ещё
свернуть
Все статьи номера Микрообучение
8
Апрель 2023года
Проверки
Персональные данные

Четыре изменения в работе с персданными, которые касаются всех

С 1 марта уничтожать персональные данные нужно по новым правилам, а еще придется оценивать потенциальный вред при работе с личными сведениями. Кроме того, чиновники установили новые сроки подачи уведомлений об обработке и требуют, чтобы компании и ИП получали специальное разрешение, если передают сведения о физлицах за границу. Выполнить новые требования и ничего не упустить помогут образцы и таблица из этой статьи.

Оформляйте уничтожение персданных актом

Уничтожать персданные нужно, если истек срок согласия на обработку или его отозвали

Теперь компании и ИП обязаны фиксировать в акте факт уничтожения персональных данных (приказ Роскомнадзора от 28.10.2022 № 179). Такой акт нужно составить и хранить в течение трех лет, к примеру, если клиент отозвал свое согласие на обработку или истек срок согласия, либо данные неполные, неточные, устарели, незаконно получены или не относятся к целям обработки. Если вы не уничтожили такие данные по запросу физлица, рискуете получить штраф от Роскомнадзора. Штраф на директора или ИП — от 20 000 до 40 000 руб., для компании — от 50 000 до 90 000 руб. (ч. 5 ст. 13.11 КоАП).

Раньше чиновники лишь рекомендовали составлять акт о прекращении обработки персданных либо регистрировать факт уничтожения в специальном журнале (ответы Роскомнадзора на вопросы в сфере защиты прав субъектов персональных данных от 11.08.2021).

Теперь из категории рекомендованных документов акты перешли в категорию обязательных. Причем обойтись только актом вы сможете, если обрабатываете персданные на бумаге. А вот если работаете с такой информацией на компьютере, то есть обрабатываете автоматически, от вас потребуют сведения из системы. Дополнительно подготовьте с помощью ИТ-специалистов выгрузку из журнала регистрации событий в информационной системе. Примерами такой системы могут быть кадровая или бухгалтерская учетная программы, корпоративный сайт компании, Google Документы, Яндекс Диск и даже таблица в Excel, которая содержит данные сотрудников.

Акт об уничтожении данных может составить один сотрудник. Например, кадровик или бухгалтер. Либо это можно сделать с помощью комиссии. Форму акта и выгрузки утвердите приказом. Чиновники Роскомнадзора конкретный образец не привели, но указали, что в нем должно быть. Мы подготовили шаблон с учетом всех требований.

Форма акта
Форма акта
Шаблон акта разработан с учетом требований Роскомнадзора, поэтому его можно смело использовать в работе.
Система
Система
Если обрабатываете данные на компьютере, укажите информационную систему, в которой хранились уничтоженные данные.

3
года

храните акты об уничтожении персданных и выгрузки из журнала

Выгрузка из журнала должна содержать Ф. И. О. и другие сведения о физлице, чьи данные уничтожены, перечень уничтоженных сведений, наименование информационной системы, причину и дату уничтожения данных (п. 5 приказа Роскомнадзора № 179).

Оцените степень возможного вреда при работе с персданными

В Законе о персданных перечислены технические и организационные меры, которые компании и ИП должны обеспечить для защиты личных сведений (ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь Роскомнадзор расширил этот список и предписал компаниям оценивать в специальном акте вред, который может возникнуть, если нарушить Закон о персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Такой акт в компании должен храниться постоянно на случай плановой или внеплановой проверки Роскомнадзора. Как часто нужно обновлять акт, ведомство не уточнило. Но по смыслу Закона о персданных обновлять акт требуется, если в компании изменилась степень потенциального вреда, который может быть нанесен при работе с персданными. Например, если компания ввела пропускной режим с использованием биометрических данных посетителей. Как определить степень возможного вреда при обработке личных данных, расскажем далее.

Всего существует три степени потенциального вреда — высокая, средняя и низкая. При оценке нужно учитывать: какие данные обрабатываете, с какой целью и каким способом. Считается, что небольшой вред, то есть низкий уровень, возможен, если речь идет об обработке общедоступных данных. Либо если передали обязанность по обработке персданных российской компании на аутсорсинг. В иных случаях вред будет средним или высоким. Специальная таблица ниже поможет определить степень возможного вреда. Посмотрите на галочки, которые стоят напротив ситуаций, подходящих для вашей компании. Если для вашей организации одновременно подходят разные степени вреда, к примеру средний, поскольку публикуете персданные на сайте, и высокий — потому что обрабатываете биометрические данные, то выбирайте высокую степень вреда (п. 6 приказа Роскомнадзора № 178).

Таблица, чтобы оценить степень вреда при работе с персданными
Особенности обработкиСтепень вреда
высокаясредняянизкая
Какие данные обрабатываете
Биометрические. Например, фотографии, отпечатки пальцев  
Специальные категории данных. Например, о состоянии здоровья, вредных привычках  
Несовершеннолетних работников или клиентов  
Какая цель обработки данных  
Обезличиваете персданные. Например, для проведения оценочных исследований, оказания услуг по прогнозированию поведения потребителей. Исключение: если обрабатываете персданные в статистических или исследовательских целях  
Обрабатываете персданные в дополнительных целях, которые отличаются от первоначальной цели сбора  
Каким способом обрабатываете
Иностранным лицом по поручению компании  
С использованием баз данных за пределами РФ  
Публикуете персданные на сайте, предоставляете данные неограниченному кругу лиц  
Продвигаете товары, работы или услуги путем прямых контактов с потребителями. Причем хранилище с персданными таких потребителей принадлежит другому лицу  
Получили согласие на обработку без идентификации клиента или другого физлица  
Назначили ответственным за обработку персданных не штатного сотрудника  
Ведете общедоступные источники персданных. Например, справочники  

После того как оцените степень вреда, оформите акт в бумажном или электронном виде. Документ составляют ответственный за обработку персданных или комиссия. Что указать в акте, смотрите на образце 2.

