С 1 сентября 2022 года обрабатывать персональные данные нужно будет по новым правилам
В законе о персональных данных ( Федеральный закон от 27.07.2006 № 152-ФЗ ) прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД (персональные данные) относятся (вместе и даже по отдельности):
- ФИО.
- дата рождения.
- адрес. телефон.
- электронный адрес.
- фотография.
- ссылка на персональный сайт.
- ссылка на профиль в социальных сетях
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
Построение систем защиты информационных систем персональных данных, аттестация ИСПДн. Подготовка к проверкам Роскомнадзора, ФСТЭК, ФСБ. Узнать больше.
Что нового с 1 сентября 2022 года.
Согласно Федеральному закону от 14.07.2022 N 266-ФЗ с 1 сентября нужно будет уведомлять Роскомнадзор о планах обрабатывать, в т. ч. сведения:
- о сотрудниках — в целях, предусмотренных трудовым законодательством;
- необходимые для однократного пропуска гражданина на территорию работодателя;
- полученные в связи с заключением договора, стороной которого является субъект персональных данных, и используемые для исполнения этого договора или заключения новых соглашений с тем же гражданином.
Сейчас при работе с этими данными уведомление не требуется.
Оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
Кроме того, нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (см. ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений.
Операторам запретили отказывать физлицу в услугах, если оно не хочет предоставлять биометрические сведения или соглашаться на обработку персональные данных, если по закону получать согласие на нее необязательно.
Форма уведомления уполномоченного органа об обработке (о намерении осуществлять обработку) персональных данных утверждена приказом Роскомнадзора от 30.05.2017 № 94.
Также с 1 сентября сокращается срок на сообщение Роскомнадзору данных по его запросу — с 30 дней до 10 рабочих дней.
Поправки вступят в силу 1 сентября 2022 г., кроме отдельных положений, которые начнут применять с 1 марта 2023 г.
Массовая проверка всей клиентской базы.
Запретят собирать персональные данные покупателей и навязывать допуслуги.
С 1 сентября 2022 года продавец не сможет отказать в продаже товаров или услуг из-за того, что покупатель не предоставил свои персональные данные. Соответствующие поправки в закон о защите прав потребителей внесены Федеральным законом от 01.05.22 № 135-ФЗ.
Как пояснили в Госдуме, сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения. Делается это даже в тех случаях, когда предоставление такой информации не является обязательным. Прежде всего это касается онлайн-торговли. Принятие соответствующих поправок позволит дополнительно защитить права потребителей.
Согласно комментируемому закону, продавец (исполнитель, владелец агрегатора) не сможет отказать в заключении, исполнении, изменении или расторжении договора потребителю, который не готов предоставить свои персональные данные. Исключение — случаи, когда обязанность сообщать такие данные предусмотрена законодательством или связана с исполнением договора.
Кроме этого, в законе № 135-ФЗ прописан перечень недопустимых условий договора, которые ущемляют права потребителей. В частности, к таким условиям относятся:
- оказание дополнительных услуг за плату без получения согласия потребителя;
- ограничение право потребителя на выбор способа и формы оплаты товаров (работ, услуг);
- уменьшение размера законной неустойки;
- установление обязательного досудебного порядка рассмотрения споров, если такой порядок не предусмотрен законом.
Cоздайте корпоративный портал в своей организации.
Что конкретно изменится для бизнеса и покупателей.
Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».
Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.
Когда можно требовать ПД.
Персональные данные для заключения договора можно потребовать в двух случаях.
- Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
- В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.
Когда нельзя.
Вне закона окажутся требования предъявить паспорт при возврате денег за товар, указать ФИО или электронную почту при покупке товара. Все эти данные можно получить и использовать только с согласия покупателя.
Новые нормы касаются потребителей, покупающих товары для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности. Например, если вы покупаете самокат для индивидуального использования, поправки действуют. А если покупаете 30 самокатов для организации кикшеринга — уже нет.
Новшество не затронет компании, работающие B2B, но на них по-прежнему будет распространяться закон о персональных данных.
Экономьте на курьерской доставке, бумаге и хранении. Рассчитать экономию.
Штраф для нарушителей.
Федеральным законом от 28.05.2022 № 145-ФЗ внесены поправки в статью 14.8 КоАП. В ней установлены штрафы за отказ магазина заключить договор с потребителем, который не сообщил персональные данные (исключение — случаи, когда обязанность сообщить такие данные предусмотрена законодательством или связана с непосредственным исполнение договора). Размеры санкций такие:
- для должностных лиц — от 5 000 до 10 000 рублей;
- для юридических лиц — от 30 000 до 50 000 рублей.
Определить вероятность выездной налоговой проверки и получить рекомендации по налоговой нагрузке.
Как работать с рассылками после 1 сентября 2022 года.
На e-mail и других видах рассылок поправки существенно не отразятся. По-прежнему нужно придерживаться правил.
Четыре табу: что нельзя
- Требовать указать адрес и дать согласие на рассылку в качестве обязательного условия сделки.
- Предустанавливать галочки в чекбоксах, пользователь должен сделать это добровольно сам.
- «Вшивать» и прятать согласие на рассылку в другие документы.
- Объединять согласие на обработку персональных данных и согласие на рассылку. Это два отдельных действия. Их контролируют разные ведомства: Роскомнадзор и ФАС соответственно.
Если пользователь хочет отписаться от рассылки, отключите и уведомьте его об этом. В противном случае это может закончиться объяснениями с ФАС и штрафом. Это касается как обезличенных, так и личных писем. Обращение по ФИО в письме не спасёт. Антимонопольщики придерживаются мнения, что даже с применением такой «хитрости» письмо останется рекламным.
Новые требования будут распространяться на все договоры, в том числе те, которые были заключены раньше 1 сентября 2022 года. При этом если для соблюдения новых условий пришлось изменить договор, а покупатель понёс убытки, продавец должен полностью их компенсировать.
Учтите все новые требования законодательства и работайте с клиентами без ошибок и штрафов.