установлены ст. 41 Закона о госконтроле и абзацами 14–21, п. 57 ПП 1046. Подписывается жалоба с помощью ЭЦП. До момента принятия итогового решения жалобу можно многократно дополнять новыми материалами (в том числе по просьбе того, кто жалобу рассматривает). Изначально в жалобе можно попросить о приостановлении исполнения предписания (решение принимается в течение двух рабочих дней). В соответствии с Законом о Госконтроле такая жалоба рассматривается 20 рабочих дней со дня регистрации. По результатам рассмотренной жалобывыносится мотивированное решение об ее оставлении без удовлетворения либо об отмене акта/предписания полностью или частично. И только если результат досудебного обжалования предписания не устроил, можно идти в суд.

Похожие статьи

Подписаться на рассылку