Степень вреда
Степень вреда
Если установите, что компания несет разные степени вреда, указывайте в акте более высокую степень.
Осторожно
Осторожно
До 2030 года действует мораторий на неналоговые проверки. Но в случае утечки персданных компании вряд ли удастся избежать внеплановой проверки Роскомнадзора.

Уведомляйте об изменениях в работе с персданными в новые сроки

С 1 марта сообщать в Роскомнадзор об изменении сведений, которые ранее указали в уведомлении о начале обработки персданных, надо в новые сроки. Новый крайний срок — 15-е число месяца, следующего за месяцем, когда произошли изменения. Например, если изменения произошли в конце апреля, уведомить Роскомнадзор надо не позднее 15 мая. Раньше на подготовку такого уведомления отводилось 10 рабочих дней.

Когда в работе с персданными что-то поменяется, заполните уведомление из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180. К примеру, это надо сделать, если ранее предупреждали Роскомнадзор, что обрабатываете данные сотрудников, а потом стали работать с частными клиентами. Уведомление об изменениях похоже на уведомление о начале обработки персданных. Как заполнить документ, мы рассказывали ранее. Уведомление об изменении заполняйте по аналогии. Представить уведомление можно не только в бумажном, но и в электронном виде на сайте Роскомнадзора.→pd.rkn.gov.ru

Специалисты Роскомнадзора вправе запросить дополнительные сведения, если сочтут, что вы подали неполные или недостоверные данные. Для ответа у вас есть 10 рабочих дней. Если опоздаете, руководителя или ИП оштрафуют на сумму до 500 руб., а компанию — на сумму от 3000 до 5000 руб. (ст. 19.7 КоАП).

Запросите разрешение на передачу персданных за рубеж

С 1 марта 2023 года компании и ИП должны уведомлять Роскомнадзор о зарубежных контрагентах, которые получают доступ к личным данным россиян. Если передаете данные работников или клиентов за границу, направьте в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных. Это отдельный документ, и он не заменяет общее уведомление о намерении обрабатывать персональные данные (ч. 3 ст. 12 Закона № 152-ФЗ). Требование распространяется и на ситуации, когда храните персданные в облачных сервисах или на сайтах, владельцы которых иностранцы.

Уведомление подайте только один раз. О каждом новом зарубежном контрагенте подавать повторное уведомление не нужно.

Перед тем как сообщить в Роскомнадзор о трансграничной передаче сведений, выясните у партнера, какие меры по защите персданных он будет предпринимать и когда прекратит обработку. Эта информация понадобится вам при заполнении уведомления о трансграничной передаче данных.

Дальше ваши действия зависят от того, в какую страну передаете персданные. Сверьтесь с приказом Роскомнадзора от 05.08.2022 № 128: в нем есть два перечня государств. Если страна, куда передаете данные, оказалась в одном из списков, смело направляйте в Роскомнадзор уведомление. Сложнее, если передаете сведения партнеру из страны, которой нет в списках Роскомнадзора. К примеру, в ЦАР. В такой ситуации придется пройти еще один шаг — запросить информацию о том, какие законы по защите персданных действуют в стране контрагента. Когда получите ответ, подавайте уведомление.

После того как направите уведомление, сведения можно передать за границу, если иностранное государство упомянуто в приказе Роскомнадзора № 128. В ином случае ведомство вправе запретить или ограничить такую передачу — на это у Роскомнадзора есть 10 рабочих дней. До истечения этого срока направлять сведения нельзя.

Унифицированного бумажного бланка уведомления нет. В документе главное указать сведения, перечисленые в части 4 статьи 12 Закона № 152-ФЗ. Образец уведомления. Также вы вправе заполнить уведомление электронно на сайте Роскомнадзора (pd.rkn.gov.ru) в разделе «Трансграничная передача».

 Увлечения бухгалтеров

Творчество — время наполнения новыми силами

За 25 лет работы бухгалтером не было случая, чтобы я захотела сменить профессию, очень ее люблю. Работаю из дома. Стараюсь делать все быстро и заранее. Поэтому остается время, чтобы поиграть в шахматы — занимаюсь с тренером онлайн четыре раза в неделю. Три раза в неделю занимаюсь пилатесом по скайпу. Люблю все виды творчества. Вяжу игрушки дочке, вышиваю, делаю игрушки на елку, к Новому году готовлюсь уже сейчас! Раскрашиваю картины по номерам, леплю из полимерной глины. А вечером мужа всегда ждет вкусный ужин по ресторанным рецептам.

МАРИЯ ВЛАДИМИРОВА, главный бухгалтер, г. Москва

 
Звезда
за правильный ответ
Тест
Неправильно
Правильно!
Компания обрабатывает персональные данные сотрудников на компьютере. Как оформить факт уничтожения этих сведений?
Акт уничтожения персональных данных из категории рекомендованных документов перешел в категорию обязательных. Причем обойтись только актом можно, если компания обрабатывает персданные на бумаге. А если она работает с такими данными на компьютере, понадобится сделать выгрузку из журнала регистрации событий в информационной системе.
Никак, это не обязательно.
Составить акт уничтожения.
Составить акт уничтожения плюс сделать выгрузку из журнала регистрации событий в информационной системе.
Сайт использует файлы cookie, что позволяет получать информацию о вас. Это нужно, чтобы улучшать сайт. Продолжая пользоваться сайтом, вы соглашаетесь с использованием cookie и предоставления их сторонним партнерам.